ii

RELATÓRIO DE INTELIGÊNCIA DE SEGURANÇA DA MICROSOFT: EDIÇÃO ESPECIAL

Este documento tem apenas caráter informativo. A MICROSOFT NÃO OFERECE NENHUMA

GARANTIA, SEJA ELA EXPRESSA, IMPLÍCITA OU OBRIGATÓRIA, EM RELAÇÃO ÀS INFORMAÇÕES

APRESENTADAS NESTE DOCUMENTO.

Este documento é fornecido no estado em que se encontra. As informações e opiniões expressas

neste documento, incluindo URLs e outras referências a sites na Internet, podem sofrer alterações

sem aviso prévio. Você assume o risco de usá-lo.

Copyright © 2012 Microsoft Corporation. Todos os direitos reservados.

Os nomes de empresas e produtos reais aqui mencionados podem ser marcas comerciais de seus

respectivos proprietários.

Autores e colaboradores

BILL BARLOWE – Microsoft Security Response Center

JOE BLACKBIRD – Microsoft Malware Protection Center

WEIJUAN SHI DAVIS – Windows Product Management Consumer

JOE FAULHABER – Microsoft Malware Protection Center

HEATHER GOUDEY – Microsoft Malware Protection Center

PAUL HENRY – Wadeware LLC

JEFF JONES – Microsoft Trustworthy Computing

JIMMY KUO – Microsoft Malware Protection Center

MARC LAURICELLA – Microsoft Trustworthy Computing

KEN MALCOMSON – Microsoft Trustworthy Computing

NAM NG – Microsoft Trustworthy Computing

HILDA LARINA RAGRAGIO – Microsoft Malware Protection Center

TIM RAINS – Microsoft Trustworthy Computing

ELIZABETH SCOTT – Microsoft Security Response Center

JASMINE SESSO – Microsoft Malware Protection Center

JOANNA SHARPE – Microsoft Trustworthy Computing

FRANK SIMORJAY – Microsoft Trustworthy Computing

HOLLY STEWART – Microsoft Malware Protection Center

STEVE WACKER – Wadeware LLC

Em memória de TAREQ SAADE

iii

iii

Sumário Apresentação ....................................................................................................................... v

Escopo .............................................................................................................................. v

Período do relatório ......................................................................................................... v

Convenções ...................................................................................................................... v

Introdução ........................................................................................................................... 1

Computação pessoal em 2002 e hoje ................................................................................. 2

PCs ................................................................................................................................... 2

Computação móvel ......................................................................................................... 2

Serviços online (o precursor da nuvem) ......................................................................... 3

As origens do malware ........................................................................................................ 4

Microsoft Trustworthy Computing ..................................................................................... 6

2002-2003 ....................................................................................................................... 7

2004 ................................................................................................................................ 7

A criminalização do malware .......................................................................................... 7

2005 ................................................................................................................................ 8

Vulnerabilidades ............................................................................................................... 10

Uma década de amadurecimento ................................................................................ 10

Divulgações de vulnerabilidades do setor .................................................................... 11

Gravidade da vulnerabilidade ....................................................................................... 13

Divulgações de hardware e software ........................................................................... 14

Divulgações de vulnerabilidades do sistema operacional ............................................ 15

Divulgações de vulnerabilidades de aplicativos ........................................................... 16

Tendências de exploits e boletins de segurança .............................................................. 17

O estado do malware hoje ................................................................................................ 21

Tendências de malware e software potencialmente indesejados ................................... 23

Como as ameaças evoluíram com o tempo .................................................................. 23

Diferentes ameaças em diferentes momentos ............................................................ 27

iv

Categorias de ameaças por localidade ............................................................................. 30

Inteligência de segurança em 2011 .............................................................................. 30

Lições dos países/regiões menos infectados ................................................................ 33

Windows Update e Microsoft Update .............................................................................. 35

Conclusão .......................................................................................................................... 37

Apêndice A: Tecnologias de proteção para computadores e atenuações ....................... 38

Apêndice B: Famílias de ameaças mencionadas neste relatório ...................................... 39

v

v

Apresentação

Escopo

O SIR (Relatório de Inteligência de Segurança da Microsoft) se concentra nas vulnerabilidades

do software, explorações de vulnerabilidades do software, software mal-intencionado

e possivelmente indesejado. Relatórios anteriores e recursos relacionados estão disponíveis

para download no site www.microsoft.com/sir. Esperamos que os leitores considerem os dados,

as informações e as orientações dessa edição especial do SIR úteis para ajudá-los a proteger suas

organizações, seu software e os usuários.

Período do relatório

Essa edição especial do SIR fornece informações resumidas dos últimos 10 anos. Onde foi possível,

esse relatório incluiu dados de tendências de todo o período de 10 anos. Quando os dados do

período todo não estavam disponíveis, foram fornecidos dados de tendências de períodos mais

curtos. Geralmente, devido à possibilidade de divulgações de vulnerabilidades serem altamente

inconsistentes de trimestre a trimestre, e muitas vezes ocorrerem de modo desproporcional em

algumas épocas do ano, as estatísticas sobre divulgações de vulnerabilidades são apresentadas

semestralmente, como nos volumes recentes do SIR.

Durante todo o relatório, os períodos de tempo semestral e trimestral são mencionados, usando os

formatos nSaa ou nTaa, respectivamente, onde aa indica o ano e n indica o semestre ou trimestre.

Por exemplo, 1S11 representa a primeira metade de 2011 (de 1.° de janeiro a 30 de junho) e 2T11

representa o segundo trimestre de 2011 (de 1.° de abril a 30 de junho). Para evitar confusão,

observe o período (ou períodos) do relatório que está sendo mencionado ao considerar as

estatísticas desse relatório.

Convenções

Esse relatório usa a nomenclatura padrão do MMPC (Microsoft Malware Protection

Center) para famílias e variantes de malware e software possivelmente indesejado. Para obter

mais informações sobre essa nomenclatura padrão, consulte a página Microsoft Malware

Protection Center Naming Standards no site do MMPC.

Introdução

À medida que a Internet ampliou seu alcance nos últimos 10 anos, o malware (software

mal-intencionado) evoluiu e ficou mais complexo. As primeiras formas de malware procuravam

gerar ataques inoportunos altamente visíveis, mas hoje os objetivos são cada vez mais prejudiciais,

concentrando-se em roubo de informações e outras atividades ilícitas. O malware agora traz muito

mais preocupações às organizações. A conectividade com a Internet ainda era a exceção da regra

para várias organizações antes de 2002, mas rapidamente se tornou a norma enquanto a primeira

década do século 21 passava.

Hoje, além de computadores individuais e das redes de organizações grandes e pequenas,

a conectividade com a Internet também se estende a dispositivos como consoles de jogos

e smartphones. E, enquanto o paradigma da computação muda, proteger organizações,

governos e cidadãos do malware se tornou ainda mais desafiador.

O Microsoft Trustworthy Computing, criado em 2002, publica o SIR (Microsoft Security Intelligence

Report) para ajudar a manter os clientes e outras partes interessadas informadas sobre o cenário

das ameaças em constante mudança. O SIR fornece informações abrangentes sobre ameaças do

mundo todo.

2

Computação pessoal em 2002 e hoje

Mesmo com o surgimento do malware e de outros desafios significativos, os usuários

de computadores continuaram aproveitando os benefícios da inovação tecnológica durante

os últimos 10 anos. Esta seção pinta um retrato básico do tipo ―antes e depois‖ do estado

da computação em 2002 e hoje, em 2012, em três áreas: PCs, computação móvel e serviços

online, o precursor da nuvem.

PCs

Em 2002, as CPUs dos PCs usavam uma arquitetura de um único núcleo e tinham acabado de

ultrapassar os 2.0 GHz de velocidade de processamento. O Windows XP, lançado no final de 2001,

exigia 64 MB de RAM, mas eram recomendados 128 MB; 512 MB era uma configuração bastante

comum. Os discos rígidos tinham um tamanho médio de 120 GB, e os monitores LCD estavam

se tornando cada vez mais populares. A conectividade USB para dispositivos periféricos era

predominante, mas a especificação USB 2.0, que era muito mais rápida, havia sido aprovada

há pouco tempo e, portanto, ainda não estava disponível.

No início de 2012, CPUs de vários núcleos são comuns e as velocidades ultrapassam a marca

de 4.0 GHz, várias vezes mais rápidas do que os sistemas disponíveis em 2002. O Windows 7,

lançado em 2009, exige 1 GB de RAM, mas são recomendados 2 GB. Normalmente, os discos

rígidos são de 600 GB (um aumento de cinco vezes em relação ao ano de 2002) até 1 TB ou

mais de tamanho. É possível adquirir um monitor de 23 polegadas por menos de 200 dólares

nos Estados Unidos e os monitores com tecnologia de LED (uma melhoria em relação à tecnologia

de LCD anterior) estão amplamente disponíveis. USB 3.0 é a tecnologia de conectividade

emergente, mas o USB 2.0 ainda é o padrão mais amplamente usado.

