O número de ameaças na Web cresce continuamente a cada mês. Interessados, principalmente, em ganhos financeiros, criminosos virtuais criam a cada momento golpes cada vez mais engenhosos para surrupiar o suado dinheiro alheio, de forma rápida e imperceptível, o que obriga os internautas a serem cada vez mais cuidadosos.
No entanto, a maioria das ameaças divulgadas em sites e revistas especializadas em tecnologia e voltadas para o usuário final fica restrita aos códigos maliciosos e golpes mais ativos como cavalos-de-Tróia (trojans), worms, spywares (programas-espiões) e phishings. O que poucos sabem é que ofensivas não tão noticiadas e que utilizam o HTML (linguagem de programação usada para produzir páginas Web) são cada vez mais usadas pelos criminosos virtuais. Isso porque eles criam e inserem comandos (scripts) maliciosos em sites sem certificado de segurança e conseguem invadir o PC da vítima sem que ela saiba.
Confira alguns dos golpes do gênero mais ativos na rede, porém, pouco conhecidos, como eles agem nas máquinas contaminadas e como fazer para não cair neles.
Seqüestro de Sessão
Trata-se de um ataque onde o cracker obtém a identificação (id) da sessão http do usuário. Segundo Ricardo Kiyoshi, diretor de desenvolvimento da empresa de segurança digital Batori Software, “o atacante grava o id capturado em seu próprio navegador, enganando a aplicação e se passando pelo usuário legítimo”. O seqüestro de sessão permite que um invasor use os privilégios de um usuário comum para acessar ou modificar um banco de dados e até mesmo trocar as senhas. Ele pode ainda instalar um software para entrar em áreas adicionais, mesmo sem as devidas credenciais de acesso. Essa é uma técnica usada principalmente em ambientes corporativos.
O modo mais simples de iniciar este ataque é, primeiramente, tentar colocar o computador invasor em algum lugar do caminho de conexão, usando uma ferramenta de invasão especializada. Em seguida, o invasor observa a troca de comunicação e, em um determinado momento, toma o controle dela.
No caso do usuário doméstico, esse tipo de ataque pode ocorrer enquanto ele visita sites sem recursos de segurança confiáveis. Isso porque o cracker insere um comando malicioso de HTML na página e este invade o PC da vítima quando ambos estão conectados no mesmo local.
É recomendado que os internautas evitem acessar sites não-confiáveis e, no caso, de empresas, o uso de ferramentas de encriptação de dados pode evitar que o atacante intercepte a comunicação.
XSS (Cross Site Scripting)
O XSS ( ou Cross-site scripting) representa um ataque baseado em induzir o browser do usuário a executar um script malicioso dentro do contexto de um site confiável.
A exploração bem sucedida deste ataque permite ao cracker embutir um código malicioso (na forma de Javascript ou VBScript) em campos de entrada, os quais são inseridos de volta para a resposta do servidor. Isto permite ao agressor executar códigos arbitrários em um usuário desatento que tenha acesso permitido ao site escolhido como vítima.
"Um usuário que usa uma aplicação ou um site vulnerável ao Cross Site Scripting pode ser espionado por scripts maliciosos", declarou Denny Roger, diretor da Batori Software. "Uma aplicação vulnerável pode enviar ao navegador do usuário um script malicioso que vai espionar as pesquisar feitas e revelar ao atacante se o usuário pesquisou um determinado tipo de assunto. O resultado desta espionagem pode ser enviado ao atacante facilmente pelo script sem que o usuário perceba e com isso, até mesmo dados sigilosos podem parar nas mãos do cracker".
Para complicar, neste tipo de ataque, não é possível utilizar soluções tradicionais de segurança como antivírus e firewall. “O XSS é um golpe cuja prevenção praticamente inexiste", diz Denny Roger, diretor da Batori Software. "Não existem aplicativos ou soluções que consigam detectar um ataque via XSS. Infelizmente, o internauta precisa contar com a sorte".
IP Spoofing
O IP Spoofing usa uma técnica mais sofisticada para enganar o usuário. Isso porque ele simplesmente troca o IP (Internet Protocol, o “endereço” do internauta na Web) original por outro. Dessa forma, o cracker assume a “identidade” da vítima, alterando configurações – entre elas as do navegador – direcionando-o para sites maliciosos, que trazem códigos maliciosos em HTML. Além disso, esse ataque pode fazer com que o cracker crie centenas de usuários inúteis dentro de um mesmo PC, o que prejudicaria o desempenho da máquina, além de perda de recursos de banda e, caso a ofensiva seja realizada em ambiente corporativo, sobrecarga do servidor.
“O cracker usa o spoofing quando quer seqüestrar alguma conexão entre o computador do cliente e o servidor. No caso do usuário doméstico, ele falsifica o IP da vítima e realiza o ataque via Web”, continua Roger. “O criminoso usa um programa que procura saber quantos IPs estão conectados na Internet. A partir daí, utilizando softwares específicos, ele os falsifica”.
O ataque via spoofing, a exemplo do XSS, também não depende de precauções ou soluções de segurança. “Não há como se precaver deste tipo de ataque”, diz Roger. “Esse tipo de golpe já foi divulgado pela Batori em 2004 e até hoje não se tem solução. Nesse caso, como no XSS, o internauta também necessita de sorte para não ser pego”.
Assinar:
Postar comentários (Atom)
Nenhum comentário:
Postar um comentário