Red Hat Summit
Visão geral
Malware significa "malicious software" (software mal-intencionado), incluindo qualquer software que aja contra os interesses do usuário. Um malware pode afetar não apenas o computador ou dispositivo infectado, mas qualquer outro aparelho que se conecte a ele.
Esse conceito inclui diversos tipos de ameaças, como worms e cavalos de troia mais simples e vírus de computador mais complexos. Malware, vírus e código malicioso são semelhantes mas não iguais. Portanto, apenas um tipo de software de antivírus ou antimalware não protegerá de todas as ameaças. Pode existir em computadores, laptops e dispositivos mobile e, dependendo do sistema operacional usado pelo dispositivo (Windows, Android, iOS ou Apple MacOS), o malware pode atacar e se apresentar de maneiras diferentes. Nenhum dispositivo é imune sempre, e a maioria deles, seja profissional ou pessoal, pode se beneficiar da proteção contra malware.
Uma estratégia eficaz de segurança da TI pode reduzir a exposição da sua organização a ataques de malware. As práticas comuns de cibersegurança incluem o gerenciamento de patches para eliminar vulnerabilidades nos sistemas e o controle de acesso para limitar o dano causado pelo malware. Além disso, com backups frequentes dos dados e o isolamento deles dos principais sistemas de produção, é possível se recuperar com rapidez e segurança de uma contaminação por malware.
Por que a proteção contra malware é importante na cibersegurança?
Imagine que você trabalha em um escritório como qualquer outro. Em uma manhã típica, você chega, pega um café e liga o computador. Aí tudo começa a dar errado.
Em vez de aparecer a área de trabalho, você vê uma tela vermelha com um cadeado e um relógio em contagem regressiva. Uma mensagem diz: "Seus arquivos foram criptografados." "Se você não fizer o pagamento em sete dias, perderá todos eles." Você olha à sua volta. Todos os seus colegas estão recebendo a mesma mensagem. Em todos os computadores.
Isso realmente aconteceu em locais de trabalho do mundo todo em maio de 2017: o malware WannaCry atacou empresas, agências governamentais e até mesmo serviços públicos importantes como hospitais.
Nem todo malware se apresenta dessa forma tão dramática. Talvez você nem saiba que seu computador está infectado com programas maliciosos que desaceleram o sistema ou violam sua privacidade. Cibercriminosos normalmente projetam esses programas para não serem detectados e só executam atividades perceptíveis sob condições muito específicas.
Talvez você não consiga impedir a ação do malware, mas é possível diminuir as chances de que ele afete suas operações. Basta se manter informado e adotar práticas de segurança inteligentes.
Tipos de malware
Para entender melhor o que um malware pode fazer e como reduzir os riscos, vamos dividir os tipos comuns de malware em categorias. Se você não tiver cuidado, esses tipos de malware podem se infiltrar em qualquer coisa, desde um dispositivo mobile Android até um laptop da Apple.
Um malware precisa de um código e uma de uma maneira de se espalhar para atingir seu objetivo. Funciona como um payload e um sistema de entrega, respectivamente. Veja abaixo um breve resumo da estrutura e mais explicações.
Sistemas de entrega
Cavalo de troia: engana o usuário a instalá-lo
Worm: multiplica-se automaticamente
Podem ser combinados a:
Falha: usa a vulnerabilidade de um software para conseguir acesso a um sistema e a dados confidenciais
Phishing: engana o usuário a fornecer informações que podem ser usadas para realizar a invasão
Rootkit ou bootkit: consegue acesso de administrador para não ser detectado e adquirir mais controle
Payload
Adware: exibe propagandas indesejadas
Botnet: coloca um dispositivo sob controle externo
Minerador de criptomoedas: usa a capacidade de computação para minerar criptomoedas
Ransomware: exige o pagamento de resgate
Spyware: coleta informações de maneira oculta usando um keylogger ou outros meios
Outros danos: destruição de dados, vandalismo ou sabotagem
Cavalos de troia
Cavalos de troia, normalmente chamados de Trojans, são arquivos executáveis propagados por meio da engenharia social. O Trojan convence os usuários desavisados a abrir e iniciar o arquivo executável se passando por algo diferente. Uma estratégia comum é persuadir o usuário a abrir um arquivo ou link da web que instalará o malware. Por exemplo, cavalos de troia como o scareware podem persuadir o usuário a pensar que um programa específico ajudará a proteger o computador, quando na verdade o programa faz o contrário.
