Introdução

É de conhecimento público que o número e nível de complexidade de ataques através da internet vem crescendo rapidamente nos últimos anos e, conforme a figura 1.1, com os dados dos ataques registrados pelo CERT.br (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil), pode-se afirmar que, apesar de uma tendência de pequena queda em 2007 em relação a 2006, os índices devem se manter em níveis elevadíssimos, 200% maiores que a média dos 3 anos anteriores.

Figure Figura 1.1:: Total de Incidentes Reportados ao CERT por Ano

Figure Figura 1.2:: Incidentes Reportados ao CERT.br - Janeiro a Dezembro de 2006

Nos gráficos das figuras 1.1 e 1.2 percebe-se o grande crescimento das notificações registradas em 2006, e das que foram feitas até setembro de 2007. Essa é uma maneira indireta de medir o crescimento do nível e número de ataques a serviços web, dado que esses números dependem da notificação dos administradores de sistemas para que os CERT's (Community Emergency Response Teams) contabilizem esses dados. Além disso, nem todos os ataques são originados a partir da internet, a grande maioria das vezes os ataques se utilizam da rede interna, seja por falha de segurança ou controle, como acesso a rede de máquinas não autorizadas, computadores infectados por malwares, os ditos zumbis, que funcionam como trojans.

Muitos administradores deixam de notificar incidentes de segurança por receio da perda de imagem da empresa onde trabalham ou até mesmo para não expor os problemas aos seus superiores, por medo de perder o emprego. Mas a maior parte dos casos de ataques não notificados se dá devido ao desconhecimento desse fato pelos administradores. A maioria dos administradores de redes de computadores não tomam conhecimento dos incidentes seja por falta de conhecimento dele próprio na hora que não implementa um firewall corretamente, ou não analisa logs, má configuração de serviços, etc, ou falta de recursos humanos e dispositivos que permitiriam esse tipo de análise, como IDS's (Intruder Detection System), analisadores de logs, CSIRT's (Computer Security Incident Response Team), etc.

Um fator que contribui para esse crescimento dos níveis de ataques é aumento exponencial da complexidade do software, conforme notado por [LOSCOCCO 1998]. Como a inteligência humana é finita, desenvolvedores de software cometem erros ou omitem verificações de segurança durante a implementação de sistemas. Raramente passa-se um dia sem que algum vírus ou vulnerabilidade de alguma aplicação seja anunciada. Além disso, com a crescente necessidade de mão de obra para desenvolvimento de sistemas, muitos programadores não estão suficientemente preparados para desenvolver sistemas e programas de forma segura. Isso se dá por falta de experiência em determinada linguagem ou até mesmo pelo fato da linguagem ser muito permissiva para desenvolvedores como muitos softwares desenvolvidos na linguagem PHP, conforme pode ser observado em [LEMOS 2006] e [SHIFLETT 2005], por exemplo. Esse fato se tornou mais notório para aplicações web, onde uma única falha de segurança pode comprometer todo um sistema e até expor dados privados.

Outro fator que influi diretamente na quantidade de ataques é a popularização da internet e dos serviços por ela prestados. Um ataque direcionado a apenas uma máquina pode comprometer toda a rede de computadores na qual ela faz parte. Atacantes podem usar essas máquinas comprometidas para enviar outros ataques para outras máquinas não expondo a sua verdadeira identidade.

Outros fatores que devem ser citados:

• Contéudos ativos: documentos doc ou pdf, por exemplo, que são interpretados por um programa que podem ter falhas de segurança;
• Código móvel: códigos que são executados na máquina cliente, como javascript, Microsoft ActiveX, etc;
• Escalação de privilégios: o atacante pode usar privilégios concedidos ao serviço ou programa disponibilizado para executar um ataque para conseguir privilégios maiores na máquina atacada, isso quando o serviço não está rodando como o usuário administrador, o que ocorre em muitos casos;
• Ciclo de atualizações e Zero Days: o principal problema nesse caso é o fato que o lançamento de patches (correções de código) são em sua grande maioria reativos, e não pró-ativos. Entre o período da descoberta de uma vulnerabilidade em um sistema até o lançamento de uma correção para o problema, existe um período de exposição do usuário ao ataque (chamado de janela de vulnerabilidade). Além disso, após a disponibilização, o usuário deve adquirir, autenticar (via verificação PGP ou MD5, etc), testar e instalar a correção, além do fato que a própria correção pode expor o usuário a mais problemas de segurança.