A “Executivos Financeiros” publicou em 15/2 o resultado de uma pesquisa da F-Secure que indica o Brasil é o maior alvo de cavalos-de-tróia em sites bancários do mundo. De acordo com a pesquisa, 30,7% dos bancos com clientes infectados por trojans em todo o mundo são brasileiros, seguido pelos Estados Unidos, com 16,9% e pelo Reino Unido, com 13,8%. Além disso, os cavalos-de-tróia brasileiros seriam personalizados para alguns bancos, enquanto que em outros países esses seriam genéricos.
Os ataques ocorrem através do phishing, a técnica de enviar emails fraudulentos com cavalos-de-tróia anexados ou para fazer com que a pessoa acesse um site fraudulento de seu banco. O phishing é realmente o maior problema para os bancos atualmente por atingir o elo mais fraco da segurança bancária: o cliente. No Brasil o phishing é um problema antigo, tanto que evoluiu para os programas personalizados que a pesquisa se refere. Os tipos antigos – genéricos - simplesmente não tem mais eficiência contra os bancos brasileiros.
A análise do histórico de phishing no Brasil serve com um bom parâmetro para a evolução das ameaças na Internet e das tecnologias de proteção. Hoje, contra os tipos de ameaças que os bancos no Brasil estão sujeitos, soluções genéricas e pontuais também não funcionam. O mercado de segurança está hoje em um momento de transição, do modelo baseado em soluções pontuais e genéricas para o modelo baseado em uma visão mais ampla, mais integrado e mais personalizado, ou seja, com uma camada cada vez maior de serviços.
quinta-feira, 21 de fevereiro de 2008
terça-feira, 12 de fevereiro de 2008
Green Security
Dentre as muitas tendências da Tecnologia da Informação, GreenIT, ou TI Verde, aparece como uma das mais promissoras a ocupar a agenda dos CIOs. GreenIT é sinônimo de redução do consumo de energia pela infraestrutura de TI, principalmente datacenters, e a discussão vem ganhando corpo. Ao se olhar alguns dados pesquisados é fácil ver onde está a justificativa: de acordo com cientistas do Lawrence Berkeley National Laboratory, um CPD típico de 3 mil metros quadrados consome mais eletricidade que 8.000 lâmpadas de 60 watt, o que representa de 6 a 10 vezes a energia necessária para um edifício de escritórios típico em seu horário de pico. Essa incrível demanda de energia cresce não só pelo consumo de energia dos servidores mas também porque os novos servidores, cada vez mais adensados, liberam mais calor, exigindo também mais capacidade de refrigeração. Hoje a energia consumida pelos componentes de refrigeração responde de 60 a 70% da energia total consumida em um CPD.
Uma leitura atenta do parágrafo anterior revela o que será na verdade o grande motivador para que empresas de todos os setores e tamanhos, conscientes ou não da questão ambiental, coloquem o tema em sua lista de prioridades: custos. A cada ano o modelo atual de centro de processamento de dados torna-se mais caro; basicamente por dois motivos relacionados entre si: o aumento do consumo de energia e o aumento do custo dessa energia. O aumento do consumo de energia se dá pelo aumento do poder de processamento, de novas aplicações adicionadas aos CPDs (VoIP e streaming de vídeo são bons exemplos), adensamento das CPUs que assim produzem mais calor e o aumento dos requerimentos de refrigeração.
A indústria de TI como um todo está se mexendo para dar a seus clientes uma solução compatível com as exigências de desempenho, custos e eficiência que as empresas modernas requerem de seus fornecedores. E assim chegamos a uma das soluções que mais vem sendo adotada: virtualização. Virtualização significa fazer mais com menos. Mais aplicações, mais processamento, e menos hardware. Menos hardware também significa menos custos de manutenção e gerenciamento de servidores. Como vantagem para a virtualização pesa o fato que é uma tecnologia antiga e madura, com diversas soluções para diferentes ambientes e necessidades, e com fornecedores bem estabelecidos e conhecidos. Não é portanto uma aventura tecnológica, tanto que o IDC estima gastos de 15 bilhões em 2009 com virtualização.
