Eixos da Cibersegurança: um modelo conceitual

Há tempos venho tentando classificar e agrupar os diversos eixos (disciplinas, segmentos, temas, aspectos) da cibersegurança, para melhor compreensão e organização.

Um dos principais referenciais mundiais é o Cybersecurity Framework (CSF) do NIST, o Instituto Americano de Padrões e Tecnologia (o “Inmetro dos EUA”). Ele agrupa 24 “categorias” de atividades de segurança cibernética em 5 funções básicas: Identificar, Proteger, Detectar, Responder e Recuperar.

Como já mencionei em artigo anterior, estas funções básicas correspondem ao que as normas internacionais ABNT NBR ISO/IEC 27002:2022 e ISO/IEC TS 27110 denominam conceitos de segurança cibernética, mas os conceitos não dão uma visão prática dos tipos de atividades, controles e tecnologias envolvidos. Vários controles compreendem mais de uma função básica.

Outro referencial, este menos difundido, creio, é o CyBOK – Cyber Security Base of Knowledge, base de conhecimento em cibersegurança mantida por um grupo internacional de especialistas coordenados pela Universidade de Bristol, Reino Unido. O CyBOK é dividido em 21 áreas de conhecimento agrupadas em 5 categorias: “Aspectos Humanos, Organizacionais e Regulatórios”, “Ataques e Defesas”, “Segurança de Sistemas”, “Segurança de Software e Plataforma” e “Segurança de Infraestrutura”. Esta organização é interessante, mas ainda não era o que eu buscava.

O CIS – Centro para Segurança na Internet, com o CIS Critical Security Controls, outro referencial tão mundialmente difundido quanto o NIST CSF, traz uma visão muito prática e objetiva de 18 tipos de controles necessários para cibersegurança, detalhados no que ele denomina “salvaguardas” (que são o detalhamento de controles). Mas esses tipos de controles no CIS Controls não estão agrupados em um modelo conceitual de mais alto nível.

Estudando e convivendo com os controles, tecnologias, produtos e serviços tipicamente envolvidos e encontrados no mercado, eu amadureci um modelo de 8 eixos, que representei a seguir em um diagrama de “templo grego”:

No topo está a Governança e gestão de cibersegurança, que representa os níveis estratégico de governança, risco e conformidade (GRC) e tático de gestão de cibersegurança. O aspecto estratégico abrange políticas, normas, procedimentos, métricas, indicadores, bem como visão e análise holísticas de um sistema de gestão de segurança da informação (SGSI) e um sistema de gestão da continuidade de negócio (SGCN), e está presente nas normas ISO 27001 e 27002. Mas nem tanto nos CIS Controls, que já começa por aspectos mais pragmáticos como a gestão de ativos de hardware e software.

A seguir temos 6 eixos que são pilares da maioria dos controles e atividades de segurança cibernética:

  • Monitoramento, detecção e resposta: focado na segurança defensiva, tipicamente executada por equipes “Blue Team” e “Purple Team”, nos eventos e incidentes de segurança e na equipe de tratamento e resposta a incidentes (ETIR), ou em inglês “computer security incident response team” (CSIRT), em geral envolvendo um centro de operações de segurança (em inglês, “security operations center” – SOC), utilizando tecnologias como “security information and event management” (SIEM), “security orchestration, automation and response” (SOAR), “extended detection and response” (XDR), “network detection and response” (NDR), “user and entity behavior analytics” (UEBA) e outras;
  • Gestão de vulnerabilidades e exposição a ameaças: focado na segurança ofensiva e proativa, tipicamente executada por equipes “Red Team”, em aspectos como varredura por vulnerabilidades (brechas em softwares desatualizados, configurações inseguras etc.), superfície de ataque e testes de segurança (como teste de invasão – pentest), em geral orientados por priorização baseada em risco (das vulnerabilidades, dos ativos e do contexto);
  • Gestão de identidade e acesso (em inglês, “identity and access management” – IAM), que o Gartner e o mercado tipicamente dividem em governança e gestão de identidade (em inglês, “identity governance and administartion” – IGA), gestão de acesso e autorização (“access and authorization management” – AAM) e gestão de acessos privilegiados (“privileged access management” – PAM);
  • Segurança de redes e nuvem: é onde estão tecnologias como firewall (controle do tráfego de dados, prevenção a intrusões etc.) e “security service edge” (SSE), dentre outras;
  • Segurança de aplicações e desenvolvimento de software seguro: aborda desde o processo e ciclo de vida de desenvolvimento de software até a efetiva proteção e os testes estáticos e dinâmicos das aplicações corporativas;
  • Proteção e recuperação de dados: engloba desde aspectos fundamentais como cópia de segurança (backup) e recuperação de dados, passando por criptografia, até mapeamento e gestão do tratamento de dados pessoais e privacidade.

Na base de tudo está o eixo da Capacitação e conscientização em cibersegurança, o foco nas pessoas (o aspecto humano), abrangendo tanto os treinamentos e certificações de conhecimentos e habilidades quanto a contínua conscientização em cibersegurança e suas inúmeras ameaças, tanto do pessoal técnico de tecnologia quanto dos usuários.

Com estes 8 pilares, pude fazer uma correlação bem razoável com os 18 Controles do CIS:

  • Governança e Gestão
    • 01: Inventário e Controle de Ativos Corporativos
    • 02: Inventário e Controle de Ativos de Software
    • 15: Gestão de Provedores de Serviços
  • Monitoramento, Detecção e Resposta
    • 08: Gestão de Registros de Auditoria
    • 10: Defesas contra Malware
    • 17: Gestão de Resposta a Incidentes
  • Gestão de Vulnerabilidades
    • 04: Configuração Segura de Ativos
    • 07: Gestão Contínua de Vulnerabilidades
    • 18: Testes de Invasão
  • Identidade e Acesso
    • 05: Gestão de Contas
    • 06: Gestão de Controle de Acesso
  • Segurança de Redes e Nuvem
    • 09: Proteção de Email e Web Browser
    • 12: Gestão da Infraestrutura de Redes
    • 13: Monitoramento e Defesa de Rede
  • Segurança de Aplicações e Dev
    • 16: Segurança de Aplicações/ Software
  • Proteção e Recuperação de Dados
    • 03: Proteção de Dados
    • 11: Recuperação de Dados
  • Capacitação e Conscientização
    • 14: Conscientização e Treinamento em Segurança

Espero que este modelo faça sentido para mais pessoas atuando na área de segurança cibernética. Contribuições e críticas são bem vindas!…

Atualização das normas de segurança da informação: ISO 27002:2022

O tema de segurança da informação é bem estruturado em termos de normas e padrões, desde quando o British Standards Institution (BSI) Group, organismo de padrões nacionais do Reino Unido, publicou a primeira norma BS 7799 em 1995, adotada como norma internacional ISO/IEC 17799 em 2000 e inaugurando a série de normas internacionais ISO 27000 em 2005.

De lá pra cá, com a evolução do mundo digital e interconectado (o ciberespaço) vieram os conceitos específicos de cibersegurança ou segurança cibernética; e com o marco legal da General Data Protection Regulation (GDPR) em 2016, regulação da proteção de dados europeia, e sua coirmã brasileira Lei Geral de Proteção de Dados (LGPD), Lei Federal nº 13.709, de 14 de agosto de 2018, os de privacidade e proteção de dados pessoais.