Computação móvel

Em 2002, as CPUs mais rápidas de laptops mal alcançavam a marca de 1.0 GHz. 512 MB de

RAM era uma configuração comum, juntamente com um disco rígido de 20 GB a 30 GB. Unidades

combinadas de DVD/CD-RW ainda eram algo raro e unidades de CD-ROM ainda eram a norma.

Qualidade de áudio e telas HD (de alta definição) ainda estavam nas listas de desejo dos usuários

e os smartphones não surgiram até 2005.

3

3

Em 2012, as CPUs dos laptops são três vezes mais rápidas do que as disponíveis em 2002

e velocidades de clock de mais de 3.0 GHz estão amplamente disponíveis. Geralmente, 2 GB

a 4 GB de RAM estão disponíveis (4 a 8 vezes a quantidade de 2002), mas laptops mais avançados

oferecem até 8 GB. Normalmente, os discos rígidos variam de 500 GB a 600 GB, 25 vezes mais do

que as unidades para laptops disponíveis em 2002, e novas unidades de disco rígido de estado

sólido são significativamente mais rápidas. Telas HD com webcams integradas e tecnologia

de reconhecimento facial (no lugar de senhas) são uma realidade. Unidades de DVD/RW são

o padrão e várias são compatíveis com a tecnologia de alta resolução Blu-ray Disc para reprodução

de vídeo. No entanto, esses acessórios estão sendo sacrificados em alguns modelos para criar laptops

muito finos e leves. As opções de áudio de alta qualidade são também muito comuns.

Os padrões Ethernet de velocidade de transmissão de dados continuaram evoluindo. Gigabit

Ethernet, que suporta uma taxa de transmissão de dados de 1.000 Mbps (megabits por segundo),

tornou-se amplamente disponível durante a década, e 10 Gigabit Ethernet recebeu a certificação

de padrão pelo IEEE (Institute of Electrical and Electronics Engineers). No entanto, esses padrões

se aplicam a conexões de fios de cobre, cabos (cabo coaxial) e fibra óptica. A grande proliferação

da conectividade de rede sem fio, que favorece o número crescente de dispositivos móveis

disponíveis hoje, também ocorreu durante o período de 2002 a 2012. Em 2012, computadores

desktop e laptop normalmente oferecem opções de conectividade com fio e sem fio.

Serviços online (o precursor da nuvem)

De uma perspectiva do consumidor, vários serviços de pagamento online estavam disponíveis

em 2002. Esses serviços facilitavam o crescimento de sites de comércio pela Internet (comércio

eletrônico), como Amazon.com e eBay, ambos abertos para negócios desde 1995. A popularidade

do comércio eletrônico explodiu entre 2002 e 2012.

Durante a década, ocorreu um fenômeno significativo que teve um efeito considerável na cultura

popular e na indústria do entretenimento. À medida que músicas e vídeos ficavam disponíveis

como arquivos digitalizados do computador, também era possível compartilhá-los pela Internet.

O Napster (talvez o serviço de compartilhamento de arquivos mais conhecido) surgiu em 1999

e parou de funcionar em julho de 2001. No entanto, outros modelos de compartilhamento

de arquivo também surgiram e se tornaram populares.

O crescimento da Internet e a disponibilidade crescente de conectividade de banda larga também

resultou em serviços online como o Rhapsody, o primeiro serviço pago de assinatura mensal de

músicas sob demanda por streaming, lançado em dezembro de 2001.

4

Embora o conceito de computação em nuvem exista há pouco tempo, os primeiros serviços

de computação em nuvem foram disponibilizados comercialmente em 2002. Desde aquela

época, surgiram opções mais flexíveis que tornaram a computação em nuvem mais atraente

e viável para grandes e pequenas organizações, e também para os usuários comuns. As

arquiteturas de computação em nuvem incluem atualmente: IaaS (infraestrutura como serviço),

que fornece componentes como rede e armazenamento; PaaS (plataforma como serviço), que

fornece uma plataforma como um banco de dados ou um servidor web para executar aplicativos;

e SaaS (software como serviço), que fornece uma solução ou um aplicativo de software como um

serviço concluído ou completo.

Em 2012, há pouca discordância sobre a probabilidade de a computação em nuvem ser

o próximo paradigma de computação significativo. A tecnologia está ganhando aceitação

de várias organizações e os modelos de computação em nuvem continuam evoluindo.

As origens do malware

O malware ficou conhecido para vários usuários de computador pelas amplas infecções

causadas pelo Melissa (em 1999) e o LoveLetter (em 2000). Os dois eram propagados por email

e o LoveLetter por um anexo de email infectado. Quando o anexo era aberto, o malware substituía

vários tipos diferentes de arquivos no PC do usuário e se enviava por email a outras pessoas do

catálogo de endereços de email do usuário.

O LoveLetter rapidamente se tornou o incidente mais caro desse tipo daquela época. Apesar

dos danos causados por Melissa e LoveLetter, pode-se dizer que eles tiveram três efeitos

positivos: fizeram com que o malware começasse a ser examinado em detalhes; aumentaram

a conscientização social sobre malware de computadores (pela pressão dos vários destinatários

de mensagens descontentes); e realçaram a importância de backups (uma vez que o LoveLetter

substituía arquivos que seriam perdidos se backups não estivessem disponíveis).

Uma ameaça de malware mais desonesta e direta surgiu em 2001: um malware que conseguia

ser propagado sem nenhuma interação humana. Essa forma de malware era um worm, conhecido

como Code Red, que foi liberado na Internet em julho de 2001 e tinha como alvo servidores

executando o Microsoft Internet Information Services (IIS). Embora os worms tenham sido

detectados desde pelo menos 1988, o Code Red era considerado pelos pesquisadores do

MMPC um exemplo perfeito de um worm porque não havia um componente de arquivo.

O Code Red precisava ser detectado em trânsito ou na memória de um computador infectado,

mas, naquele momento, produtos tradicionais antimalware para computadores desktop que

procuravam malware baseado em arquivo não conseguiam detectá-lo.

5

5

O Code Red era propagado por uma porta TCP 80, o mesmo canal comumente usado para

consultas da Internet, então os servidores Web precisavam estar protegidos contra esses ataques.

No entanto, outros computadores exigem acesso à porta 80 para funcionalidade do navegador da

Web. O Code Red pode não ter causado tantos danos quanto o LoveLetter, embora isso seja difícil

de apurar porque alguns computadores infectados com o Code Red foram subsequentemente

infectados com o Win32/Nimda, também propagado pela porta TCP 80.

O Win32/Nimda era o que algumas pessoas chamam de coquetel de malware, ou uma ameaça

mesclada — o início de uma tendência em desenvolvimento de malware que continua até os dias

de hoje. Ele usava pelo menos cinco vetores de ataques diferentes, incluindo o uso de backdoors

deixados por malwares anteriores. Como ele seguia de perto o modelo desse tipo de malware,

não havia muito tempo disponível para que ele fosse desenvolvido. Por isso, muitos acreditam

que o Win32/Nimda foi desenvolvido por uma equipe de pessoas, e não apenas por um

codificador de malware solitário.

Seja quem for que o criou, o Win32/Nimda demonstrou que, se computadores em rede

forem deixados sem proteção, eles podem ser ―sequestrados‖ e usados contra seus proprietários

em questão de horas, e talvez até em minutos. Centenas de milhares de computadores

foram dominados pelo Win32/Nimda, vários dos quais responsáveis por sites bem conhecidos

e servidores de email de empresas médias e grandes. No total, mais de 50.000 sites importantes

foram infectados. E mais de uma pessoa notou que o Win32/Nimda foi liberado dia 18 de

setembro, apenas uma semana após os ataques terroristas de 11 de setembro de 2001, um

fato que deixou vários especialistas em segurança incomodados.

Além disso, o ano de 2001 viu o surgimento de malware a partir de mensagens de email

que pareciam ser inofensivas. Esse malware surgiu de mensagens que não tinham código

ou arquivos anexados. Elas usavam apenas URLs. Essas mensagens usavam táticas de engenharia

social para induzir os usuários a clicar nas URLs, que então conectariam os usuários a sites

programados com exploits desenvolvidos para realizar ações indesejadas nos PCs dos usuários.

2001 também viu o surgimento do Win32/Sircam, o primeiro malware propagado em grande

escala que extraía informações dos computadores, embora não se saiba se essa era a intenção

do malware. No entanto, o itinerário particular do presidente da Ucrânia foi inesperadamente

divulgado publicamente como resultado de uma infecção pelo Win32/Sircam.

6

Microsoft Trustworthy Computing

Em 15 de janeiro de 2002, o presidente do conselho de diretores da Microsoft, Bill Gates,

enviou um memorando a todos os funcionários em tempo integral da Microsoft e suas

subsidiárias. Esse memorando propunha uma mudança fundamental na abordagem da

empresa para um componente central de seu negócio, um conceito chamado Trustworthy

Computing (TwC), que significa computação confiável.