Mas como fica a segurança em um ambiente virtualizado? É a mesma coisa que para um ambiente tradicional? A resposta é sim, todos as ameaças a um ambiente físico também estão presentes no ambiente virtualizado. Virtualização reduz a necessidade de servidores mas não a exposição à ameaças. Além disso, ela introduz novas camadas de software que trazem novas janelas de oportunidades a invasores. O diagrama abaixo mostra as camadas típicas de um sistema virtualizado:
O uso dos componentes de sistemas de virtualização como vetor de ataque foi comprovado por dois trabalhos de pesquisa de 2006 que merecem ser consultados para quem quer se aprofundar no assunto. O primeiro deles, “Introducing Blue Pill”, de Joanna Rutkowska, foi apresentado em Julho de 2006 no SysScan Conference em Singapura. Um resumo foi publicado em 26 de Junho de 2006, no blog da autora: http://theinvisiblethings.blogspot.com/2006/06/introducing-blue-pill.html. O BluePill se trata de um rootkit que usa virtualização para se comunicar com o hardware sem ser detectado. O outro trabalho também se relaciona com um rootkit, chamado de SubVirt, e é anterior ao BluePill. O SubVirt se baseia em tecnologias comerciais de virtualização como o VMWare e o VirtualPC. O artigo da pesquisa - SubVirt: Implementing malware with virtual machines – pode ser consultado em http://www.eecs.umich.edu/virtual/papers/king06.pdf é de autoria da Universidade de Michigan e da Microsoft Research.
Uma apresentação que causou bastante barulho, também em 2006, foi a do rootkit Vitriol no Microsoft BlueHat summit. O rootkit foi criado para enganar a tecnologia de proteção PatchGuard da Microsoft. O rootkit utiliza funções avançadas de suporte a virtualização presentes nos novos chips Intel e AMD, e “pode migrar on the fly um sistema operacional em execução para uma máquina virtual e instalar-se como um hypervisor rootkit (ou seja oculto). O código malicioso assim torna-se inacessível para o sistema operacional, mantendo-se oculto e controlando o acesso ao malware”. Eu diria que dessa forma o malware passa a controlar efetivamente o computador com pouquissimas chances de ser detectado e removido. Para quem se interessar, mais informações estão na Insecure.org: http://seclists.org/isn/2006/Oct/0079.html. Vale a penas também olhar a apresentação do criador do Vitriol que está disponível em http://www.theta44.org/software/HVM_Rootkits_ddz_bh-usa-06.pdf (há um link para esta apresentação no final do artigo da Insecure.org).
Os exemplos anteriores mostram o uso dos componentes de virtualização como vetores de ataques, porém a camada de gerenciamento pode também ser vulnerável, como demonstra vulnerabilidades descobertas que afetam sistemas de gerenciamento de fornecedores do mercado. Essas vulnerabilidades podem ser consultadas no site do X-Force (http://xforce.iss.net/) ou sites similares, e mostram a seriedade com que o tema deve ser tratado. Um ambiente virtual pode ser muito mais complexo do que um ambiente físico, e exige muito mais atenção do que um ambiente físico ao ser planejado e instalado. A solução passa pela utilização de sistemas de proteção de servidor compatíveis com virtualização, o tratamento de servidores virtuais com o mesmo cuidado dos servidores físicos (não só o sistema operacional hospedeiro deve ser protegido), o cuidado no desenho da “rede virtual” e em políticas e processos de controle mais rígidos.
Uma leitura atenta do parágrafo anterior revela o que será na verdade o grande motivador para que empresas de todos os setores e tamanhos, conscientes ou não da questão ambiental, coloquem o tema em sua lista de prioridades: custos. A cada ano o modelo atual de centro de processamento de dados torna-se mais caro; basicamente por dois motivos relacionados entre si: o aumento do consumo de energia e o aumento do custo dessa energia. O aumento do consumo de energia se dá pelo aumento do poder de processamento, de novas aplicações adicionadas aos CPDs (VoIP e streaming de vídeo são bons exemplos), adensamento das CPUs que assim produzem mais calor e o aumento dos requerimentos de refrigeração.
A indústria de TI como um todo está se mexendo para dar a seus clientes uma solução compatível com as exigências de desempenho, custos e eficiência que as empresas modernas requerem de seus fornecedores. E assim chegamos a uma das soluções que mais vem sendo adotada: virtualização. Virtualização significa fazer mais com menos. Mais aplicações, mais processamento, e menos hardware. Menos hardware também significa menos custos de manutenção e gerenciamento de servidores. Como vantagem para a virtualização pesa o fato que é uma tecnologia antiga e madura, com diversas soluções para diferentes ambientes e necessidades, e com fornecedores bem estabelecidos e conhecidos. Não é portanto uma aventura tecnológica, tanto que o IDC estima gastos de 15 bilhões em 2009 com virtualização.