Os períodos de isolamento social impostos pela pandemia mundial de COVID-19 aceleraram ainda mais o uso e a dependência de tecnologia no mundo, e também as ameaças e ataques do cibercrime, como o ransomware (sequestro digital de dados) e os vazamentos de dados.

Duas normas internacionais fundamentais de segurança da informação foram atualizadas em 2022 ganhando sua terceira edição: a ISO/IEC 27002:2022 publicada em 15/02/2022 e sua versão brasileira traduzida e publicada em 05/10/2022 como ABNT NBR ISO/IEC 27002:2022 – Segurança da informação, segurança cibernética e proteção à privacidade – Controles de segurança da informação; e a recém publicada ISO/IEC 27001:2022, de 25/10/2022, e sua tradução brasileira ABNT NBR ISO/IEC 27001:2022 – Requisitos de sistemas de gestão da segurança da informação, de 23/11/2022. A edição anterior destas normas era de 2013.

O próprio título e classificação da norma 27002 já reflete a evolução mencionada. O título em 2013 era “Tecnologia da informação – Técnicas de segurança – Código de prática para controles de segurança da informação”. Em 2022 se tornou “Segurança da informação, segurança cibernética e proteção à privacidade — Controles de segurança da informação”.

A exclusão do termo “código de prática” também ficou coerente, pois a norma 27002 aborda controles em âmbito genérico e conceitual, enquanto controles mais práticos nas camadas lógica e física (mecanismos) são abordados por guias como NIST SP 800-53Security and Privacy Controls for Information Systems and Organizations (controles de segurança e privacidade para sistemas de informação e organizações) e NIST SP 800-53BControl Baselines for Information Systems and Organizations (linhas de base de controles), do Instituto Nacional de Padrões e Tecnologia – NIST do Governo Americano, e CIS Critical Security Controls (controles críticos de segurança) do Centro para Segurança na Internet – CIS.

A ISO 27002:2022 reorganiza e atualiza os controles nos grupos de classificações a seguir. A propósito: controles são as medidas adotadas para tratar riscos.

Assim, cada controle da ISO 27002:2022 é apresentado inicialmente com um quadro com as classificações aplicáveis. Veja um exemplo:

. .
Em seguida, a norma apresenta a descrição, o propósito e as orientações de cada controle.

Temas

A norma 27002:2013 tinha 42 objetivos de controle desdobrados em 114 controles, distribuídos em 14 grupos. A 27002:2022 simplificou essa organização; não há mais os grupos nem os objetivos de controle; ela traz 11 novos controles e 32 foram agrupados com outros, resultando em 93 controles, organizados em 4 temas:

  • 8 Controles de Pessoas: dizem respeito a pessoas físicas (indivíduos);
  • 14 Controles Físicos: dizem respeito a espaços e objetos físicos, inclusive edificações;
  • 34 Controles Tecnológicos: dizem respeito à tecnologia;
  • 37 Controles Organizacionais: demais controles, que tem um escopo amplo ou difuso.

Estes temas mostram como segurança da informação é assunto que deve ser tratado estrategicamente pela alta gestão das organizações e extrapola tecnologia e segurança cibernética. Envolve também aspectos institucionais e organizacionais, pessoas (recursos humanos em geral, como empregados, usuários, clientes, parceiros, fornecedores e outras pessoas na cadeia de suprimento e operações do negócio), objetos e espaços físicos.

A norma internacional ABNT NBR ISO/IEC 27035-3:2021 – Diretrizes para operações de resposta a incidentes de TIC [tecnologia da informação e comunicação], esclarece em sua introdução:

Um incidente de segurança da informação pode ou não envolver TIC. Por exemplo, informações que se espalham involuntariamente por meio da perda de documentos em papel podem muito bem ser um incidente grave de segurança da informação, o que requer relatórios, investigações, contenções, ações corretivas e envolvimento da direção. Este tipo de gestão de incidentes geralmente é realizado, por exemplo, pelo CISO (Chief Information Security Officer) dentro da organização.

Tipos

Os controles podem ser de três tipos, que tem a ver com o momento de atuação (antes, durante ou depois) em relação à ocorrência de incidentes:

  • Preventivo: se destina a evitar a ocorrência de um incidente de segurança da informação;
  • Detectivo: age quando ocorre um incidente de segurança da informação;
  • Corretivo: age após um incidente de segurança da informação ter ocorrido.

Propriedades de segurança da informação

Os controles da norma 27002 visam tratar uma ou mais propriedades básicas de segurança da informação, chamadas “CID”, ou seja, em quais características básicas de segurança das informações cada controle contribuirá para preservação, a saber:

  • Confidencialidade
  • Integridade
  • Disponibilidade

Conceitos de segurança cibernética

Os controles da 27002:2022 também são associados a um ou mais do que ela denomina conceitos de segurança cibernética, conforme nome ISO/IEC TS 27110, mais conhecidos pelo mundialmente difundido NIST Cibersecurity Framework (cujo “nome completo” em português é “Guia de Aperfeiçoamento da Segurança Cibernética para Infraestrutura Crítica”) como as 5 funções básicas (core functions) de cibersegurança:

  • Identificar
  • Proteger
  • Detectar
  • Responder
  • Recuperar
CSF core functions: Identify, Protect, Detect, Respond, Recober.

Capacidades operacionais

O que a norma 27002:2022 denomina capacidades operacionais podem ser entendidas como as diversas “verticais” ou “assuntos” em que em geral se desdobram a abordagem e a aplicação da segurança da informação.

  • Governança (políticas, processos, procedimentos…);
  • Gestão de ativos (em tecnologia, abrange tanto hardware quanto software);
  • Proteção da informação (incluem-se aí proteção de dados pessoais, criptografia, mascaramento…);
  • Segurança em recursos humanos;
  • Segurança física;
  • Segurança de sistemas e redes (inclusive computação em nuvem);
  • Segurança de aplicações (inclusive codificação/desenvolvimento seguro);
  • Configuração segura (de ativos);
  • Gestão de identidade e acesso (um tema bem amplo por si só, que costuma ser dividido em três grandes vertentes: governança e administração de identidades – IGA, gestão e controle de acesso – AM, e gestão de acessos privilegiados – PAM);
  • Gestão de ameaças e vulnerabilidades (tipicamente orientada pela análise e avaliação de riscos associados às ameaças e vulnerabilidades mapeadas e identificadas);
  • Continuidade (de negócio e de tecnologia, inclusive gestão de crises);
  • Segurança da cadeia de suprimentos;
  • Legal e conformidade;
  • Gestão de eventos de segurança da informação (inclusive tratamento e resposta a incidentes);
  • Garantia de segurança da informação.