O TwC é o compromisso da Microsoft de fornecer experiências de computação mais estáveis,

privadas e confiáveis baseadas em práticas de negócios seguras. A maioria das informações

publicadas pelo TwC no SIR vem de três centros de segurança — MMPC (Microsoft Malware

Protection Center), MSRC (Microsoft Security Response Center) e MSEC (Microsoft Security

Engineering Center) — que distribuem informações detalhadas sobre ameaças, resposta

a ameaças e ciência da segurança. Informações adicionais vêm de grupos de produtos

da Microsoft e do MSIT (Microsoft IT), o grupo que gerencia os serviços globais de TI da

Microsoft. O SIR foi desenvolvido para fornecer a clientes, parceiros da Microsoft e à indústria

de software uma compreensão equilibrada do cenário de ameaças a fim de ajudá-los a se

proteger e a proteger seus ativos de atividades criminosas.

A figura a seguir mostra ações e marcos significativos durante os cinco primeiros anos

da existência do TwC, bem como alguns eventos importantes relacionados a malware.

Figura 1. Eventos e marcos significativos no cenário de ameaças de 2002 a 2006

7

7

2002-2003

A era do malware de envio em massa que começou com o Melissa e o LoveLetter se estendeu

até 2002-2003 e causou aumentos significativos no volume de spam. Grande parte desse malware

usava macros e funcionalidades de script do Microsoft Visual Basic. Grande parte desse malware

foi combatida por recursos de segurança do Microsoft Excel versão XP e do Microsoft Word versão

2003, quando esses programas adotaram formatos XML para seus arquivos de dados.

Em 2003, a Microsoft começou seu processo mensal regular de emissão de atualizações de

segurança, que continua até hoje. A Microsoft iniciou esse programa para fornecer regularmente

atualizações pontuais aos clientes. Algumas atualizações estão relacionadas à segurança, mas

nem todas. As atualizações de segurança são fornecidas às segundas terças-feiras de todo mês

e atualizações opcionais, bem como atualizações não relacionadas à segurança, são fornecidas

na quarta terça-feira de cada mês.

2004

A Microsoft lançou o Windows XP Service Pack 2 (SP2) em 2004, que continha muitas

melhorias e atualizações de segurança. O SP2 foi resultado de um esforço considerável dos

desenvolvedores e especialistas em segurança da Microsoft. Talvez tenha sido a indicação mais

clara da Microsoft, até aquele momento, de como a empresa estava seriamente preocupada com

o problema crescente do malware por meio da conectividade global da Internet. O SP2 foi uma

realização significativa e um marco na jornada da Microsoft e do restante do setor de proteger

os usuários de tecnologia dos criminosos.

2004 também foi o ano em que surgiu o primeiro malware significativo voltado para fins

lucrativos. A família de worms de envio em massa Win32/Mydoom criou um dos primeiros

exemplos de botnet: um conjunto de computadores secretamente e ilicitamente controlado

por um invasor, que ordena que eles executem atividades como enviar spam, hospedar

páginas usadas em ataques de phishing, roubar senhas ou informações confidenciais

e distribuir outros malwares.

A criminalização do malware

Várias das primeiras formas de malware eram um transtorno, além de caras em termos de custos

com limpeza e perda de produtividade, mas a maioria era criada como uma brincadeira ou um

meio de aumentar o status dos criadores na comunidade online de hackers. Com o surgimento

do Win32/Mydoom em 2004, ficou aparente que os criadores de malware tinham aproveitado

as oportunidades que o malware fornecia para roubo, extorsão e outras atividades criminais

cujo objetivo é o lucro.

8

2005

Em 2005, o worm Win32/Zotob foi liberado. O Win32/Zotob não foi tão propagado como se

esperava de início. Ele procurava reduzir as configurações de segurança no Windows Internet

Explorer e impedir sua funcionalidade de bloqueio de pop-up para exibir anúncios para sites

que pagariam os hackers por cliques — outro exemplo de malware voltado para o lucro.

No final de 2005, o cavalo de troia Win32/Zlob começou a se espalhar. Ele exibia anúncios de

pop-up que avisavam os usuários sobre spyware e os estimulavam a comprar um antispyware falso,

que, na verdade, redirecionava os usuários a outros sites e causava outros problemas. O Win32/Zlob

foi outro indicador de que os brincalhões que pregavam peças com malware estavam se tornando

criminosos motivados por possíveis lucros. (Para mais informações sobre o Win32/Zlob, consulte

a seção ―Como as ameaças evoluíram com o tempo‖, posteriormente neste documento.)

Antes de 2005, a Microsoft lançou atualizações de segurança para resolver formas específicas de

malware. Por exemplo, o boletim de segurança da Microsoft MS02-039, que tratou do malware

conhecido como Slammer, foi disponibilizado em julho de 2002. Em janeiro de 2005, a Microsoft

lançou a primeira versão da MSRT (Ferramenta de Remoção de Software Mal-Intencionado), que

remove software mal-intencionado comum específico de computadores que executam versões

recentes do Windows. A Microsoft disponibiliza uma nova versão da MSRT todos os meses para

download automático aos computadores dos usuários via Windows Update/Microsoft Update,

após o qual ela é executada uma vez para verificar e remover infecções por malware.

A disponibilidade consistente e automática da MSRT ajuda a manter um ecossistema de

computação mais limpo. Por exemplo, na primeira metade de 2011, a MSRT foi executada em

média no mundo todo em mais de 600 milhões de computadores individuais todos os meses.

No entanto, a MSRT não substitui um produto antimalware preventivo; ela é estritamente uma

ferramenta de remoção pós-infecção. A Microsoft recomenda o uso de um produto antimalware

preventivo atualizado.

Uma vez que criminosos tecnicamente sofisticados e organizados começaram a utilizar a tecnologia

para se aproveitar dos usuários de tecnologia, o MMPC foi criado em 2005 com duas missões: ajudar

a proteger clientes da Microsoft de ameaças emergentes e existentes e fornecer recursos de resposta

e pesquisa antimalware de nível internacional para servir de suporte a produtos e serviços de

segurança da Microsoft.

9

9

Mais recentemente, a Microsoft criou o DCU (Microsoft Digital Crimes Unit), uma equipe mundial

de advogados, investigadores, analistas técnicos e outros especialistas. A missão do DCU é tornar

a Internet mais segura por meio de uma forte imposição, parcerias globais, políticas e soluções

de tecnologia que ajudam na proteção contra fraudes e outras ameaças à segurança online,

além de proteger as crianças de crimes facilitados pela tecnologia.

A imagem a seguir mostra alguns marcos significativos durante os cinco anos após a existência

do TwC, bem como alguns eventos importantes relacionados a malware.

Figura 2. Eventos e marcos significativos no cenário de ameaças de 2007 a 2011

Além de criar o MMPC e o DCU, a Microsoft trabalhou para promover uma maior colaboração no

setor e compartilhar as lições aprendidas para ajudar os outros com seus esforços de segurança.

Um exemplo é o ICASI (Industry Consortium for Advancement of Security on the Internet), que

a Microsoft cofundou em junho de 2008 com a Intel Corporation, IBM, Cisco Systems e Juniper

Networks. Desde sua fundação, o Amazon.com e a Nokia também se tornaram membros.

O ICASI promove a colaboração entre empresas globais com o objetivo de resolver ameaças de

segurança complexas e proteger melhor as infraestruturas de TI essenciais que servem de suporte

às organizações, aos governos e aos cidadãos do mundo.

10

Vulnerabilidades

Vulnerabilidades são fraquezas no software que possibilitam um ataque que compromete

a integridade, disponibilidade ou confidencialidade desse software ou dos dados que

ele processa. Algumas das piores vulnerabilidades permitem que os invasores explorem

um computador comprometido, fazendo com que ele execute códigos arbitrários sem

o conhecimento do usuário.

Os últimos 10 anos representam um período muito interessante para analisar divulgações de

vulnerabilidades e as mudanças subsequentes que continuam afetando o gerenciamento de

riscos nas organizações de TI do mundo todo. Antes de examinar os gráficos e as tendências,

recomenda-se uma breve análise da última década com relação às vulnerabilidades do setor.

Uma década de amadurecimento

Em 2002, a MITRE1 apresentou um relatório sobre o progresso da iniciativa CVE (PDF),

que forneceu uma atualização sobre uma iniciativa de vários anos para criar um conjunto

consistente e comum de informações de vulnerabilidade — com um foco particular em

nomenclatura exclusiva — para permitir que o setor avaliasse, gerenciasse e corrigisse com

mais facilidade as vulnerabilidades e exposições. A iniciativa CVE e os dados formaram

posteriormente o núcleo do NVD (National Vulnerability Database) do NIST (National Institute

of Standards), o repositório do governo dos EUA de dados de gerenciamento de vulnerabilidades

baseado em padrões que funciona como o principal índice de vulnerabilidades do setor

mencionado no SIR.

