Entendendo ameaças escondidas: Rootkits e Botnets

“Atacantes estão continuamente encontrando novas formas de acessar sistemas de computadores. A utilização de métodos camuflados como os rootkits e botnets tem aumentado, e você pode ser uma vítima sem mesmo se dar conta disto.”

Resolví traduzir este texto para que possa divulgar os conceitos de rootkits e botnets, além de poder inserir mais artigos relativos a segurança da informação aqui no blog. Essas duas formas de ataque geralmente passam despercebidas por suas vítimas, pois causam mínimas alterações em suas máquinas, porém podem causar grandes estragos devido ao comprometimento de dados e desempenho das mesmas.

O texto que segue, foi livremente traduzido do original disponível no site US-CERT.

O que são rootkits e botnets?

Um rootkit é uma parte de um software que pode ser instalado e escondido em seu computador sem o seu conhecimento. Pode ser incluído em um pacote maior de software ou instalado por um atacante que tenha sido capaz de obter vantagem de uma vulnerabilidade em seu computador ou tenha convencido você a baixá-lo ( procure por Engenharia Social ou Ataques Phishing para mais informações ). Rootkits não são necessariamente maliciosos, mas podem esconder atividades maliciosas. Atacantes podem ser capazes de acessar informações, monitorar suas atividades, modificar programas, ou executar outras operacões em seu computador sem ser detectado.

Botnet é um termo derivado da idéia de redes robôs. Na forma mais básica, um bot é simplesmente um programa de computador automatizado, ou robô. No contexto das botnets, bots referem-se a computadores que podem ser controlados por uma, ou muitas, fontes externas. Um atacante normalmente ganha controle através da infecção por vírus ou outro código malicioso que dá acesso ao atacante. Seu computador pode ser parte de uma botnet mesmo pensando que aparentemente opera normalmente. Botnets são também usadas para conduzir uma gama de atividades, desde distribuir spam e vírus a conduzir ataques de negação de serviço.

Por que eles são considerados ameaças?

O principal problema tanto quanto a rootkits quanto botnets é que estão escondidos. Embora botnets não sejam escondidas da mesma modo que os rootkits, elas podem não ser detectadas a menos que você esteja procurando por certa atividade. Se um rootkit foi instalado, você pode não estar ciente de que seu computador foi comprometido, e os softwares anti-vírus tradicionais podem não ser capazes de detectar os programas maliciosos. Os atacantes estão também criando programas mais sofisticados que atualizam a sí mesmos para que assim fiquem ainda mais difíceis de serem detectados.

Atacantes podemn usar rootkits e botnets para modificar informações pessoais, atacar outros computadores, e cometer outros crimes, tudo enquanto permanecem indetectáveis. Através da utilização de múltiplos computadores, os atacantes aumentam o alcance e o impacto de seus crimes. Porque cada computador na botnet é programado para executar o mesmo comando, o atacante pode ter cada um deles escaneando múltiplos computadores em busca de vulnerabilidades, monitorando atividades online, ou coletando informações inseridas em formulários online.

O que você pode fazer para proteger-se?

Se você praticar bons hábitos de segurança, pode reduzir a chance de que seu computador venha a ser comprometido:

  • Use e faça manutenção em um software anti-vírus – Software anti-vírus reconhece e protege seu computador contra a maioria dos vírus conhecidas, então você será capaz de detectar e remover antes que possa causar algum dano. Pois atacantes estão continuamente escrevendo novos vírus, e é importante manter suas definições atualizadas. Alguns produtores de anti-vírus também oferecem software anti-rootkit.
  • Instale um firewall – Firewalls podem ser capazes de previnir alguns tipos de infecção através do bloqueio de tráfego malicioso antes que possa entrar em seu computador e limitando o tráfego que você gera. Alguns sistemas operacionais hoje em dia incluem um firewall, mas você deve ter certeza de que ele está ativo.
  • Use boas senhas – Selecione senhas que sejam difíceis de serem descobertas por atacantes, e use senhas diferentes para programas diferentes e dispositivos diferentes. Não escolha opções que permitam que seu computador lembre senhas.
  • Mantenha os programas atualizados – Instale correções em seus programas para que atacantes não possam tomar vantagem de problemas e vulnerabilidades conhecidas. Muitos sistemas operacionais oferecem atualizações automáticas. Se esta opção estiver disponível, você deve habilitá-la.
  • Siga boas práticas de segurança – Tome precauções apropriadas quando utilizar e-mails e navegadores de internet para reduzir o risco de que suas ações acionem uma infecção.

Infelizmente, se há um rootkit em seu computador ou se um atacante está usando-o em uma botnet, você pode não saber. Mesmo que descubra que é uma vítima, é difícil para a maioria dos usuários realizar a recuperação com efetividade. O atacante pode ter modificado arquivos em seu computador, então simplesmente remover os arquivos maliciosos de seu computador pode não resolver o problema, e você pode não ser capaz de confiar seguramente em uma versão mais atual do arquivo. Se você acredita ser uma vítima, considere contectar um administrador de sistemas certificado.

Como alternativa, alguns fornecedores estão desenvolvendo produtos e ferramentas que podem remover um rootkit de seu computador. Se o programa não pode localizar e remover a infecção, talvez você tenha de reinstalar o seu sistema operacional, normalmente com um disco de restauração de sistema que também é fornecido quando da aquisição de um computador novo. Note que reinstalando ou restaurando o sistema operacional tipicamente apagará todos os arquivos e softwares adicionais que tenha instalado em seu computador. A infecção também pode estar localizada em nível tão profundo que não possa ser removida simplesmente reinstalando ou restaurando o sistema operacional.”

O comprometimento de sistemas por rootkits ou botnets pode afetar tanto a sistemas operacionais GNU/Linux quanto aos sistemas proprietários. As dicas de segurança aqui apresentadas podem, e devem,  ser seguidas por usuários de ambos os sistemas.

Junto a elas, evite o acesso a páginas suspeitas da internet, ou a instalação de softwares não confiáveis em seu equipamento. Isto pode evitar a contaminação consentida de seu computador. Caso tenha a necessidade de acessar páginas que não confia, instale softwares de virtualização de sistemas operacionais e realize o acesso aos mesmos através de sistemas operacionais virtualizados, isso permitirá a contenção de infecções ao ambiente virtualizado, bastando descartá-lo para limpar o sistema.

Quando desconfiar do comprometimento de seu sistema, na maioria dos casos o melhor a se fazer é a completa reinstalação do sistema, partindo de uma formatação física do disco rígido até a instalação do sistema operacional. Caso não saiba como realizar estes procedimentos, procure a ajuda de um profissional certificado. Após o término do procedimento, as primeiras providências são a instalação e/ou ativação de um firewall e software anti-vírus, atualizando-os com frequência juntamente com o sistema operacional.

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s