Mas como fica a segurança em um ambiente virtualizado? É a mesma coisa que para um ambiente tradicional? A resposta é sim, todos as ameaças a um ambiente físico também estão presentes no ambiente virtualizado. Virtualização reduz a necessidade de servidores mas não a exposição à ameaças. Além disso, ela introduz novas camadas de software que trazem novas janelas de oportunidades a invasores. O diagrama abaixo mostra as camadas típicas de um sistema virtualizado:
Os sistemas de virtualização em geral introduzem três novos componentes de software. O Hypervisor ou VMM (virtual machine monitor) é o componente quer permite a execução e coordena as múltiplas instâncias de sistemas operacionais ou serviços que são executados no sistema hospedeiro. Esses sistemas ou serviços virtuais necessitam compartilhar os mesmos componentes de hardware, e a multiplexação ou interface desses diversos sistemas em execução com o hardware físico cabe ao componente de virtualização de hardware. Por fim há o componente de gerenciamento. Todos sabemos que novos componentes significam novas vulnerabilidades, e dessa forma novas ameaças em potencial. Além das novas vulnerabilidades trazidas com os novos componentes, há as vulnerabilidades herdadas dos sistemas operacionais executados. O Windows e Linux terão as mesmas vulnerabilidades, sendo executados em um servidor físico ou em um virtual.
O uso dos componentes de sistemas de virtualização como vetor de ataque foi comprovado por dois trabalhos de pesquisa de 2006 que merecem ser consultados para quem quer se aprofundar no assunto. O primeiro deles, “Introducing Blue Pill”, de Joanna Rutkowska, foi apresentado em Julho de 2006 no SysScan Conference em Singapura. Um resumo foi publicado em 26 de Junho de 2006, no blog da autora: http://theinvisiblethings.blogspot.com/2006/06/introducing-blue-pill.html. O BluePill se trata de um rootkit que usa virtualização para se comunicar com o hardware sem ser detectado. O outro trabalho também se relaciona com um rootkit, chamado de SubVirt, e é anterior ao BluePill. O SubVirt se baseia em tecnologias comerciais de virtualização como o VMWare e o VirtualPC. O artigo da pesquisa - SubVirt: Implementing malware with virtual machines – pode ser consultado em http://www.eecs.umich.edu/virtual/papers/king06.pdf é de autoria da Universidade de Michigan e da Microsoft Research.
Uma apresentação que causou bastante barulho, também em 2006, foi a do rootkit Vitriol no Microsoft BlueHat summit. O rootkit foi criado para enganar a tecnologia de proteção PatchGuard da Microsoft. O rootkit utiliza funções avançadas de suporte a virtualização presentes nos novos chips Intel e AMD, e “pode migrar on the fly um sistema operacional em execução para uma máquina virtual e instalar-se como um hypervisor rootkit (ou seja oculto). O código malicioso assim torna-se inacessível para o sistema operacional, mantendo-se oculto e controlando o acesso ao malware”. Eu diria que dessa forma o malware passa a controlar efetivamente o computador com pouquissimas chances de ser detectado e removido. Para quem se interessar, mais informações estão na Insecure.org: http://seclists.org/isn/2006/Oct/0079.html. Vale a penas também olhar a apresentação do criador do Vitriol que está disponível em http://www.theta44.org/software/HVM_Rootkits_ddz_bh-usa-06.pdf (há um link para esta apresentação no final do artigo da Insecure.org).
Os exemplos anteriores mostram o uso dos componentes de virtualização como vetores de ataques, porém a camada de gerenciamento pode também ser vulnerável, como demonstra vulnerabilidades descobertas que afetam sistemas de gerenciamento de fornecedores do mercado. Essas vulnerabilidades podem ser consultadas no site do X-Force (http://xforce.iss.net/) ou sites similares, e mostram a seriedade com que o tema deve ser tratado. Um ambiente virtual pode ser muito mais complexo do que um ambiente físico, e exige muito mais atenção do que um ambiente físico ao ser planejado e instalado. A solução passa pela utilização de sistemas de proteção de servidor compatíveis com virtualização, o tratamento de servidores virtuais com o mesmo cuidado dos servidores físicos (não só o sistema operacional hospedeiro deve ser protegido), o cuidado no desenho da “rede virtual” e em políticas e processos de controle mais rígidos.
O título do artigo – Green Security – foi claro um trocadilho com GreenIT, mas pode ser interpretado como o desafio de implementar um ambiente de virtualização com segurança, e impedir que as perdas com a falta de segurança sejam maiores que os ganhos obtidos com a virtualização.
Assinar:
Postagens (Atom)