2002 também marcou o início de um mercado comercial de vulnerabilidades; o iDefense iniciou

um programa de contribuidores de vulnerabilidades que pagava quem enviava informações sobre

vulnerabilidades encontradas.

Em 2003, o NIAC (National Infrastructure Advisory Council) dos EUA encomendou um projeto

―para propor um sistema de pontuação de vulnerabilidades aberto e universal para resolver essas

deficiências, com a meta final de promover uma compreensão comum das vulnerabilidades e seu

impacto‖. Esse projeto resultou em um relatório recomendando a adoção do CVSSv1 (Common

Vulnerability and Scoring System) (PDF) no final de 2004. Informações sobre a gravidade

(ou pontuação) da vulnerabilidade foram um grande passo à frente porque proporcionaram

um método padrão para classificar vulnerabilidades por todo o setor de uma maneira neutra

para o fornecedor.

1 A MITRE é uma empresa sem fins lucrativos que trabalha para o interesse público com o objetivo de auxiliar o governo dos EUA nas áreas de engenharia de sistemas, pesquisa e desenvolvimento e tecnologia da informação.

11

11

2007 trouxe uma atualização para o CVSS, com mudanças que resolveram problemas identificados

pela aplicação prática do CVSS desde seu surgimento. O SIR volume 4, que forneceu dados e análises

para a segunda metade de 2007, incluiu tendências sobre vulnerabilidades usando CVSSv1 e CVSSv2,

e desde então as classificações CVSSv2 são usadas. Conforme foi observado naquele momento, um

efeito prático das novas fórmulas de classificações era que uma porcentagem muito maior de

vulnerabilidades era classificada como gravidade Alta ou Média.

Divulgações de vulnerabilidades do setor

Uma divulgação, como o termo é usado no SIR, é a revelação de uma vulnerabilidade de software

ao grande público. Ela não se refere a qualquer tipo de divulgação privada ou divulgação a um

número limitado de pessoas. As divulgações podem surgir de uma variedade de fontes, incluindo

o fornecedor do software, fornecedores de software de segurança, pesquisadores independentes

de segurança e até mesmo criadores de malware.

Muitas das informações desta seção são compiladas de dados de divulgações de vulnerabilidade

publicados no NVD. Ele representa todas as divulgações que têm um número CVE (Common

Vulnerabilities and Exposures).

12

A década passada viu um crescimento drástico em novas divulgações de vulnerabilidades, com

picos em 2006 e 2007, mas que diminuíram regularmente nos quatro anos seguintes para apenas

mais de 4.000 em 2011, que ainda é um número grande de vulnerabilidades.

Figura 3. Divulgações de vulnerabilidades do setor desde 2002

Tendências de divulgações de vulnerabilidades:

As divulgações de vulnerabilidades pelo setor em 2011 diminuíram 11,8% a partir de 2010.

Esse declínio continua uma tendência geral de declínios moderados. As divulgações de

vulnerabilidades diminuíram um total de 37% desde seu pico em 2006.

13

13

Gravidade da vulnerabilidade

O CVSS é um sistema de pontuação padronizado e independente de plataformas para classificar

vulnerabilidades de TI. O CVSS atribui um valor numérico entre 0 e 10 a vulnerabilidades, de

acordo com a gravidade, sendo que as pontuações superiores representam uma maior gravidade.

(Consulte a página Vulnerability Severity (gravidade de vulnerabilidades) no site do SIR para mais

informações.)

Figura 4. Gravidade relativa de vulnerabilidades divulgadas desde 2002

Tendências de gravidade de vulnerabilidades:

A tendência geral de vulnerabilidades foi positiva. Vulnerabilidades de gravidade Média

e Alta diminuíram regularmente desde seus pontos altos em 2006 e 2007.

Mesmo que, em geral, menos vulnerabilidades estejam sendo divulgadas, o número

de vulnerabilidades de gravidade Baixa sendo divulgadas continua relativamente estável.

Vulnerabilidades de gravidade Baixa são responsáveis por aproximadamente 8% de todas

as vulnerabilidades divulgadas em 2011.

14

Divulgações de hardware e software

O NVD controla vulnerabilidades de hardware e software. O número de vulnerabilidades

de hardware divulgadas a cada ano permanece baixo, conforme mostrado na figura a seguir.

O número máximo foi 198 (3,4%) de vulnerabilidades de hardware divulgadas em 2009.

Figura 5. Divulgações de vulnerabilidades de hardware e software desde 2002

Vulnerabilidades de software consistem em vulnerabilidades que afetam sistemas operacionais,

aplicativos ou ambos. Como acontece em vários outros setores, o produto de um fornecedor pode

ser o componente de outro fornecedor. Por exemplo, o CVE-2011-1089 afeta o GNU libc 2.3, listado

como um produto de aplicativo do GNU. No entanto, o libc também é um componente integrado

em vários sistemas operacionais e é, portanto, também uma vulnerabilidade do sistema operacional.

Por essa razão, é difícil traçar uma linha distinta entre vulnerabilidades do sistema operacional e dos

aplicativos. Na figura a seguir, as vulnerabilidades que afetam tanto sistemas operacionais como

aplicativos são mostradas em vermelho.

15

15

Figura 6. Divulgações de vulnerabilidades de aplicativos e sistemas operacionais desde 2002

Em 2010 e 2011, aproximadamente 13% das vulnerabilidades de software afetavam tanto

aplicativos como sistemas operacionais.

Divulgações de vulnerabilidades do sistema operacional

Para determinar o número de vulnerabilidades que afetam sistemas operacionais (mostrado na

figura abaixo), as vulnerabilidades foram filtradas por produtos afetados que foram designados

como sistemas operacionais no NVD.

16

Figura 7. Divulgações de vulnerabilidades de sistemas operacionais desde 2002

Divulgações de vulnerabilidades de aplicativos

Para determinar o número de vulnerabilidades que afetam aplicativos (mostrado na figura abaixo),

as vulnerabilidades foram filtradas por produtos afetados que foram designados como aplicativos

no NVD.

17

17

Figura 8. Divulgações de vulnerabilidades de aplicativos desde 2002

Tendências de exploits e boletins de segurança

O MSEC (Microsoft Security Engineering Center) é um dos três centros de segurança que ajuda

a proteger os clientes de malware. O MSEC se concentra em modos básicos para desenvolver

produtos e serviços mais seguros da perspectiva da engenharia de software, por iniciativas como

o SDL (Microsoft Security Development Lifecycle) e a ciência da segurança.

O MSRC identifica, monitora, resolve e responde a vulnerabilidades de segurança do software

da Microsoft. O MSRC lança boletins de segurança todos os meses para resolver vulnerabilidades

em software da Microsoft. Os boletins de segurança são numerados em série em cada ano. Por

exemplo, ―MS11-057‖ refere-se ao 57.º boletim de segurança lançado em 2011.

Os boletins de segurança normalmente são lançados na segunda terça-feira de cada mês,

embora em raras ocasiões a Microsoft lance uma atualização de segurança ―extra‖ para

resolver um problema urgente. A Microsoft lançou uma atualização extra em 2011.

18

A figura a seguir mostra o número de boletins de segurança e atualizações extras emitidas desde

2005, que foi quando a Microsoft lançou a primeira versão do MSRT.

Figura 9. Boletins de segurança do MSRC lançados desde 2005

Período Boletins de segurança Atualizações extras

1S05

33

0

2S05

22

0

1S06

32

1

2S06

46

1

1S07

35

1

2S07

34

0

1S08

36

0

2S08

42

2

1S09

27

0

2S09

47

1

1S10

41

2

2S10

65

1

1S11

52

0

2S11

48

1

Um único boletim de segurança muitas vezes resolve várias vulnerabilidades a partir do banco

de dados do CVE, sendo que cada uma é listada no boletim, junto com qualquer outro problema

relevante. A figura a seguir mostra o número de boletins de segurança lançados e o número de

vulnerabilidades individuais identificadas pelo CVE resolvidas em cada semestre desde o 1S05.

(Observe que nem todas as vulnerabilidades são resolvidas no período no qual são inicialmente

divulgadas.)

19

19

Figura 10. Número de boletins de segurança do MSRC e vulnerabilidades identificadas pelo CVE

Em 2011, o MSRC lançou 100 boletins de segurança que resolveram 236 vulnerabilidades

individuais identificadas pelo CVE, diminuições de 7% e 6%, respectivamente, de 2010. Como

a figura a seguir mostra, o número médio de CVEs resolvidos por cada boletim de segurança

aumentou com o tempo, de 1,5 no 1S05 a 2,4 no 2S11.