Em outros casos, o usuário pode instalar uma aplicação que parece ser benéfica, mas que também contém um malware. Por exemplo, uma barra de ferramentas elegante para o navegador ou um teclado de emojis divertido. Outra técnica é dar a um usuário desatento um USB ou pen drive que contenha um malware com instalação automática. O malware cavalo de troia de acesso remoto (RAT) permite que cibercriminosos controlem seu dispositivo remotamente após a infiltração.
Worms
Propagam-se por lugares indesejados. Os primeiros worms experimentais de computador, que simplesmente se multiplicavam por conta própria, surgiram na década de 1970. Os tipos mais prejudiciais se reproduziam automaticamente e apareceram na década de 1980 e se tornaram os primeiros vírus de computador amplamente conhecidos. Eles se espalhavam entre as máquinas por meio de arquivos contaminados em disquetes, corrompendo os arquivos a que tinham acesso. Com a expansão da internet, os desenvolvedores de malwares e hackers criaram worms que se multiplicavam pelas redes. Eles se tornaram uma ameaça aos primeiros usuários e organizações conectados à web.
Falhas
Usam ilegalmente uma vulnerabilidade no software para que ele execute processos diferentes dos que foi projetado para executar. Uma malware pode usar uma falha para entrar em um sistema ou migrar por diferentes áreas dele. Muitas falhas aproveitam vulnerabilidades conhecidas (também chamadas de CVEs), contando com o fato de que nem todos os usuários mantêm os sistemas atualizados com patches de segurança. Outro tipo menos comum é a falha de dia zero, que aproveita uma vulnerabilidade crítica ainda não corrigida pelo administrador do software.
Phishing
Tipo de engenharia social em que o invasor tenta enganar alguém a fornecer informações confidenciais ou dados pessoais por meio de uma solicitação fraudulenta, como o spoofing de e-mails ou golpe. Os ataques de phishing são uma maneira de conseguir as credenciais de login e senha ou fazer roubo de identidade. Muitas vezes, eles antecedem uma invasão de malware.
Rootkits e bootkits
Os rootkits são um conjunto de ferramentas de software projetadas para assumir controle total de um sistema e cobrir os rastros desse processo. Eles substituem os controles administrativos comuns de um sistema. Já o bootkit é um tipo avançado de rootkit. Ele infecta um sistema no nível do kernel para ter ainda mais controle e dificultar ainda mais sua detecção.
Adware e spyware
O adware enche seu dispositivo de propagandas indesejadas, como pop-ups no navegador. Já o spyware coleta suas informações e as transmite para outro lugar. Ele inclui rastreadores que monitoram a sua atividade na Internet e ferramentas avançadas de espionagem. O spyware também usa keystroke loggers, ou keyloggers, que registram o que foi digitado no teclado pelo usuário. Além de violarem a sua privacidade, os spywares e adwares deixam o sistema lento e obstruem a rede. Enquanto os computadores com Windows foram historicamente o alvo preferido de malwares, os usuários de macOS também estão vulneráveis a anúncios pop-up e programas potencialmente indesejados (PUPs) disfarçados de software legítimo.
Botnets
Os botnets permitem que um usuário externo assuma o controle de um dispositivo, tornando-o parte de uma rede maior de dispositivos infectados. Os botnets costumam ser utilizados para realizar ataques distribuídos de negação de serviço (DDoS), enviar spam ou minerar criptomoedas. Qualquer dispositivo desprotegido conectado a uma rede está sujeito à contaminação. Geralmente, os botnets têm meios para aumentar a rede de dispositivos e são complexos o suficiente para realizar várias atividades mal-intencionadas ao mesmo tempo ou em sequência. Por exemplo, em 2016, o malware Mirai usou câmeras conectadas à Internet e roteadores domésticos para realizar ataques maciços de DDoS.
Ransomware
Ransonware que exige o pagamento de um resgate. Vários tipos comuns de ransomware criptografam os arquivos no sistema do usuário e exigem um pagamento em Bitcoins em troca de uma chave de decodificação. O ransomware começou a ter destaque em meados dos anos 2000. Desde então, ataques de ransomware continuam sendo uma das ameaças de segurança computacional mais sérias e comuns.
Smishing
Smishing ou phishing por SMS é uma forma relativamente nova de malware, em que golpistas enviam links com malware por mensagens de texto SMS para que as pessoas cliquem para fazer o download deles como se fossem um app. Os golpistas podem se passar por uma instituição financeira, agência governamental ou atendimento ao cliente de alguma empresa para tentar enganar a pessoa para fornecer senhas, cartões de crédito ou outras informações pessoais.