Vi uma certo paralelo com a organização das salvaguardas dos 18 controles do CIS Controls v8, que listo a seguir a título de comparação:

  • CIS Controle 1: Inventário e controle de ativos corporativos (Enterprise Assets) – 5 salvaguardas
  • CIS Controle 2: Inventário e controle de ativos de software – 7 salvaguardas
  • CIS Controle 3: Proteção de dados – 14 salvaguardas
  • CIS Controle 4: Configuração segura de ativos corporativos e software – 12 salvaguardas
  • CIS Controle 5: Gestão de contas (Account Management) – 6 salvaguardas
  • CIS Controle 6: Gestão do controle de acesso – 8 salvaguardas
  • CIS Controle 7: Gestão contínua de vulnerabilidades – 7 salvaguardas
  • CIS Controle 8: Gestão de registros de auditoria (Audit Log) – 12 salvaguardas
  • CIS Controle 9: Proteções de e-mail e navegador Web – 7 salvaguardas
  • CIS Controle 10: Defesas contra malware – 7 salvaguardas
  • CIS Controle 11: Recuperação de dados – 5 salvaguardas
  • CIS Controle 12: Gestão de infraestrutura de rede – 8 salvaguardas
  • CIS Controle 13: Monitoramento e defesa da rede – 11 salvaguardas
  • CIS Controle 14: Conscientização sobre segurança e treinamento de competências (Security Awareness and Skills Training) – 9 salvaguardas
  • CIS Controle 15: Gestão de provedores de serviços – 7 salvaguardas
  • CIS Controle 16: Segurança de aplicações software – 14 salvaguardas
  • CIS Controle 17: Gestão de resposta a incidentes – 9 salvaguardas
  • CIS Controle 18: Testes de invasão (Penetration Testing) – 5 salvaguardas

Domínios

A 27002:2022 ainda associa os controles a quatro domínios e suas subdivisões. Sinceramente, achei que esses domínios se sobrepõem aos demais aspectos e classificações anteriores e vi pouca significância adicional, mas os listo a seguir.

  • Governança e Ecossistema
    • Governança do sistema de segurança da informação e gestão de riscos
    • Gestão de segurança cibernética do ecossistema (incluindo partes interessadas internas e externas)
  • Proteção
    • Arquitetura de segurança de TI
    • Administração de segurança de TI
    • Gestão de identidade e acesso
    • Manutenção de segurança de TI
    • Segurança física e ambiental
  • Defesa
    • Detectar
    • Gestão de incidente de segurança computacional
  • Resiliência
    • Operações de continuidade
    • Gestão de crises

Considerações finais

Recomendo ver o mapeamento entre os 18 controles do CIS Controls v8 e a norma ISO/IEC 27002:2022, parte do vasto material de recursos e ferramentas disponíveis para o CIS Controls v8. Assim como o NIST Cibersecurity Framework (CSF), os CIS Controls são um referencial amplamente difundido e utilizado mundialmente. Este mapeamento feito entre os CIS Controls v8 e a norma ISO 27002:2022 é muito útil para consolidar conceitos e abordagens.

Não faltam normas e recursos cada vez mais amplos e frequentemente atualizados em segurança da informação, segurança cibernética e privacidade. Também não faltam ferramentas, produtos e serviços para os mais variados aspectos envolvidos. O que costuma faltar é tempo e capacitação para os profissionais de segurança absorverem tanta coisa. Bons estudos!

Veja também

Controle parental na vida digital dos filhos

Certa dia entrei em minha conta de uma rede social e recebi o aviso de que um colega, avesso a redes sociais, havia se cadastrado naquela. Ao encontrá-lo no trabalho, falei: “Mudou de opinião sobre as redes sociais? Vi que se inscreveu.” Ele me respondeu: “Continuo não gostando. Mas minha filha se cadastrou, tive logo que entrar e me tornar amigo dela para poder acompanhar de perto.”

A atitude do meu colega é exemplar. Creio ser fundamental o acompanhamento próximo dos pais na educação, orientação e controle de crianças e jovens, tanto no “mundo físico” quanto no ciberespaço, no universo digital.

As crianças da atualidade são nato-digitais, desde pequenas já são íntimas dos computadores, dispositivos móveis e TVs inteligentes com muita naturalidade. A pandemia de COVID-19 intensificou essa imersão digital em uma escala ainda mais avassaladora. Mesmo crianças pequenas foram obrigadas a ter aulas online, e de forma geral as medidas de isolamento social acabaram por ampliar o tempo de exposição a telas.

Embora o zelo dos pais continue fundamental, e também seja importante gradativamente dar autonomia e confiar nos filhos, os pais não acompanham tudo que os filhos fazem o tempo todo em meio digital, mas os riscos e tentações estão por toda parte. É aí que entra a ajuda muito bem vinda das tecnologias de controle parental. Com recursos que combinam segurança digital, monitoramento e relatórios, controle de conteúdo específico para cada faixa etária e limites de tempo de uso dos dispositivos, estes softwares podem facilitar o trabalho.

Observo três origens ou categorias de ferramentas de controle parental:

Gerenciamento de famílias por fabricantes de sistemas operacionais:
Microsoft (Family), Google (Families e Family Link) e Apple (Families) oferecem recursos de gerenciamento de famílias. Os responsáveis (pai, mãe) podem cadastrar membros da família e indicar a idade de seus filhos para ativar recursos de controle (monitoramento e restrições) específicos para eles. Outro foco comum é o compartilhamento familiar de recursos (aplicativos e conteúdo), bem como a gestão centralizada de meios de pagamento e gastos com recursos.
Controle parental em suítes de segurança cibernética:
Os principais fabricantes de soluções de segurança cibernética (antimalware, segurança na internet etc.) para usuários pessoais, como Kasperky (Safe Kids ou [1]), Symantec (Norton Family ou [2]), McAfee (Safe Family ou [3]) etc. expandiram seus pacotes para incluir recursos de controle parental.
Softares especializados de controle parental:
Em geral com foco em controle de tempo de tela e restrições de conteúdo (aplicativos e sites), existem fabricantes especializados em soluções de controle parental. O mais bem sucedido destes provavelmente é Qustodio, mas existem vários outros, cada um com sua proposta. Cito também o utilitário Kidslox que há anos vem evoluindo em oferecer recursos muito interessantes com foco em tempo de tela e interface fácil.

De forma geral, o que é mais difícil é o ajuste fino de configurações, como faixas de horário, endereços web, aplicativos etc. porque é muito dinâmico ao longo do tempo. Configurações mais simples e genéricas terão menor efetividade, configurações mais precisas serão mais trabalhosas e terão que ser calibradas com certa frequência. Mesmo com ajuda, não há milagres!…

Outra ressalva é que as ferramentas evoluem constantemente, mas não são perfeitas. E as crianças, principalmente as maiores, vez por outra encontram meios para driblar controles parentais.

Vou abordar a seguir algumas ferramentas que já experimentei.

Microsoft

Microsoft Family

O gerenciamento familiar da Microsoft é um recurso gratuito, bastando que os membros (responsáveis e filhos) da família criem conta na Microsoft (também grátis). O gerenciamento da conta Microsoft permite também compartilhar apps e licenças de software, como a do Microsoft 365 Family que já abordei em outro artigo.

O responsável pode gerenciar os membros da família, que inclui ver o histórico de atividades, definir limites de tempo de tela em Windows 10 (e superior) e Xbox, bloquear ou definir limites para aplicativos e jogos, definir restrições de conteúdo — faixa etária, bloqueios e permissões de sites web (mas apenas no Microsoft Edge, em Windows, Xbox e Android, o que é uma grande limitação), saldo e limite de gastos na Microsoft Store, e localizar no mapa.

Google

Configurações de pai/mãe disponíveis no FamilyLink.Configurações adicionais disponíveis no FamilyLink.

Considerando que grande parte dos celulares e tablets usa o sistema operacional Android da Google, os recursos nativos (e sem custo) do Google Family Link para controle familiar e parental neste sistema vem a calhar.