20

Figura 11. Número médio de CVEs por boletim de segurança do MSRC

Sempre que possível, o MSRC consolida várias vulnerabilidades que afetam um único binário

ou componente para resolvê-las em um único boletim de segurança. Essa abordagem maximiza

a eficácia de cada atualização e minimiza a possível interrupção que os clientes enfrentam com

testes e integrando atualizações de segurança individuais em seus ambientes de computação.

21

21

O estado do malware hoje

Ao final de 2001, aproximadamente 60 mil formas de malware ou ameaças eram conhecidas.

Esse número veio de um aumento significativo ocorrido em 1996 (aproximadamente 10 mil)

e 1991 (aproximadamente mil).

Figura 12. Crescimento aproximado de malware desde 1991

Na última década, a proliferação de malware se tornou uma história de crimes online. Hoje,

estima-se que o número de ameaças conhecidas de computadores, como vírus, worms,

cavalos de troia, exploits, backdoors, password stealers, spyware e outras variações de

software potencialmente indesejado, estão na casa dos milhões.

Desde que desenvolvedores de malwares criminosos começaram a usar o polimorfismo de

cliente e servidor (a capacidade de o malware criar dinamicamente diferentes formas dele mesmo

para frustrar programas antimalware), ficou cada vez mais difícil responder a pergunta ―Quantas

variantes de ameaças existem?‖. Polimorfismo significa que podem existir tantas variantes de

ameaças quantas os computadores infectados puderem produzir. Isto é, o número somente

é limitado pela capacidade do malware de gerar novas variações dele mesmo.

Tornou-se menos significativo contar o número de variantes de ameaças do que detectar

e eliminar suas origens. Em 2011, mais de 49 mil famílias de ameaças únicas diferentes foram

reportadas ao MMPC pelos clientes. Várias dessas famílias reportadas eram duplicadas, versões

polimórficas de famílias de ameaças principais. Detectar e eliminar famílias de ameaças principais

de computadores infectados é uma atividade contínua.

22

Em 2011, a Microsoft adicionou mais de 22 mil assinaturas para detectar famílias de ameaças

principais. À medida que os desenvolvedores de malware criminosos criam mais ameaças,

o tamanho dos arquivos típicos de assinatura de antimalware aumenta. Hoje, os arquivos

de assinatura de antimalware têm em média mais de 100 MB de tamanho. Em 2002, arquivos

típicos de assinatura de antimalware tinham menos de 1 MB de tamanho.

O número de arquivos enviados a organizações antimalware também aumentou. A figura

a seguir mostra como o número de arquivos enviados suspeitos de conter malware ou software

potencialmente indesejados ao MMPC aumentou desde 2005, um aumento de mais de 200%.

(Arquivos de malware suspeitos podem ser enviados à página Submit a sample (Enviar uma

amostra) do MMPC.)

Figura 13. Aumento em porcentagem do número de arquivos enviados ao MMPC desde 2005

23

23

Tendências de malware e software potencialmente indesejados

O malware continua evoluindo e as flutuações nas detecções de diferentes formas de malware

às vezes indicam os sucessos, em determinadas épocas, dos esforços antimalware persistentes

do setor de software em relação aos esforços dos desenvolvedores de malware.

Como as ameaças evoluíram com o tempo

Quando vistas de uma perspectiva de vários anos, algumas famílias de malware e software

potencialmente indesejado tendem a apresentar picos ou a se tornar bastante predominantes, por

curtos períodos de tempo, uma vez que os fornecedores de antimalware concentram seus esforços

em detectar e remover essas ameaças. Esses períodos de pico são seguidos por períodos de

declínio, pois os invasores mudam suas táticas e continuam. A figura a seguir ilustra esse

fenômeno. (Para as Figuras 14 a 18, o eixo vertical representa a porcentagem de todos os

computadores que foram infectados com malware.)

Figura 14. Famílias de malware e software potencialmente indesejados com picos e declínios desde 2006

24

O Win32/Rbot foi uma das primeiras famílias de botnet que ganhou notoriedade em 2004 e 2005

após vários incidentes de ataque de alto perfil que afetaram redes de mídia e do governo, entre

outras. O Rbot é uma família de ―kit‖: variantes do Rbot são criadas a partir de um kit de criação

de botnet de código-fonte aberto chamado RxBot, amplamente disponível entre operadores

de malware. Vários grupos diferentes produziram suas próprias variantes com funcionalidades

diferentes. O MSRT foi atualizado para detectar o Rbot em abril de 2005 e as detecções

diminuíram nitidamente durante 2006, caindo para abaixo de 2% de computadores com

detecções no 2S08.

A família de cavalos de troia Win32/Zlob foi encontrada em quase um dentre quatro

computadores infectado com malware no 1S08, um nível de predominância que nenhuma

outra família tinha igualado antes ou desde então. O Zlob era normalmente distribuído

em páginas da Web, representando um codec de mídia que os visitantes teriam que instalar

para assistir conteúdo de vídeo baixado ou de streaming da Internet. Após ser instalado em

um computador alvo, o Zlob exibe propagandas pop-up persistentes de softwares de segurança

perigosos. Uma variante do Zlob detectada no final de 2008 incluía uma mensagem codificada,

aparentemente escrita pelo autor do Zlob que era destinada a pesquisadores do MMPC, indicando

que o autor estaria parando o desenvolvimento e a distribuição do cavalo de troia:

Para a equipe do Windows Defender:

Eu vi a postagem de vocês no blog (10 de outubro de 2008) sobre minha mensagem

anterior.

Apenas queria mandar um 'Oi' da Rússia.

Vocês são muito bons, caras. Foi uma surpresa para mim que a Microsoft pudesse

responder a ameaças tão rapidamente.

Não posso assinar aqui agora (hehe, desculpem), como era alguns anos atrás para

vulnerabilidades mais graves para todo o Windows;)

Feliz ano novo, pessoal, e boa sorte!

P.S. aliás, estaremos fechando em breve. Não por causa do trabalho de vocês. :-))

Então, vocês não verão algumas das minhas ótimas;) ideias nessa família de software.

Tentem pesquisar em exploits/shellcodes e rootkits.

Além disso, é engraçado (provavelmente para vocês), mas a Microsoft me ofereceu um

emprego para eu ajudar a melhorar algumas das proteções do Vista. Não é interessante

para mim, apenas uma ironia da vida.

Realmente, as detecções do Zlob diminuíram significativamente no 2S08 e, em 2010, o Zlob não

estava mais entre as 50 principais famílias mais detectadas do mundo todo.

25

25

O Win32/Conficker é uma família de worms descoberta em novembro de 2008 que inicialmente

se espalhava explorando uma vulnerabilidade resolvida pela atualização de segurança MS08-067,

lançada no mês anterior. Detecções do Conficker tiveram seu pico no 1S09 e caíram para um nível

muito abaixo disso depois, seguindo esforços coordenados pelo Conficker Working Group para

conter a disseminação do worm e limpar computadores infectados. Ele foi detectado entre 3%

e 6% dos computadores infectados em cada período de 6 meses desde então.

O JS/Pornpop é um adware que consiste em objetos habilitados para JavaScript especialmente

criados que tentam exibir anúncios do tipo ―pop-under‖. Detectado pela primeira vez em agosto

de 2010, foi a segunda família mais comumente detectada no 2S10 e 1S11 e, provavelmente,

a família mais comumente detectada no 2S11.

O Win32/Autorun é uma detecção genérica para worms que tentam se espalhar entre volumes

de computadores montados utilizando de modo incorreto o recurso de Execução Automática

do Windows. As detecções do Win32/Autorun aumentaram gradualmente por vários períodos

antes de ter seu pico no 2S10 como a família mais comumente detectada durante esse período.

A Microsoft introduziu uma mudança no modo em que o recurso de Execução Automática funciona

no Windows 7 e no Windows Server 2008 R2 em um esforço para ajudar a proteger os usuários das

ameaças do AutoRun. Nessas versões do Windows, a tarefa de Execução Automática é desabilitada

para todos os volumes, exceto unidades ópticas, como unidades de CD-ROM e DVD-ROM, que

historicamente não são usadas para transmitir o malware AutoRun. Subsequentemente, a Microsoft

publicou um conjunto de atualizações que fazia esse mudança funcionar de volta no Windows XP,

Windows Server 2003, Windows Vista e Windows Server 2008. Essas atualizações foram publicadas

como atualizações importantes pelos serviços Windows Update e Microsoft Update desde fevereiro

de 2011, o que pode ter ajudado a contribuir com o declínio nas detecções do Win32/Autorun

observadas durante todo o ano de 2011.

Outras famílias de malware e software potencialmente indesejado não são tão predominantes

como as famílias de pico, mas existem por períodos mais longos. A figura a seguir ilustra

a predominância de algumas dessas famílias de malware mais persistentes.