Outros danos
Muitas vezes, o objetivo do desenvolvedor ou operador do malware é destruir dados ou danificar algum dispositivo. Muito antes de o ransomware se tornar um problema, um dos primeiros programas de malware a chamar muita atenção da mídia foi o vírus Michelangelo em 1992. Ele substituía o disco rígido do computador infectado em uma data específica, que era 6 de março. Alguns anos depois, em 2000, o vírus ILOVEYOU se espalhou entre os usuários na forma de um script em Visual Basic enviado como o anexo de um e-mail. Quando executado, ele apagava vários arquivos e enviava uma cópia do vírus por e-mail a todos os contatos no catálogo de endereços do usuário.
Esses vírus parecem um pouco antiquados com relação aos padrões do malware moderno. Por exemplo, considere o Stuxnet. Em 2010, especialistas em segurança descobriram um worm surpreendente e muito avançado, projetado para adulterar um tipo específico de equipamento industrial. Muitos desses especialistas agora acreditam que o Stuxnet foi projetado pelos governos dos Estados Unidos e de Israel para sabotar o programa de armas nucleares do Irã. Nenhum desses governos assumiu a responsabilidade pelo worm. Nesse caso, temos o exemplo de um novo tipo de malware: o ataque cibernético patrocinado pelo Estado.
Como se proteger contra o malware?
O melhor jeito de se proteger contra o malware é não permitir que o seu computador seja infectado. É possível usar antivírus ou softwares de proteção contra malware, mas há outras soluções de segurança que você pode implmentar hoje para aumentar a sua resiliência.
Adote uma arquitetura de segurança confiança zero
Por décadas, as empresas foram projetadas com uma rede interna ou confiável separada do mundo externo por um perímetro de firewalls e outras proteções de segurança. Indivíduos ou endpoints no perímetro, ou conectados por meios remotos, como VPN, tinham um nível de confiança maior do que aqueles fora do perímetro. Isso resultou em uma "superfície firme" mas um "centro suave" que era facilmente atravessado por agentes maliciosos uma vez acessado. Para gerenciar as vulnerabilidades, as empresas estão adotando um Acesso a Rede com Confiança Zero (ZTNA) mais granular, que segmenta o acesso e limita as permissões do usuários a aplicações e serviços específicos.
Redução da superfície de ataque
Reduza os sistemas, aplicações e portas expostos à Internet.
Orientação aos usuários
Os usuários precisam saber que é necessário ter cuidado com links e anexos nos e-mails, mesmo aqueles que parecem ser autênticos. E também ter ciência de que ameaças internas podem levar a ataques de malware.
Detecção
Quanto mais cedo você detectar uma contaminação por malware, mais cedo conseguirá corrigir o sistema. Lembre-se de que alguns tipos de malware são projetados para ficarem ocultos. As ferramentas de proteção contra malware e antivírus exigem atualizações frequentes nas assinaturas para monitorar novas variantes. Além disso, é recomendável adotar vários métodos de detecção.
Gerenciamento de patches
Como os administradores de software costumam aplicar patches de segurança o mais cedo possível, a execução do software de segurança atualizado (além de todo o seu sistema) reduz o risco de contaminação por malware. O gerenciamento efetivo de patches é quando todos os sistemas da organização recebem atualizações de segurança no momento certo. Procure e aplique essas atualizações com frequência para se proteger contra falhas conhecidas.
Controle de acesso
É necessário limitar o controle administrativo às aplicações confiáveis e aos usuários que realmente precisam dele. Dessa forma, se algum malware atacar seu computador, ele terá mais dificuldade para contaminar as funções básicas do sistema. Verifique seus controles administrativos com frequência. Sempre que possível, exija autenticação de vários fatores para proteger o acesso.
Criptografia e backup dos dados
A segurança de dados apropriada faz uma enorme diferença durante um ataque de malware. Se o pior acontecer, e o malware conseguir entrar no seu sistema, você conseguirá fazer o failover para um backup íntegro realizado antes da contaminação. Resumindo, isso significa que você manterá os dados do backup isolados para que o malware não consiga danificá-los ou apagá-los. Também é recomendável usar criptografia para que os dados exportados pelo malware não tenham utilidade. Na prática, isso exige uma combinação de estratégias que varia de acordo com o tamanho e a complexidade das empresas. Em organizações de grande porte, ter uma solução de armazenamento definido por software em um ambiente de nuvem híbrida oferece muita flexibilidade nas opções de criptografia e backup.
Todos os sistemas de computadores têm vulnerabilidades, e os desenvolvedores de malware não cansam de tentar encontrá-las e explorá-las. Isso faz com que a proteção contra malware seja uma atividade em constante evolução.
No guia de tecnologia da Red Hat sobre segurança da TI, você encontra mais informações sobre como definir procedimentos, processos e políticas de segurança.
