SEGURANÇA

Brasil é um 'atacante' digital e sete corporações nacionais estão no top 50 dos disparos criminosos

Ana Paula Lobo* ... 20/02/2020 ... Convergência Digital

Um relatório - “Regional Threat Perspectives, Fall 2019: Latin America” - produzido pela empresa de segurança F5 Networks mostra que 37% de todo o tráfego malicioso do mundo é gerado por países desta região. O Brasil sai na frente como ponto de origem de ataques digitais contra a América Latina; em segundo lugar vêm a Venezuela, seguida pela Itália. Os outros países da região que se destacaram no levantamento da F5 são a Costa Rica (sétima posição), a Argentina (décima primeira posição) e Colômbia (décima sexta posição).

“A América Latina também é alvo de ataques de outras nações: EUA, Holanda, Moldávia, China e Rússia invadem sistemas na nossa região”, ressalta Hilmar Becker, country manager da F5 Networks Brasil. O Brasil ataca tanto a América Latina como outros continentes. “Tráfego malicioso disparado de endereços IP do Brasil foi identificado nas redes de todos os países do mundo; isso mostra a agressividade do código dos ataques gerados no Brasil”, acrescenta o executivo. Venezuela e Argentina, por outro lado, somente atacam a América Latina.

A pesquisa chegou ao detalhe de identificar o nome e o país de origem das empresas donas dos endereços IPs que são a fonte dos ataques digitais. “As operadoras de Telecom, presentes em todo o contexto mapeado pelo F5 Labs, informam a razão social das empresas para quem entregam endereços IP. Essa regra traz visibilidade sobre qual seria a empresa de onde surge o ataque”, detalha Becker.

Na lista das 50 maiores fontes de ataques digitais (empresas), o Brasil tem sete organizações identificadas. A Coréia do Sul apresenta o mesmo número de empresas. Todas as empresas brasileiras da lista produzida pelo F5 Labs são identificadas como LTDA (limitada), ME ou Eirelle. Dentro da legislação brasileira, essas classificações costumam identificar empresas pequenas ou que pertencem a apenas uma pessoa.

“Ainda assim, é importante ter cautela na hora de identificar os culpados pelos ataques”, ensina Becker. Os gestores das empresas onde se originam esses ataques nem sempre possuem ciência dessas atividades. É possível que a fonte de ataques seja um equipamento comprometido, sob controle de hackers. Criminosos digitais podem, ainda, mascarar o IP real de origem com o uso de proxies. Isso é feito para que apareça como responsável do ataque um IP que, na verdade, não teria nada com isso.

Criminosos buscam portas de comunicação em configuração default

O outro lado da atividade criminosa – a realização de scans para identificar portas de comunicação em situação vulnerável – também foi mapeada pela pesquisa da F5 Networks. “Há um claro foco dos criminosos digitais em identificar portas padrão SMB 445 – uma das portas mais usadas em ambientes corporativos, comum em drives de computadores e de dispositivos de rede – com falhas de segurança”, diz Becker.  O grande objetivo costuma ser a extração de informações críticas como dados sobre clientes, detalhes estratégicos sobre novos produtos etc.

Muitas portas são configuradas de forma default, numa política em que se privilegia o acesso ao recurso aberto pela porta e somente num segundo momento – em alguns casos, depois de um ataque – configura-se restrições a esse acesso. “Essa política muitas vezes deixa as empresas expostas a ataques, já que toda configuração default é uma informação pública”, alerta Becker. Isso vale para identidade (user name) e senhas de acesso. “Para vencer esse desafio é fundamental rever a política de senhas de dispositivos e de gerenciamento de identidades da empresa usuária”.

Ambientes SoHo também estão sob ataque

Em ambientes SoHo (Small Office, Home Office), o alvo dos criminosos digitais são portas 8291, muito comuns em roteadores domésticos. O mesmo perfil é compartilhado pelas portas 7547, muito usadas por ISPs para gerenciar roteadores de pequeno porte. Se configurações default estão presentes no mundo corporativo, isso é ainda mais comum no universo SoHo. “Nesse segmento, o grande objetivo dos criminosos digitais é utilizar portas em situação de vulnerabilidade para organizar ThingBots”, ressalta Becker.

O resultado disso são fenômenos como a BotNet Mirai, de 2016, que fez história ao escravizar milhões de dispositivos IoT e utilizá-los em um dos maiores ataques volumétricos (DDoS) da história. A Mirai segue produzindo estragos, agora em versões atualizadas. Para os experts do F5 Labs, a infraestrutura IoT é um dos alvos preferenciais dos criminosos digitais na América Latina.

O relatório mostra, ainda, que uma das portas mais visadas é a MySQL 3306, presente tanto em ambientes com grandes bases de dados (de aplicações tradicionais às milhares de Web Applications sendo lançada no mercado) como em dispositivos IoT.

“Grandes portais Web – de Internet Banking e e-Commerce a portais de notícias –, são alvo de ataques em que portas vulneráveis permitem o acesso a bases de dados SQL, algo que produz estragos muito grandes”, diz Becker. O uso das portas MySQL 3306 por criminosos é prejudicial para os negócios porque as empresas desejam que seus negócios digitais estejam acessíveis para os clientes; dentro deste contexto, a filtragem do tráfego pode ser desafiadora.

 Essa vulnerabilidade segue presente mesmo quando a empresa usuária utiliza firewalls de rede tradicionais, que tendem a bloquear a porta para evitar acessos. Isso pode deixar do lado de fora clientes, investidores etc. Uma solução para esse impasse é utilizar WAFs (Web Application Firewalls) como o F5 ASM. Essa tecnologia usa inteligência artificial para “ler” as demandas da aplicação que suporta o negócio, identificar o que é um acesso válido – dando vazão a isso – e bloquear o que é um ataque. “O acesso à base de dados SQL passa a acontecer a partir de um critério mais refinado, sem que portas de acesso sejam bloqueadas de forma massiva”, explica Becker.

*Com informações das F5 Networks

 


Consciência é a maior vacina contra os riscos cibernéticos

Em tempos de home office por conta do coronavírus, o gerente de segurança do CAIS/RNP, Edilson Lima, diz que cabe ao usuário redobrar seu cuidado. "Cada um tem de fazer sua parte", afirma.

Cibercrime usa Coronavírus para roubar dados pessoais no WhatsApp

Golpe oferece suposto kit gratuito com máscara e álcool gel - a ser dado pelo Governo Federal - para atrair as pessoas mais nervosas em relação à pandemia.

RNP terá programa para formar profissionais em Segurança Cibernética

O diretor da área na Rede Nacional de Pesquisa, Emilio Nakamura, assegura que a intenção é 'acelerar a formação de novos profissionais não apenas na Academia, mas também na inovação aberta'.

GSI: Educar o cidadão é o pilar da estratégia de segurança cibernética

Gabinete de Segurança Institucional da Presidência da República troca de marca - sai o cadeado e entra uma chave - para mostrar ao brasileiro que ações próativas são essenciais. "Não podemos atuar apenas como bombeiros nos ataques cibernéticos", afirma Ulisses Peixoto.



  • Copyright © 2005-2020 Convergência Digital
  • Todos os direitos reservados
  • É proibida a reprodução total ou
    parcial do conteúdo deste site
    sem a autorização dos editores
  • Publique!
  • Convergência Digital
  • Cobertura em vídeo do Convergência Digital
  • Carreira
  • Cloud Computing
  • Internet Móvel 3G 4G