26

Figura 15. Famílias de malware que permaneceram ativas em níveis inferiores desde 2007

O Win32/Renos, atribuído à categoria de Downloaders/droppers de cavalos de troia em volumes

anteriores do SIR, era uma das quatro famílias de malware mais comumente detectadas em cada

período de 6 meses do 1S07 ao 2S10, atingindo o ápice no 2S08 e 1S10, e somente saiu dos

25 principais no 2S11. O Renos é um downloader de cavalo de troia que instala um software

de segurança perigoso em computadores infectados.

O Win32/Taterf, atribuído à categoria de Worms em volumes anteriores do SIR, estava entre

as cinco famílias de malware mais comumente detectadas em cada período do 2S08 ao 2S10,

e era a família mais comumente detectada no 2S09. O Taterf é um worm que se espalha por

unidades mapeadas para roubar detalhes de logon e de contas de jogos online populares.

A popularidade cada vez maior dos jogos online do tipo RPG para muitos jogadores criou um

mercado (normalmente desestimulado pelos criadores dos próprios jogos) de equipamentos

virtuais dentro do jogo que valem ―ouro‖, que os jogadores negociam por dinheiro do mundo

real. Isso, por sua vez, levou a uma classe de ameaças como o Taterf, que rouba as senhas dos

jogos das pessoas em nome de ladrões que podem então leiloar o roubo virtual das vítimas.

O Taterf é uma versão modificada de uma ameaça similar, o Win32/Frethog, que, por sua vez,

tinha sido persistentemente predominante durante o mesmo período.

27

27

O Win32/Alureon, atribuído à categoria de Cavalos de troia diversos em volumes anteriores

do SIR, é uma família de cavalos de troia que rouba dados com características de rootkit.

Ele foi descoberto pela primeira vez no início de 2007 e está entre as 25 principais famílias

(ou próximo disso) em cada semestre desde então. As variantes do Alureon permitem que

um invasor intercepte tráfego de entrada e saída da Internet e colete informações confidenciais,

como nomes de usuário, senhas e dados de cartão de crédito.

Diferentes ameaças em diferentes momentos

Outro ponto que se torna aparente quando malware e software potencialmente indesejado

são vistos de uma perspectiva de vários anos é que diferentes categorias de malware — isto

é, diferentes tipos de ameaças — predominam em épocas diferentes. A figura a seguir ilustra

a predominância relativa de três categorias diferentes de malware.

Figura 16. Worms, backdoors e software diverso potencialmente indesejado desde 2006

Em 2006 e 2007, o cenário de malware era dominado por worms, backdoors e software diverso

potencialmente indesejado. (O termo ―software diverso potencialmente indesejado‖ refere-se

a programas com comportamento potencialmente indesejado que podem afetar a privacidade,

segurança ou experiência de computação de um usuário.) Nessa época, ataques em larga

escala de worms como o Win32/Msblast e o Win32/Sasser, que eram propagados explorando

vulnerabilidades sem serviços de rede, eram em grande parte coisa do passado. A razão mais

provável para seu declínio foi a natureza de alto perfil desses ataques, que fez com que os

fornecedores de antimalware aumentassem seus esforços de detecção, limpeza e bloqueio e, por

fim, estimulassem a ampla adoção das atualizações de segurança que resolvia as vulnerabilidades

afetadas. A maioria dos worms predominantes em 2006 eram de envio em massa, como

o Win32/Wukill e o Win32/Bagle, que se propagavam com o envio de cópias deles mesmos

a endereços descobertos em computadores infectados.

28

Os backdoors predominantes incluíam um par de famílias de botnet relacionadas, o Win32/Rbot

e o Win32/Sdbot. Variantes dessas famílias são criadas a partir de kits de criação de botnet

comercializados no mercado informal de malware e usados para controlar computadores

infectados pelo protocolo IRC (Internet Relay Chat). O Rbot e o Sdbot foram sendo amplamente

suplantados por famílias de botnet mais novas, mas permanecem ativos, provavelmente devido

à facilidade relativa com a qual possíveis operadores de botnet podem obter os kits de criação.

Famílias predominantes de cavalos de troia em 2006 e 2007 incluíam o Win32/WinFixer, uma das

primeiras famílias de software de segurança perigosas, e a barra de ferramentas para navegador

Win32/Starware. Diferentemente das famílias perigosas mais modernas, que normalmente fingem

ser verificadores antimalware, o WinFixer mascara-se como um utilitário que supostamente

identifica ―violações de privacidade‖ no Registro e no sistema de arquivos do computador e se

oferece para ―removê-los‖ por uma taxa. O Win32/Starware é uma barra de ferramentas para

navegador que monitora pesquisas em mecanismos de pesquisa populares, conduzindo sua

própria pesquisa em conjunto e exibindo os resultados em um quadro embutido na janela do

navegador.

Figura 17. Worms, downloaders e droppers de cavalos de troia, ferramentas de monitoramento e password stealers desde 2006

A categoria de Downloaders e droppers de cavalos de troia, que afetou menos de 9% dos

computadores com detecções no 1S06, cresceu rapidamente para se tornar uma das categorias

de ameaças mais significativas em 2007 e 2008, principalmente devido ao aumento de detecções

do Win32/Zlob e do Win32/Renos.

29

29

Após diminuir significativamente após seu pico no 1S06, a categoria de Worms começou

a aumentar de novo em 2009 após a descoberta do Win32/Conficker e atingiu um segundo

pico no 2T10 com o aumento de detecções do Win32/Taterf e do Win32/Rimecud. Rimecud é uma

família de worms com vários componentes que se propaga por unidades removíveis e mensagens

instantâneas. Ele também contém funcionalidades de backdoor que permitem o acesso não

autorizado a um computador afetado.

Famílias de malware na categoria Ferramentas de monitoramento e password stealers,

responsáveis por uma porcentagem insignificante de detecções no 1S06, aumentaram lentamente,

mas regularmente em 2008 e 2009 antes de seu pico no 2T10. Password stealers de jogos como

o Win32/Frethog foram responsáveis por grande parte desse aumento.

Figura 18. Adware, software diverso potencialmente indesejado e cavalos de troia diversos desde 2006

As categorias Adware, Software diverso potencialmente indesejado e Cavalos de troia diversos

foram as mais comumente detectadas em 2010 e 2011. As detecções de adware aumentaram

significativamente no 1S11, incluindo as famílias de adware Win32/OpenCandy e JS/Pornpop.

O OpenCandy é um programa adware que pode ser incluído em certos programas de instalação

de software de terceiros. Algumas versões do programa OpenCandy enviam informações

específicas do usuário sem obter consentimento adequado do usuário e essas versões são

detectadas por produtos antimalware da Microsoft. O Pornpop é uma detecção para objetos

habilitados para JavaScript especialmente criados que tentam exibir anúncios do tipo

―pop-under‖ nos navegadores da Web dos usuários. Inicialmente, o JS/Pornpop apareceu

exclusivamente em sites que continham conteúdo adulto; no entanto, desde então,

observou-se que ele tem aparecido em sites sem conteúdo adulto algum.

30

A categoria Software diverso potencialmente indesejado, que foi a mais comumente detectada

em 2006, diminuiu em predominância em 2007 e 2008 e, posteriormente, aumentou de novo para

se tornar a segunda categoria mais predominante no 2T11. Famílias significativas nessa categoria

no 2T11 foram o Win32/Keygen, uma detecção genérica para ferramentas que geram chaves de

produtos para versões obtidas ilegalmente de vários produtos de software, e o Win32/Zwangi,

um programa que é executado como serviço em segundo plano e modifica as configurações do

navegador da Web para visitar um site específico.

A categoria Cavalos de troia diversos afetou de modo consistente aproximadamente um terço dos

computadores que foram infectados com malware em cada período desde o 2S08. Várias famílias

de software de segurança perigosas se enquadram nessa categoria, como o Win32/FakeSpyPro,

a família de software de segurança perigosa mais comumente detectada em 2010. Outras famílias

predominantes dessa categoria incluem o Win32/Alureon, o cavalo de troia que rouba dados,

e o Win32/Hiloti, que interfere nos hábitos de navegação do usuário afetado e baixa e executa

arquivos arbitrários.

Categorias de ameaças por localidade

O ecossistema de malware se distanciou de ameaças altamente visíveis, como worms de replicação

automática, em direção a ameaças menos visíveis que contam mais com a engenharia social para

distribuição e instalação. Essa mudança significa que a propagação e eficácia do malware se

tornou mais dependente do idioma e dos fatores culturais. Algumas ameaças são propagadas

usando técnicas que têm como objetivo pessoas que falam um determinado idioma ou que usam

serviços locais de uma região geográfica específica. Outras têm como objetivo configurações

de sistemas operacionais ou vulnerabilidades e aplicativos distribuídos de modo diferente pelo

mundo. Dados de infecções de vários produtos de segurança da Microsoft para algumas das

localidades mais populosas do mundo demonstram a natureza altamente localizada do malware

e do software potencialmente indesejado.

Da mesma forma, o cenário de ameaças é muito mais complexo do que uma simples análise das

maiores ameaças globais poderia sugerir.