O Family Link é obrigatório para contas no Google de menores de 13 anos de idade (essa idade pode variar de acordo com o país). Os pais podem usar o Family Link para criar uma Conta do Google para o filho menor de 13 anos. Depois que o processo é concluído, a criança pode fazer login no próprio dispositivo com a nova conta. Se a criança/adolescente já tiver uma conta, o Family Link mostrará instruções para vincular a conta dos pais à do filho. Quando um filho completa 13 anos, ele poderá optar por manter as configurações atuais, ativar a supervisão ou gerenciar sua própria conta.

Com o Family Link em Android ou iOS, os pais podem acompanhar as atividades e o tempo gasto por aplicativo, permitir ou impedir download de apps na Google Play Store, gerenciar as compras em apps e ocultar apps específicos no dispositivo da criança, definir limites de tempo de uso do dispositivo, bloquear o dispositivo remotamente e ver a localização do dispositivo da criança no mapa.

Ah, dica: Contas identificadas como de menores de 13 anos sem supervisão são desativadas e excluídas pelo Google, mas ele concede um prazo para você atualizar a conta para atender a restrição de idade, seja ativar a supervisão ou corrigir a data de nascimento — requer informar um cartão de crédito (não gera débito, só valida a autorização) ou digitalizar um documento de identidade. Fique atento.

Kaspersky

Kaspersky Safe Kids

A solução da Kaspersky tem uma versão gratuita limitada (veja os recursos gratuitos e pagos na tabela). A plenitude dos recursos, abrangentes e robustos, é paga de acordo com a quantidade de dispositivos e anos. Mas vale a pena, pela excelente avaliação em diversas análises (veja links no final do artigo). O pacote Kaspersky Total Security por exemplo, inclui todos os recursos de segurança contra malwares e ataques online, o Safe Kids Premium e ferramentas como VPN (rede privada virtual) e gerenciador de senhas.

O controle de crianças inclui relatórios e notificações de atividade, localizar no mapa, pesquisa segura em Bing, Google, Mail.ru, Yahoo!, Yandex e YouTube, monitoramento e controle/restrições (permissão/bloqueio) em: Internet (em qualquer navegador) por categorias e URLs avulsos, tempo de uso diário em dispositivos móveis e computadores, bem como de aplicativos individuais (em Windows, Android e, mais limitado, no iOS) — com configurações de tempo por dias da semana — e Facebook. A criança pode enviar aos responsáveis solicitações de liberação de sites e aplicativos proibidos e de tempo de uso extra.

Kidslox

Kidslox Premium

O Kidslox é focado em dispositivos móveis Android e Apple/iOS e oferece controle do tempo de tela, bloqueio de aplicativos por categoria e individual (maior granularidade no Android, o iOS impõe algumas limitações) e filtros de conteúdo na Internet, YouTube e pesquisas Google e Bing. Também tem o recurso de localização do dispositivo no mapa. Os dispositivos podem ficar em modos Bloqueio (só recursos essenciais do sistema liberados), Criança (controles configuráveis de tempo, aplicativos e conteúdo) ou Pais (irrestrito). No próprio dispositivo da criança (mediante senha), ou remotamente pelo seu próprio celular ou web, os responsáveis conseguem controlar os dispositivos, desde que eles estejam conectados à internet.

O controle de tempo é excelente, permite definir tempo total de tela diário e faixas de horários permitidas e bloqueadas, para cada dia da semana. O tempo total em um dia ainda pode ser ajustado, adicionando de 5 a 120 minutos, ou liberando até o fim do dia. Ainda tem o recurso de prêmios de tempo, tempos extras que podem ser concedidos como recompensa (por dever de casa, tarefas domésticas etc.).

A versão gratuita permite controlar apenas um dispositivo e os três modos de operação. A versão Premium controla até 10 dispositivos com todos os recursos e é uma assinatura paga mensal, anual ou vitalícia. Por enquanto, só tem informações de suporte em inglês.

Veja também:

  • Controle Parental, por Ministério da Justiça e Segurança Pública.
  • Controle parental: como garantir um ambiente seguro para seus filhos na internet (com reportagem em vídeo), por Olhar Digital, 12/07/2019.
  • The Best Parental Control Software for 2021, por PCMag, 02/04/2021. Melhor pelos excelentes recursos: Qustodio, Melhor para famílias grandes: Kaspersky Safe Kids, Melhor pelas configurações fáceis: Norton Family Premier, Melhor pré configuração: Circle Home Plus (hardware), Melhor substituto de roteador: Clean Router (hardware), Melhor suporte multi-plataforma: Mobicip, Melhor para usuários econômicos: OpenDNS Home Vip, Melhores filtros web personalizados: Net Nanny, Melhor filtro baseado em DNS: SafeDNS, Melhor para suporte ilimitado a dispositivos: McAfee Safe Family.
  • Best Parental Control Software, por Thomas Boldt, SoftwareHow, 21/03/2021. Melhor escolha: Qustodio, Também ótimo: Kaspersky Safe Kids, Menção honrosa: OpenDNS FamilyShield, Ourtros considerados: Net Nanny, uKnowKids Premier, Norton Security Premium, Microsoft Family, KidLogger.

Dois-em-um fantástico para investigar suspeita de novo malware

Quando eu estou investigando a suspeita da presença de um novo malware (código malicioso), não detectado pelo antivírus instalado, em um computador com Windows, em geral eu costumo utilizar duas ferramentas muito simples e extremamente úteis, explicadas a seguir.

Sysinternals – Autoruns e Process Explorer

Windows Sysinternals é um conjunto de utilitários de sistema avançados para Windows, criados e evoluídos desde 1996 por Mark Russinovich, co-fundador da empresa Winternals Software. Em 2006, a Microsoft adquiriu a Winternals e desde então os utilitários Sysnternals estão integrados no portal Microsoft TechNet, e continuam disponibilizados gratuitamente.

Dois destes utilitários são muito úteis para auxiliar na busca de malware presente no computador:

  • Autoruns: Este programa exibe todas as entradas existentes de executáveis instalados para iniciar automaticamente no Windows, durante o Logon e nos muitos outros meios que o sistema operacional permite para isso. Uma característica típica de vírus, vermes e outros malwares que se instalam no computador é registrar-se para ser executado automaticamente sempre que o sistema é iniciado. Portanto, é muito provável que se existe um malware instalado, que ele apareceça na listagem do Autoruns. A forma mais comum dos malwares se registrarem é em uma entrada de Logon no Registro do Windows, tipicamente em HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. Autoruns lista informações básicas listadas de cada entrada, como nome registrado, descrição, fornecedor, caminho do executável, data. Você pode se assustar com quanta coisa existe em execução automática no seu Windows. Contudo, identificar uma entrada suspeita em meio à listagem do Autoruns não é trivial, em geral requer experiência em reconhecer o que é típico e legítimo, como utilitários de drivers, utilitários de atualização automática de softwares idôneos (exemplos: atualizador do Adobe Reader ou do Java) e outros programas desejados em execução constante em segundo plano (exemplo: Google Chrome), configurados para executar assim que o Windows iniciar (muitas vezes são programas que tem um ícone na bandeja do sistema perto do relógio, na parte direita da barra de tarefas).
  • Process Explorer (procexp): Este utilitário exibe informações detalhadas sobre todos os programas/processos em execução, em tempo real. O Gerenciador de Tarefas nativo do Windows (acionado pela combinação de teclas Ctrl+Shift+Esc) exibe informações similares, mas de forma muito resumida. No Windows 8 o Gerenciador evoluiu muito em informações exibidas, mas ainda assim o Process Explorer é uma ferramenta bem mais poderosa e com muitos recursos exploratórios exclusivos, como busca por Handle/DLL, identificar um processo a partir de uma janela aberta, e exibição de todos os recursos criados ou abertos por um processo (arquivos, chaves de registro, eventos do sistema, threads etc.). Se um malware estiver em execução, ele aparecerá na lista do procexp. Contudo, assim como no Autoruns, identificar um processo suspeito dentre os programas em execução não é nada trivial.