Inteligência de segurança em 2011

A figura a seguir mostra esses países/regiões reportando números significativamente elevados

de computadores limpos por produtos antimalware para computadores desktop da Microsoft

desde 2009.2

2 Para obter informações sobre como as localizações dos computadores são determinadas, consulte a postagem Determinando a geolocalização dos sistemas infectados com malware.

31

31

Figura 19. Países/regiões com números significativamente elevados de computadores limpos desde 2009

A figura a seguir mostra países/regiões que historicamente reportaram altas taxas de infecção,

em comparação com a taxa média de infecção para todos os países/regiões

32

Figura 20. Países/regiões com altas taxas de infecção em comparação com a média mundial desde 2009

A figura a seguir mostra países/regiões que historicamente reportaram baixas taxas de infecção,

em comparação com a taxa média de infecção para todos os países/regiões.

Figura 21. Países/regiões com baixas taxas de infecção em comparação com a média mundial desde 2009

33

33

Lições dos países/regiões menos infectados

Áustria, Finlândia, Alemanha e Japão apresentaram taxas de infecção de malware relativamente

baixas nos últimos anos. No entanto, várias das mesmas ameaças globais predominantes em

países/regiões com altas taxas de infecção de malware, como Brasil, Coreia e Turquia, também

são predominantes em países/regiões com baixas taxas de infecção.

O adware está entre as categorias de ameaças mais predominantes encontradas em

países/regiões com taxas de infecção de malware altas e baixas. Observou-se que ele

é a primeira ou segunda categoria em cada um desses lugares. Tanto o JS/Pornpop (detectado

em mais de 6,5 milhões de computadores únicos globalmente na segunda metade de 2010)

como o Win32/ClickPotato são muito predominantes nesses países/regiões.

O Win32/Renos foi o principal responsável pelos níveis de downloaders e droppers de

cavalos de troia encontrados em países/regiões com taxas de infecção de malware altas

e baixas. O Win32/Renos é uma família predominante de downloaders e droppers de cavalos

de troia há vários anos e foi detectado em mais de 8 milhões de computadores únicos

no mundo todo em 2010.

O Win32/Autorun, detectado em mais de 9 milhões de computadores únicos globalmente

em 2010, e o Win32/Conficker, detectado em mais de 6,5 milhões de computadores únicos

globalmente em 2010, estão nas listas das 10 principais ameaças para países/regiões com

taxas de infecção de malware altas e baixas, exceto a Finlândia.

As taxas de infecção de malware relativamente baixas na Áustria, Finlândia, Alemanha e Japão

não significam necessariamente que os criminosos não estão ativos nesses países/regiões.

Por exemplo:

Foram observados mais sites de hospedagem de malware (por mil hosts) na Alemanha

do que nos EUA em 2010.

A porcentagem de sites que hospedam downloads do tipo drive-by na Finlândia era

de quase o dobro dos EUA na primeira metade de 2010.

No T4 de 2010, observou-se que a porcentagem de sites que hospedam downloads do

tipo drive-by na Alemanha era 3,7 vezes maior do que o número observado nos EUA.

A porcentagem de sites que hospedam downloads do tipo drive-by no Japão era 12% superior

a dos EUA durante a primeira metade de 2010. Embora essa porcentagem tenha diminuído

abruptamente nos dois locais no quarto trimestre de 2010, a porcentagem de sites que

hospedam downloads do tipo drive-by no Japão era 4,7 vezes superior a dos EUA no T4.

34

Especialistas em segurança desses países/regiões indicam que os seguintes fatores contribuíram

para diminuir consistentemente as taxas de infecção de malware em seus países/regiões:

Existência de fortes parcerias públicas–privadas que possibilitam recursos proativos

e responsivos.

Equipes de resposta para emergências de computadores, provedores de serviços de Internet,

entre outros, que monitoram ativamente ameaças permitem uma resposta rápida para

ameaças em surgimento.

Uma cultura de TI na qual os administradores de sistemas respondem rapidamente a relatórios

de abusos ou infecções do sistema é útil.

Diretivas de imposição e correção ativa de ameaças colocando em quarentena sistemas

infectados em redes no país/região é eficaz.

Campanhas educativas e atenção na mídia que ajudam a melhorar a conscientização

do público sobre os problemas de segurança podem compensar.

Baixas taxas de pirataria de software e o amplo uso do Windows Update/Microsoft

Update ajudaram a manter as taxas de infecção relativamente baixas.

Essa lista tem semelhanças evidentes com o conceito de defesa coletiva descrito em um artigo

escrito por Scott Charney, vice-presidente corporativo do Trustworthy Computing da Microsoft,

em 2010. ―Collective Defense: Applying Public Health Models to the Internet‖ (PDF) (em tradução

livre, Defesa coletiva: aplicando modelos de saúde pública à Internet) descreve um modelo para

melhorar a saúde dos dispositivos conectados à Internet. Para alcançar isso, governos, o setor de TI

e provedores de serviços de Internet devem garantir a saúde dos dispositivos voltados para

o consumidor antes de conceder a eles acesso livre à Internet. A abordagem oferecida no artigo

é examinar os problemas de segurança online usando um modelo similar àquele que a sociedade

usa para tratar de doenças humanas. O modelo de saúde pública abrange vários conceitos

interessantes que podem ser aplicados à segurança da Internet.

Os países/regiões consistentemente menos infectados do mundo parecem já estar fazendo

várias das sugestões propostas pelo modelo de saúde de defesa coletiva. Um vídeo que analisa

o modelo está disponível no site do Trustworthy Computing aqui.

35

35

Windows Update e Microsoft Update

A Microsoft fornece diversas ferramentas e serviços que permitem que sistemas ou seus usuários

baixem e instalem atualizações diretamente pela Microsoft ou, para clientes empresariais, a partir

de servidores de atualizações gerenciados por seus administradores de sistemas. O software cliente

de atualização (chamado de Atualizações Automáticas no Windows XP e Windows Server 2003 e

simplesmente Windows Update no Windows 7, Windows Vista e Windows Server 2008) conecta-se

a um serviço de atualização para obter a lista de atualizações disponíveis. Após o cliente de

atualização determinar quais atualizações são aplicáveis a cada sistema exclusivo, ele instala as

atualizações ou notifica o usuário de que elas estão disponíveis, dependendo de como o cliente

está configurado e a natureza de cada atualização.

Para os usuários, a Microsoft fornece dois serviços de atualização que os clientes de atualização

podem usar:

O Windows Update fornece atualizações para componentes do Windows e para drivers

de dispositivos fornecidos pela Microsoft e outros fornecedores de hardware. O Windows

Update também distribui atualizações de assinaturas para produtos antimalware da

Microsoft e a versão mensal do MSRT. Por padrão, quando um usuário habilita a atualização

automática, o cliente de atualização conecta-se ao serviço Windows Update para obter

atualizações.

O Microsoft Update fornece todas as atualizações oferecidas pelo Windows Update, bem

como atualizações para outros softwares da Microsoft, como o sistema Microsoft Office,

Microsoft SQL Server e Microsoft Exchange Server. Os usuários podem optar por receber

o serviço ao instalar um software que tenha suporte pelo Microsoft Update ou no site

do Microsoft Update.

Os clientes empresariais também podem usar o WSUS (Serviços de Atualização do Windows

Server) ou a família de produtos de gerenciamento Microsoft System Center 2012 para fornecer

serviços de atualização para seus computadores gerenciados.

36

Figura 22. Uso do Windows Update e Microsoft Update, 2S06-2S11, indexado para uso total no 2S06

Desde sua introdução em 2005, o uso do Microsoft Update aumentou drasticamente.

37

37

Conclusão

Essa edição especial do SIR fornece informações sobre como o malware e outras formas

de software potencialmente indesejado evoluíram nos últimos 10 anos.

A computação se tornou parte da estrutura de nossas vidas diárias e as bases da sociedade

moderna estão se tornando mais digitais a cada dia. A tecnologia da informação e das

comunicações transformou para melhor o modo como vivemos, mas a sociedade ainda

encara alguns desafios antigos e em evolução.

À medida que o número de pessoas, computadores e dispositivos que se conectam à Internet

continua aumentando, as ameaças cibernéticas estão se tornando mais sofisticadas em sua

habilidade de coletar dados confidenciais, interromper operações fundamentais e conduzir

fraudes.

As ameaças cibernéticas hoje são muitas vezes caraterizadas como tecnicamente avançadas,

persistentes, bem fundamentadas e motivadas por vantagens lucrativas ou estratégicas.

A inteligência da segurança é um ativo valioso a todos os usuários de Internet, organizações,

governos e consumidores, que enfrentam uma variedade de ameaças que são qualquer coisa,

exceto estáticas. Como vivemos em um mundo tão dependente da TI, a dedicação da Microsoft

à segurança, privacidade e confiabilidade pode ser mais importante hoje do que era quando

o Trustworthy Computing foi criado em 2002.

Vários setores e organizações, incluindo a Microsoft, estão investindo em informações de

pesquisas, métodos de desenvolvimento de software e ferramentas para ajudar governos,

a indústria e as pessoas a reduzir e gerenciar melhor os riscos resultantes da incerteza do cenário

de ameaças que muda rapidamente. O Microsoft Trustworthy Computing continua contribuindo

com o ecossistema de computação, à medida que enfrentamos um novo mundo de dispositivos,

serviços e tecnologias de comunicação que continuam evoluindo.

38

Apêndice A: Tecnologias de proteção para computadores e atenuações

Resolver ameaças e riscos requer um esforço conjunto por parte das pessoas, organizações

e governos do mundo todo. A seção ―Managing Risk‖ (Gerenciando o risco) do site do SIR

apresenta várias sugestões para impedir ações prejudiciais de malware, violações e outras ameaças

de segurança, e para detectar e atenuar problemas quando eles ocorrem. Os tópicos dessa seção

do site incluem:

―Protecting Your Organization‖ (Protegendo sua organização), que oferece orientação para os

administradores de TI de pequenas, médias e grandes organizações que procuram melhorar

suas práticas de segurança e ficar atualizados com os desenvolvimentos mais recentes.

―Protecting Your Software‖ (Protegendo seu software), que oferece aos desenvolvedores

de software informações sobre como desenvolver software seguro, incluindo software

para uso interno, e como proteger sistemas voltados para a Internet de ataques.

―Protecting Your People‖ (Protegendo suas pessoas), que oferece orientações para promover

a conscientização sobre as ameaças de segurança e os hábitos de uso seguros da Internet

dentro de uma organização.

Mais informações úteis sobre vulnerabilidade e iniciativas de proteção contra malware estão

disponíveis nos seguintes documentos:

Information Sharing and MSRC 2010 (Compartilhamento de informações e MSRC 2010),

um relatório do Microsoft Security Response Center

White paper Mitigating Software Vulnerabilities (Atenuando vulnerabilidades de software)

Malware research and response at Microsoft (Resposta e pesquisa de malware na Microsoft).

Esse relatório se concentra na função e nas atividades do MMPC e na nossa visão para

fornecer respostas e pesquisas sobre malware completas e contínuas.

Introducing Microsoft Antimalware Technologies (Introduzindo tecnologias antimalware

da Microsoft). Esse white paper ajuda os profissionais de TI a entender melhor o cenário

de malware geral e como aproveitar os recursos em sua tecnologia antimalware.

39

39

Apêndice B: Famílias de ameaças mencionadas neste relatório

As definições das famílias de ameaças mencionadas neste relatório são adaptadas da Enciclopédia

sobre malware do MMPC, que contém informações detalhadas sobre um grande número de

famílias de malware e software potencialmente indesejado. Consulte a enciclopédia para

informações mais detalhadas e orientações sobre as famílias listadas aqui e durante todo

o relatório.

Win32/Alureon. Um cavalo de troia de roubo de dados que coleta informações confidenciais,

como nomes de usuário, senhas e dados de cartão de crédito de tráfego de entrada e saída da

Internet. Ele também pode baixar dados mal-intencionados e modificar configurações de DNS.

Win32/Autorun. Uma família de worms que se propaga se copiando para as unidades

mapeadas de um computador infectado. As unidades mapeadas podem incluir unidades

da rede ou removíveis.

Win32/Bagle. Um worm que se propaga enviando-se por email a endereços encontrados em

um computador infectado. Algumas variantes também se propagam por redes P2P. O Bagle

age como um cavalo de troia backdoor e pode ser usado para distribuir outros softwares

mal-intencionados.

Win32/ClickPotato. Um programa que exibe anúncios pop-up e de estilo de notificação

com base nos hábitos de navegação do usuário.

Win32/Conficker. Um worm que se propaga explorando uma vulnerabilidade resolvida

pelo boletim de segurança MS08-067. Algumas variantes também se propagam por unidades

removíveis e explorando senhas fracas. Ele desabilita vários produtos de segurança e serviços

importantes do sistema e baixa arquivos arbitrários.

Win32/FakeSpyPro. Uma família de software de segurança perigosa distribuída com os nomes

Antivirus System PRO, Spyware Protect 2009, entre outros.

Win32/Fixer. Malware que localiza várias entradas do Registro e outros tipos de dados,

identifica-os incorretamente como violações de privacidade e solicita que o usuário compre

um produto para remover as supostas violações.

Win32/Frethog. Uma grande família de cavalos de troia de roubo de senhas que tem

como objetivo dados confidenciais, como informações de contas, de jogos online para

muitos jogadores.

40

Win32/Hiloti. Uma família de cavalos de troia que interfere nos hábitos de navegação do

usuário afetado e baixa e executa arquivos arbitrários.

Win32/Keygen. Uma detecção genérica para ferramentas que geram chaves de produtos

para versões obtidas ilegalmente de vários produtos de software.

Win32/Msblast. Uma família de worms de rede que explora uma vulnerabilidade no Microsoft

Windows 2000 e Windows XP, e também pode tentar ataques do tipo DoS (negação de serviço)

em alguns sites de servidores ou criar programas backdoor que permitem aos invasores acessar

computadores infectados.

Win32/Mydoom. Uma família de worms de envio em massa que age como cavalo de troia

backdoor e permite que os invasores acessem sistemas infectados. O Win32/Mydoom pode

ser usado para distribuir outro software mal-intencionado e algumas variantes iniciam ataques

DoS contra sites específicos.

Win32/Nimda. Uma família de worms que tem como objetivo computadores que executam

certas versões do Windows e explora a vulnerabilidade descrita no boletim de segurança

da Microsoft MS01-020 para se propagar, infectando documentos com conteúdo da Web

e anexando-se a mensagens de email.

Win32/OpenCandy. Um programa adware que pode ser incluído em certos programas de

instalação de software de terceiros. Algumas versões podem enviar informações específicas do

usuário, incluindo um código de máquina exclusivo, informações sobre o sistema operacional,

localidade, entre outras, a um servidor remoto sem obter o consentimento adequado do usuário.

JS/Pornpop. Uma detecção genérica para objetos habilitados para JavaScript especialmente

criados que tentam exibir anúncios do tipo ―pop-under‖, normalmente com conteúdo adulto.

Win32/Rbot. Uma família de cavalos de troia backdoor que tem como objetivo certas versões do

Windows e permite que os invasores controlem computadores infectados por um canal do IRC.

Win32/Renos. Uma família de downloaders de cavalo de troia que instala um software de

segurança perigoso.

Win32/Rimecud. Uma família de worms com vários componentes que se propaga por

unidades fixas e removíveis e por mensagens instantâneas. Ele também contém funcionalidades

de backdoor que permitem o acesso não autorizado a um sistema afetado.

41

41

Win32/Rustock. Uma família de vários componentes de cavalos de troia backdoor habilitados

por rootkit que foi desenvolvida pela primeira vez por volta de 2006 para auxiliar na distribuição

de email spam.

Win32/Sasser. Uma família de worms de rede que explora a vulnerabilidade LSASS (Local Security

Authority Subsystem Service) corrigida na atualização da segurança da Microsoft MS04-011.

Win32/Sdbot. Uma família de cavalos de troia backdoors que permite aos invasores controlar

computadores infectados.

Win32/Sircam. Uma família de worms de rede de envio em massa que tem como objetivo certas

versões do Windows e se propaga enviando uma cópia de si mesmo como um anexo de email

a endereços de email encontrados nos computadores infectados.

Win32/Starware. Uma barra de ferramentas para navegador da Web que monitora pesquisas

em mecanismos de pesquisa populares, conduz sua própria pesquisa em conjunto e exibe os

resultados em um IFrame na janela do navegador.

Win32/Taterf. Uma família de worms que se espalha por unidades mapeadas para roubar

detalhes de logon e de contas de jogos online populares.

Win32/Wukill. Uma família de worms de rede de envio em massa que se propaga a diretórios raiz

de certas unidades locais e mapeadas. Ele também se propaga enviando uma cópia de si mesmo

como um anexo de email a endereços de email encontrados em computadores infectados.

Win32/Zlob. Uma família grande de vários componentes de malware que modifica as

configurações do Windows Internet Explorer, altera e redireciona home pages e pesquisas

padrão da Internet dos usuários e tenta baixar a executar arquivos arbitrários (incluindo

outros softwares mal-intencionados).

Win32/Zotob. Um worm de rede voltado principalmente a computadores que executam

o Windows 2000 e que não têm o boletim de segurança MS05-039 da Microsoft instalado.

Ele explora a vulnerabilidade de estouro de buffer do Windows Plug-and-Play.

Win32/Zwangi. Um programa executado como um serviço no segundo plano que modifica

as configurações do navegador da Web para visitar um determinado site.