Autoruns: Screnshot (origem: Microsoft TechNet).

Os utilitários Sysinternals são fornecidos na forma de executáveis simples (em geral, acompanhados de arquivos de ajuda e licença de uso), distribuídos em arquivos ZIP. Você pode baixar o Autoruns e o Process Explorer, ou o Sysinternals Suite contendo todos os utilitários disponíveis de uma vez só.

Sugiro descompactar em uma pasta como C:\sysinternals e adicioná-la ao Path de execução do Windows (Propriedades Avançadas do Computador > Variáveis de Ambiente) para manter estes utilitários prontos para uso no computador, e andar com eles atualizados em um pendrive para poder executar em um computador qualquer.

VirusTotal.com

O segundo passo uma vez identificado um executável suspeito ou provável malware é utilizar o serviço web gratuito VirusTotal.com. No uso mais básico, você pode enviar um arquivo para o VirusTotal e ele o analisa executando 57 (quantitativo no momento em que escrevo este artigo) programas antivírus e antimalware, atualizados e configurados em suas opções de busca mais amplas (inclusive técnicas heurísticas) mostrando quais deles detecta algo. O VirusTotal mantém uma base histórica das assinaturas hash de todos os arquivos já analisados pelo serviço, de forma que se você submete um arquivo já analisado ou uma assinatura, o VirusTotal oferece para exibir a análise mais recente disponível ou (em caso do arquivo) re-analisar.

Ou seja, praticamente se algum programa antivírus atualmente reconhece um executável suspeito que você tem como malware, o VirusTotal lhe traz essa informação. Espetacular!

Os dois juntos – Perfeito!

Agora vem o melhor. Desde janeiro de 2014 no Process Explorer e de janeiro de 2015 no Autoruns, existe integração destes programas com o serviço VirusTotal.com!

No Autoruns, por exemplo, você pode ir na opção de menu Options > Scan Options e marcar Check VirusTotal.com, para que o Autoruns automaticamente submete a assinatura hash de cada entrada listada ao serviço VirusTotal, e exiba os resultados em uma coluna da listagem, colorindo de vermelho se alguma entrada tiver detecção positiva para malware. A opção Submit Unknown Images, embora mais demorada, ainda permite enviar o arquivo ao VirusTotal caso a sua assinatura ainda não exista na base histórica de análises do serviço. Para facilitar ainda mais a busca apenas pelos suspeitos, a opção Options > Hide VirusTotal Clean Entries permite ocultar da listagem do Autoruns todos os executáveis que foram identificados como limpos no VirusTotal.com, exibindo apenas os que tiveram alguma detecção positiva e os desconhecidos (ainda não analisados pelo VirusTotal).

No Procexp, a integração com o VirusTotal se dá pela opção Options > VirusTotal.com > Check VirusTotal.com (e Submit Unknown Executables).

Com ferramentas simples e integradas assim, fica bem prático, fácil e rápido tentar detectar um malware em um computador, mesmo se não houver um bom antivírus instalado, bastando ter em mãos o Autoruns e o Procexp, e acesso internet para o VirusTotal.

Fraudes bancárias e o guardião de internet banking

Os bancos bresileiros perderam com fraudes financeiras perto de R$ 3 bilhões em 2012, segundo o blog de Fernando Nogueira da Costa, e R$ 2,3 bi em 2013, segundo o jornal Valor Econômico. A cada 14,8 segundos no país, ocorre uma tentativa de fraude, segundo indicador da Serasa Experian.

Como o crime vai atrás do dinheiro onde quer que ele transite, grande parte das fraudes envolvem a Internet, onde há o Internet Banking e as compras on-line. Atualmente, o cliente bancário pode fazer todo tipo de consultas, pagamentos, transferências e investimentos pela Internet, e ir a um caixa eletrônico apenas se precisar sacar dinheiro. Também o cartão de crédito é um dos meios de pagamento mais aceitos e utilizados nas compras pela Internet.

O crime bancário na Internet em geral envolve um meio do malfeitor obter os dados de conta ou cartão bancários (número, senha, códigos de acesso) de usuários de computador. Dois vetores comuns são programas maliciosos espiões (spyware, keylogger) instalados no computador para monitorar os dados digitados no acesso aos sites legítimos de banco, ou páginas falsas que imitam os sites legítimos de instituições financeiras e solicitam ao usuário preencher seus dados.

Já mostrei aqui no blog vários exemplos: Fraude “Bradesco” – cara de pau passo a passo, Anatomia de uma fraude: CitiBank, Anatomia de mais uma fraude: Santander. Mantenho também um grande conjunto de exemplos de fraudes coletados entre 2004 e 2010.

Uma boa ferramenta de Internet Security, constantemente atualizada, pode evitar a maior parte destes ataques, com um antivírus que detecte programas maliciosos quando tentam entrar no computador e um monitor de URLs web que detecte tentativas de acesso a endereços fraudulentos.

O Kaspersky Internet Security, além de antivírus e monitor de URLs, oferece desde 2013 um recurso específico chamado Safe Money que cria nos navegadores web (Chrome, Firefox, Internet Explorer) um ambiente protegido para distinguir e proteger o acesso a sites financeiros legítimos.

Ainda assim, quando uma fraude é muito recente, a ferramenta de Internet Security pode ainda não “conhecer” a assinatura do programa malicioso ou o endereço URL falso. E muitos usuários ainda não tem nenhum antivírus, ou usam antivírus antigos, desatualizados ou pouco eficazes.

Diante de um rombo de fraude da ordem dos bilhões anuais, os bancos investem em suas próprias soluções de prevenção a fraudes. No caso da Internet, a solução antifraude para e-Banking G-Buster, da empresa GAS Tecnologia é utilizada por quatro dos cinco maiores bancos de varejo, Banco do Brasil, Caixa Econômica Federal, Itaú e Santander, além de Banco Mercantil do Brasil, Banco da Amazônia, Banestes, Tecnocred/Unicred.

Os bancos em geral denominam a ferramenta G-Buster como Guardião. A exigência de instalação do Guardião por parte dos bancos para que se acesse o seu Internet Banking na web — o que dependendo da versão tem exigido requisitos como execução de um programa de diagnóstico e instalação, Java ativado, instalar um serviço no Windows e uma extensão ativada no navegador web — tem sido uma contramão no conceito de mobilidade de uso do banco, pois muitos computadores de acesso público à Internet não permitem esse tipo de instalação, por restrição de segurança.

Veja a seguir um exemplo do Firefox com as extensões dos guardiões de vários bancos instalados. Esta janela do Firefox está no ambiente protegido pelo recurso Safe Money do Kaspersky Internet Security, onde se pode ver também as extensões Consultor de URLs e Safe Money da Kaspersy.

Extensões do Firefox: Guardiões de bancos e ferramentas de proteção da Kaspersky.

Além disso, o Guardião do banco tenta monitorar todos os acessos web no navegador e sabe-se lá mais o que no computador, o que é uma questionável invasão da privacidade do usuário. E com frequência, tem sido recentemente apontado como causa de lentidão no acesso a sites. Eu mesmo já vi várias vezes o navegador “travado” e na linha de status a mensagem “Aguardando extensão Guardião …”.

Nos smartphones e tablets Android e iOS a história é um pouco diferente, pois os bancos disponibilizam aplicativos próprios para instalação, ao invés do acesso por um navegador web comum. Talvez essa seja a alternativa mais viável atualmente para efetiva mobilidade no acesso aos serviços bancários.

Heartbleed Bug: Vulnerabilidade no OpenSSL afeta 2/3 dos sites Internet

Ilustração do Heartbleed Bug do OpenSSL

Fazia tempo que não se ouvia falar tanto de uma vulnerabilidade de segurança tão séria e de tão grande impacto na Internet.

O Projeto OpenSSL mantém o software livre que implementa os protocolos Secure Sockets Layer (SSL v2/v3) e Transport Layer Security (TLS v1), incluindo biblioteca de criptografia forte, utilizado por aproximadamente dois terços de todos os sites seguros da Internet, aqueles com endereço iniciado por “https:” e com o famoso cadeado exibido nos navegadores web. Inclusive, em 2007 o OpenSSL foi homologado como padrão de segurança pelo governo dos Estados Unidos, FIPS PUB 140-2.

Um bug no recurso denominado Heartbeat (em português literal, Batimento Cardíaco) do protocolo TLS implementado no OpenSSL, apelidado “Heartbleed” Bug (Falha do “Sangramento no Coração”), pode revelar até 64 Kbytes da memória do servidor web para um cibercriminoso. A falha é muito grave porque, além de afetar boa parte dos sites seguros na internet rodando uma versão vulnerável do OpenSSL, é um bug fácil de explorar e não deixa rastros (ou seja, não há uma maneira garantida de saber se um servidor foi atacado através dessa falha nem que dados podem ter vazado).

O bug foi comunicado ao time de segurança da OpenSSL por Neel Mehta da Google Security, em 1º de abril (e não é mentira!). Afeta OpenSSL releases 1.0.1 até 1.0.1f e 1.0.2-beta1. Usuários (em geral, administradores de sites) da biblioteca OpenSSL afetados devem atualizar para a versão 1.0.1g, lançada em 7 de abril, ou recompilar OpenSSL com a opção -DOPENSSL_NO_HEARTBEATS. A série 1.0.2 está sendo corrigida no release 1.0.2-beta2. A versão 1.0.1 foi lançada em março de 2012, o que significa que sites e produtos que tenham adotado OpenSSL 1.0.1 com a extensão Heartbeat ativada podem ter estado vulneráveis nos últimos dois anos.

Entre os grandes sites de serviço afetados está Yahoo (incluindo serviços populares como Yahoo Mail, Flickr e Tumblr). A recomendação a todo usuário do Yahoo é alterar a senha da sua conta.

Os mais desconfiados recomendam que os usuários alterem também a senha de sua conta em outros sites, como Google, Facebook e Dropbox. Em nota no seu blog oficial, a LastPass divulgou que embora seu site tenha estado afetado pelo bug, os dados nas contas de seus usuários estão seguros porque são criptografados no computador cliente, antes de transitar na rede via SSL/TLS, com uma chave secreta do usuário que os servidores da LastPass nunca recebem.

Como uma das informações que pode ter vazado pelo Bug Heartbleed é a chave secreta do próprio certificado digital SSL do site https afetado, a recomendação dos especialistas para os administradores destes sites é que revoguem o certificado utilizado no site até o dia em que corrigirem a vulnerabilidade, e emitam um novo certificado. De fato, um levantamento do SANS Institute no InfoSec Handlers Diary Blog mostra que entre os dias 7 e 12 de abril, houve um crescimento substancial de certificados SSL revogados em 16 grandes autoridades certificadoras (CAs / ACs).

Grandes empresas fornecedoras de produtos para Internet, como F5 Networks e Cisco, também divulgaram alertas de seguranças em seus produtos que utilizam OpenSSL.

O blog do fornecedor de antivírus e produtos de segurança Kaspersky indica uma ferramenta simples que testa on-line se um servidor web https tem a vulnerabilidade Heartbleed ou não, basta digitar o endereço do site:
https://filippo.io/Heartbleed/ – Test your server for Heartbleed (CVE-2014-0160).
A LastPass também lançou um serviço de verificação:
https://lastpass.com/heartbleed/ – LastPass Heartbleed checker

O blog Fox-it ainda indica uma extensão para o navegador Google Chrome que exibe uma alerta se você acessar um site afetado pelo bug Heartbleed:
Chrome Web Store – Chromebleed

Referências:

Mais extensões para segurança e privacidade

Abordo neste artigo duas extensões de navegador web que descobri recentemente para auxiliar na sua segurança e privacidade enquanto navega na internet.

Eu já havia abordado o WOT e o McAfee Site Advisor no artigo Quem avisa amigo é – Classificação de sites. Também mantenho a seção de Segurança, Privacidade e Controle no artigo “Extensões para Firefox e Chrome”.

Ghostery

O Ghostery é um serviço que detecta mais de 1.400 códigos ocultos de rastreamento embutidos em páginas web, permitindo bloquear e controlar códigos relacionados a redes de propaganda, provedores de dados comportamentais, publicadores web e outras empresas interessadas em sua atividade na internet.

Com plug-in disponível para os principais navegadores — Firefox, Safari, Chrome, Opera, Internet Explorer e até o browser do iOS de dispositivos móveis da Apple (iPhone, iPad) — o Ghostery permite a você escolher quais rastreadores bloquear nas categorias Advertising (700+ trackers), Analytics (260+ trackers), Beacons (quase 300 trackers), Privacy (16 trackers) e Widgets (+170 trackers).

Eu não utilizo apenas a última categoria, de Widgets, pois em geral são rastreadores que inserem componentes visíveis e interativos nas páginas. Os mais comuns são links de compartilhar, indicar ou comentar conteúdo de uma página em redes sociais como Facebook, Google +1, LinkedIn etc. Suprimir estes rastreadores elimina tal funcionalidade e pode em alguns casos comprometer a diagramação (layout) de algumas páginas.

Os rastreadores bloqueados aumentam sua privacidade e, como eliminam o acesso aos respectivos sites, acabam tornando a navegação um pouco mais rápida também.

Webutation

O Webutation é um serviço baseado em uma comunidade aberta de Reputação de Websites, que coleta feedback e experiência de clientes sobre websites e testa websites contra spyware (código malicioso/espião), spam (propaganda e outros conteúdos indesejados) e scams (fraudes) em tempo real, consultando para isso simultanemanete estas principais bases de informação:

  • Google Safebrowsing (badware e phising fraud, atualizado a cada meia hora);
  • Website Antivirus (vasrre contra adware (popups), spyware (outgoing links) e vírus);
  • WOT – Web Of Trust (classificação e reviews da comunidade sobre confiabilidade de websites);
  • Norton Safe Web.

Como resultado, é mantido um ranking de 0 a 100 da reputação de cada site avaliado. O serviço pode ser consultado isoladamente pelo site Webutation, mas existe um plug-in para classificação em tempo real para Mozilla Firefox e Google Chrome.

Para utilizar sua conta (totalmente gratuita) no serviço e poder você também enviar análises de site (classificação de 1 a 5 estrelas e comentário), basta utilizar o login de uma conta sua no Facebook.

A consulta do ranking é super rápida (praticamente instantânea) e o ganho de segurança ao navegar com certeza compensa.

Finalmente, lei que tipifica crime informático de invasão

A tipificação específica de crimes cibernéticos no Código Penal brasileiro vem sendo debatida e proposta há mais de dez anos, sempre com polêmica e, até então, sem resultar em lei. No passado, o senador Eduardo Azeredo (PSDB-MG) foi relator de projeto de lei que tipificava vários crimes cibernéticos e ficou conhecido como “Lei Azeredo”. Eu ja havia abordado o assunto aqui no blog em 2007.

Mas como tudo no Brasil só gira em torno de celebridades e manchetes, o tema só decolou após o roubo de 36 fotos íntimas da atriz Carolina Dieckmann, que foram parar na internet. A polícia identificou quatro suspeitos de terem roubado as fotos do computador da atriz. Como ainda não há definição no Código Penal de crimes cibernéticos, os envolvidos foram indiciados por crimes convencionais como furto, extorsão e difamação.

Agora, a proposta apresentada em 2011 pelos deputados Paulo Teixeira (PT-SP), Luiza Erundina (PSB-SP), Manuela D’Ávila (PC do B-RS), João Arruda (PMDB-PR), além do suplente Emiliano José (PT-BA) e do atual ministro do Trabalho Brizola Neto (PDT-RJ), com o objetivo de substituir o projeto de Azeredo, foi aprovada e sancionada sem vetos pela Presidente Dilma Rousseff em 30 de novembro, como a Lei nº 12.737, publicada no D.O.U. de 03/12/2012 e conhecida como Lei “Carolina Dieckmann”.

A nova lei acrescenta artigos ao Código Penal (Decreto-Lei nº 2.848, de 7 de dezembro de 1940), tipificando como crime: Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita:
Pena – detenção, de 3 (três) meses a 1 (um) ano, e multa.”

Pelo parágrafo primeiro, “na mesma pena incorre quem produz, oferece, distribui, vende ou difunde dispositivo ou programa de computador com o intuito de permitir a prática da conduta definida no caput.”

Outro artigo acrescido define, porém, que só se procede com ação penal nesse tipo de crime mediante representação do ofendido, salvo se o crime for cometido contra a administração pública, qualquer dos Poderes da República e empresas concessionárias de serviços públicos. Ou seja, se o ofendido (particular) não denunciar o crime, nada acontece.

A lei define também condições de agravamento dos crimes, e faz outras duas tipificações criminais. Primeiro, inclui no Art. 266 do Código Penal (Interrupção ou perturbação de serviço telegráfico ou telefônico, informático, telemático ou de informação de utilidade pública) quem “interrompe serviço telemático ou de informação de utilidade pública, ou impede ou dificulta-lhe o restabelecimento”.

E, no Art. 298 do Código Penal (Falsificação de documento particular), tipifica a falsificação de cartão, acrescentando parágrafo que define “Para fins do disposto no caput, equipara-se a documento particular o cartão de crédito ou débito.”

Em matéria no portal de notícias G1 da Globo.com, advogados especializados em crimes digitais ressaltam um ponto importante da nova lei. Como deve haver “violação de mecanismo de segurança”, invadir um computador sem antivírus nem firewall ativos, ou uma rede sem fio aberta sem ao menos uma senha definida, pode não caracterizar violação. Ou seja, se seu computador/tablet/smartfone/etc. é uma porta aberta sem nenhuma segurança ou proteção, nem essa lei dará amparo. Por isso, como sempre digo, proteja-se!

Para saber mais:

Tchau McAfee, bem vindo de volta, Kaspersky!

Quem acompanha meu blog em postagens relativas a softwares antivírus e de proteção internet, sabe que desde os idos de 2006 eu passei a ter preferência pessoal pelo Kaspersky Internet Security, pelos seguintes motivos principais:

  • Em meus próprios testes e em testes de sites e revistas especializadas, o Kaspersky sempre apresenta um dos mais altos índices (muitas vezes é o maior) de detecção de malware. E quando se trata de cavalos de tróia específicos de fraudes bancárias brasileiras, Kaspersky mostra larga superioridade na rápida e precisa detecção destes.
  • Desde a versão 5 até hoje, a interface com o usuário ficou muito mais fácil, intuitiva e atrativa.
  • O desempenho, em termos de consumo de CPU e memória, sempre foi para mim suficiente em sua configuração padrão, nunca me incomodou ao ponto de culpá-lo por qualquer lentidão anormal na máquina.
  • Sua atualização de dados há muito tempo é de três em três horas, quando ainda haviam antivírus que só tinham opção de uma atualização diária ou até em intervalos maiores.

Até agora me bastou. Ainda assim, quando comprei um novo computador que veio com o McAfee Internet Security preinstalado, meu espírito nerd me fez experimentar outro antivírus, para efeito de comparação. A interface e os recursos não me pareceram tão fáceis como do Kaspersky, mas talvez eu poderia estar influenciado por anos de costume com o outro. O desempenho também não me incomodava, mas a detecção de novos malwares às vezes falhava (como eu conseguia facilmente comprovar utilizando as comparações pelo VirusTotal.com). Como não sou nenhum usuário leigo, estava aceitável até que a licença acabasse.

Porém, um fato precipitou tudo. Fiquei três dias sem acesso a internet em meu computador de casa. Não era a banda larga nem os equipamentos, pois outro computador navegava normalmente.

A última coisa que aconteceu com meu computador antes da internet “subir no telhado” foi o seguinte: o McAfee Internet Security de repente abriu um tela de erro e solicitou a instalação de um tal de “McAfee Virtual Technician”. Logo depois que a instalação via web desse utilitário tentou baixar algo, o computador parou de acessar a internet.

Poderia ser coincidência. Mas os diagnósticos de rede do Windows solicitavam “liberar o firewall”; os detalhes exibiam instruções para configurar o Firewall do McAfee, mas já estava tudo conforme solicitado. Mesmo desligando o Firewall totalmente pela interface do McAfee, nem um ping para o roteador dava certo.

Então apelei e mandei desintalar o McAfee Internet Security. A desintalação nem tinha completado e minha internet voltou à vida! Bingo!

Logo em seguida, o que fiz? Instalei o Kaspersky Internet Security 2012, para o qual eu já tinha até uma licença multiusuário à espera. Em poucos minutos instalado, o Kaspersky detectou e eliminou um malware de teste que estava arquivado no computador, saneou três cavalos de tróia HTML em mensagens de spam em meu e-mail, e ainda detectou vulnerabilidades em quatro programas desatualizados, que tratei de atualizar para a versão mais nova conforme orientações das respectivas páginas de advisory do securelist.com, para o qual o Kaspersky direcionava em “Exibir descrição” de cada vulnerabilidade.

Por isso, agora, tchau McAfee, bem vindo de volta Kaspersky!

Anatomia de uma fraude: CitiBank

Dia 24, recebi mais uma fraude tipo phishing scam (pesacaria de otários), dessa vez fingindo ser do banco CitiBank. Vamos à análise e comentários das características de mais essa fraude.

A isca: o e-mail fraudulento

Como toda fraude, a isca básica é enviar uma mensagem fraudulenta de spam (envio em massa) para uma lista não autorizada de milhões de e-mails, com um tema de mentira chamativo, que possa ser inadvertidamente tomado como legítimo e verdadeiro por uma parcela de destinatários incautos.

O princípio de proliferação dessa isca é simples: tentativa em larga escala. Ao enviar uma fraude para, digamos, um milhão de endereços de e-mail, se apenas 0,1% destas mensagens chegarem a alguém desavisado e inocente que acredite na fraude, o fraudador já conseguirá pescar 1.000 (1 mil) otários!

— PERGUNTA: Onde o fraudador consegue essa lista de e-mails? — RESPOSTA: Na internet ou até mesmo em um camelô. Pessoas mal intencionadas podem construir mecanismos de busca especializados em varrer a internet em busca de endereços de e-mail válidos. Essas buscas podem até ter inteligência de categorizar cada e-mail encontrado por temas (através de expressões ou palavras chave existentes no local onde o endereço de e-mail foi encontrado), país ou idioma (do site ou serviço), e até buscar também o nome do indivíduo associado ao endereço de e-mail.

— PERGUNTA: Como posso me proteger, impedindo meu endereço de e-mail ser roubado? — RESPOSTA: Impedir completamente é difícil, mas alguns cuidados básicos podem reduzir imensamente as chances de seu e-mail ser obtido indevidamente. Cito dois:

  1. Antes de fornecer seu e-mail (e nome!) em sites e serviços interativos na internet, como fóruns, blogs, redes sociais, comércio eletrônico etc., procure se informar sobre a idoneidade, seriedade, segurança e proteção de privacidade deste. É um local confiável? O endereço de e-mail seu (ou de qualquer participante/usuário do serviço) fica visível publicamente ou para pessoas desconhecidas? A política de privacidade do serviço garante que seu e-mail não pode ser fornecido a terceiros? Ao se cadastrar, você concordou com a divulgação de seu e-mail a “parceiros” ou qualquer outro terceiro?
  2. Evite reenviar mensagens de e-mail a diversos contatos seus, e se o fizer, coloque o nome dos diversos destinatários no campo cópia-carbono-oculta (CCO ou BCC). Ao reenviar mensagens a outras pessoas, procure apagar do cabeçalho e texto da mensagem original transcrita endereços de e-mail de terceiros. Assim você zela em não revelar indevidamente e-mail dos outros. Oriente seus amigos igualmente a zelar pela privacidade dos outros, pois um dos “outros” pode ser você.

O tema, neste caso, foi o de “Informações financeiras e cadastrais”, um dos seis temas comuns que cito em meu artigo Phishing Scam – A fraude inunda o correio eletrônico.

A fraude finge ser uma “solicitação de atualização de segurança do banco CitiBank Online”. Veja uma imagem reproduzindo a aparência da mensagem fraudulenta:

[photopress:fraude_citibank_spam.png,full,centered]

Agora vamos avaliar os cinco Indícios de phishing scam que também cito no meu referido artigo:

Apresentação descuidada: NÃO. Essa fraude tem uma aparência visual verossímil e um texto sem erros grosseiros de português. Esse indício a fraude evitou.

Link destino não confiável: SIM, mas pode gerar dúvida. Há um link clicável no e-mail, prática que praticamente todos os bancos estão evitando, aponta para um endereço sem segurança (é http comum, e não https, o HTTP-Seguro) e o nome do domínio citibank.acessocliente.com não é no Brasil (não é .com.br, mas sim .com internacional) nem é, como se deveria esperar, o domínio principal do banco no país, como www.citibank.com.br. Contudo, a fraude ainda conseguiu usar um um domínio com um nome genérico que pode parecer com algo bancário — “acesso cliente” — e ainda precedido por um subdomínio com o nome do banco. Ou seja, nesse quesito a fraude pode gerar suspeita, mas também não é tão grosseira.

Informação improvável: SIM. Os mais inocentes e desavisados podem achar que um banco oferecer atualização de segurança por e-mail seja plausível, mas nenhum banco faz isso porque é algo muito inseguro e tema recorrente de fraudes. E se você tem dúvida, ligue para o banco antes de clicar em qualquer coisa.

Impessoalidade: SIM. O seu nome real aparece no cabeçalho ou no texto da mensagem? Não. Então provavelmente quem fraudou não sabia o seu nome, como o banco (se você for cliente) deveria saber. Como boa prática, mensagens desse tipo deveriam ser enviadas de forma personalizada, citando o seu nome completo. Infelizmente, essa boa prática nem sempre é seguida nas mensagens legítimas, e também as listas de spam mais “sofisticadas”, como já mencionei, podem obter e utilizar também o seu nome real, junto com seu endereço de e-mail. Veja meu artigo Cuidado – A fraude evoluiu.

Remetente suspeito: NÃO. Esse é o erro mais fácil de um fraudador evitar, porque o endereço do remetente, infelizmente, pode ser facilmente forjado.

Ou seja, vários indícios de fraude, mesmo que alguns deles sutis.

O golpe

Espero que, com tantos avisos, orientações e exemplos que posto, você meu leitor nunca seja um desses inocentes e desavisados incautos que clicam em um link duvidoso em uma mensagem de e-mail. Nunca clique!

Para analisar também o ataque, investiguei também o que havia no link destino, em um ambiente controlado e com cuidado e cautela extremos. Não faça isso em casa, nem muito menos no trabalho nem lugar nenhum.

O link leva diretamente ao download de um arquivo executável chamado Cadastro_CitiBank.exe para sistema operacional Windows. Trata-se de um programa espião roubador de senhas bancárias. Se executado, o programa silenciosamente se instala para ficar em execução contínua e reativado automaticamente toda vez que o sistema operacional for iniciado. Fica monitorando permanentemente o uso do computador e, se você digitar dados bancários, ele os captura e tenta enviar ao fraudador via internet.

Utilizando o serviço VirusTotal.com, enviei o arquivo para análise pelos 43 mecanismos antivírus disponíveis no serviço. No dia do envio, nenhum antivírus em VirusTotal detectou o executável como malicioso. Pelo menos três dias depois da fraude ativa, apenas o antivírus Kaspersky 9.0.0.837 (com atualização de 2011.07.26) passou a detectar como o malware Trojan-Banker.Win32.Banker.skab. E decorrido mais um dia, ainda eram apenas seis os antivírus que detectavam o perigo: AntiVir (TR/Banker.Banker.skab), Antiy-AVL (Trojan/Win32.Banker), eTrust-Vet (Win32/Banker.GPF), Kaspersky, TrendMicro-HouseCall (TROJ_BANKER.FGR) e ViRobot (Trojan.Win32.Banker.1064448.A).

O que quero mostrar com isso é que a proteção dos antivírus nem sempre é efetiva e imediata na detecção de novos códigos maliciosos, pois a notificação/descoberta e análise toma algum tempo. Dessa forma, os usuários ficam ainda mais vulneráveis nos primeiros dias de existência de toda nova fraude, pois provavelmente as ferramentas de antivírus/proteção ainda não a reconhecem e, portanto, não nos protegem de imediato.

É importante lembrar que os antivírus basicamente trabalham com o princípio de um “policial com uma lista de procurados e suspeitos”. Quando surge um novo “criminoso” (código malicioso), se ele não tiver um padrão previamente identificado como suspeito, precisará ser “denunciado” (detectado e analisado) pela empresa de antivírus até que entre na “lista de procurados”.

É uma guerra de “polícia e ladrão” onde as únicas armas realmente efetivas para todos sempre são a atenção, o cuidado e a precaução. Fique alerta, cuide-se! Evite as fraudes.

Assim como no trânsito existe a máxima de “Na dúvida, não ultrapasse.“, na internet você pode seguir a precaução “Na dúvida, não clique.