Relatório de Inteligência de #Segurança da #Microsoft

A Microsoft divulgou um relatório bastante interessante sobre suas descobertas sobre segurança no período de julho a dezembro de 2009. As informações do relatório são fruto da análise dos três centros de segurança da Microsoft, o Microsoft Malware Protection Center, o Microsoft Security Response Center e o Microsoft Security Engineering Center, cujos blogs podem ser acessados em http://www.microsoft.com/twc/blogs. O relatório pode ser obtido em versão detalhada ou sumarizada no site da Microsoft. Destaco a seguir algumas informações que me chamaram a atenção:

  • Países com mais computadores desinfectados pelos produtos antimalware da Microsoft
    • 1º - EUA (15M no 2S09, 13M no 1S09), 2º - China (3M no 2S09, 2,8M no 1S09), 3º - Brasil (2,5M 2S09, 2,1M 1S09);
  • Categorias de ameaças mais identificadas
    • Mundo: 1º - Cavalos de tróia, 2º - Worms, 3º - Downloaders e droppers
    • Brasil: 1º - Cavalos de tróia, 2º - Downloaders e droppers, 3º - Adware
    • Na China, várias das ameaças predominantes são famílias localizadas que não aparecem na lista das principais ameaças de nenhum outro país. Essas ameaças incluem algumas versões do Win32/BaiduSobar — uma barra de ferramentas de navegador em chinês — e ladrões de senha como o Win32/Lolyda e o Win32/Ceekat, que atacam vários jogos online populares na China.
    • No Brasil, a categoria "Ladrões de senha e ferramentas de monitoramento" é a categoria mais comum, principalmente devido à existência de uma grande quantidade de ladrões de senha em português que visam a usuários de bancos online brasileiros. Win32/Bancos é o mais comum desses ladrões de senhas.
    • A Coreia está dominada pelos worms, principalmente o Win32/Taterf, que visa aos usuários de jogos online. A prevalência do Taterf na Coreia pode ter como causa parcial a propensão do worm de se espalhar facilmente nas cafeterias com acesso à Internet e em centros de jogos em rede, populares neste país.
  • Antivírus "falso"
    • Os produtos de segurança da Microsoft desinfectaram malwares relacionados com software de segurança não autorizado em 7,8 milhões de computadores no 2S09, acima dos 5,3 milhões de computadores do 1H09. Trata-se de um aumento de 46,5%, o que sugere que o software de segurança não autorizado proporciona aos seus distribuidores um grande retorno, se comparado com algum outro tipo de ameaça menos predominante.
    • A família de software de segurança não autorizado Win32/FakeXPA foi a terceira ameaça mais comum detectada pelos produtos de segurança para estações de trabalho da Microsoft em todo o mundo no 2S09. Outras três — Win32/Yektel, Win32/Fakespypro e Win32/Winwebsec — ficaram em 11º, 14º e 17º lugares, respectivamente.
  • Residências versus empresas
    • A Microsoft usa como parâmetro o fato de a máquina estar no domínio para indicar que se trata de equipamento corporativo;
    • A partir desta distinção, o relatório mostra uma maior incidência de worms em computadores residenciais, e cavalos de tróia em ambiente corporativo;
  • E-mail
    • O relatório mostra um golpe que promete, em troca de um valor financeiro, uma quantia bem maior, depois, como uma espécie de participação no lucro do golpe, aplicado em países corruptos da África;
    • A maioria destas mensagens tem origem na Nigéria, Costa do Marfim, Serra Leoa e Burquina Faso;
    • Os países que mais enviam SPAM são, pela ordem, EUA (27%), Coréia (6,9%), China (6,1%), Brasil (5,8%) e Rússia (2,9%);
    • O relatório mostra ainda que um pequeno número de botnets é responsável por praticamente todo o SPAM enviado;
  • Onde estão as falhas
    • As vulnerabilidades dos aplicativos continuam sendo responsáveis pela maioria das vulnerabilidades no 2H09, apesar de a quantidade total de vulnerabilidades de aplicativos ter diminuído significativamente em relação ao 2S08 e 1S09;
    • As vulnerabilidades de sistemas operacionais e navegadores ficaram relativamente estáveis, e cada uma delas foi responsável por uma pequena fração do total;
    • As divulgações das vulnerabilidades dos produtos Microsoft aumentaram de 113 no 1S09 para 127 no 2S09. Em termos gerais, as tendências das divulgações de vulnerabilidades da Microsoft refletiram as tendências de toda a indústria, com picos no 2S06-1SH07 e novamente no 2S08;
    • Nos quatro últimos anos, as divulgações de vulnerabilidades da Microsoft têm sido responsáveis, de forma consistente, por 3% a 5% de todas as divulgações da indústria;
    • No Windows XP, as vulnerabilidades da Microsoft são responsáveis por 55,3% de todos os ataques da amostra estudada;
    • No Windows Vista e no Windows 7, a proporção de vulnerabilidades da Microsoft é significativamente menor, respondendo por apenas 24,6% dos ataques da amostra estudada;
  • A falta de atualização
    • A maioria das vulnerabilidades exploradas na amostra de dados existia há vários anos, e para todas elas havia atualizações de segurança disponíveis para ajudar na proteção contra o exploit; um terço delas foi identificado pela primeira vez em 2006;
    • 75,7% dos ataques exploraram uma única vulnerabilidade (CVE-2006-2492, na Vulnerabilidade de indicador de objeto malformado do Microsoft Office Word), cuja correção de segurança, ao término de 2009, estava disponível há mais de três anos;
    • Os usuários que não mantêm atualizadas suas instalações do programa Office com os service packs e as atualizações de segurança estão sujeitos a um maior risco de ataques. A maioria dos ataques envolvia computadores com instalações extremamente desatualizadas do programa Office;
  • Incidentes mais comuns
    • Há uma clara tendência descendente no número absoluto de incidentes em cada categoria única, exceto para ataques de malware, os quais permanecem inalterados;
    • O furto de equipamentos e mídias e a perda acidental na Web são responsáveis pelas maiores quedas;
    • A eliminação imprópria dos registros comerciais é responsável por muitos incidentes. As organizações podem solucionar esse tipo de violação de dados de forma relativamente fácil, adotando políticas eficazes para a destruição de papel e registros eletrônicos que contenham informações confidenciais;
    • Apesar de muitas pessoas ligarem violações de segurança a pessoas mal-intencionadas que buscam e ganham acesso ilegal a dados confidenciais, os incidentes que envolvem ataques (hacking, malware e fraude) foram significativamente superados nos últimos anos pelos incidentes que envolvem negligência (equipamento perdido, furtado ou ausente; divulgação acidental; ou eliminação imprópria);
    • Os incidentes envolvendo negligência têm decrescido vertiginosamente nos últimos dois anos, de 110 no 1S08 para apenas 34 no 2S09. É possível que as empresas estejam adotando mais procedimentos para proteger equipamentos com dados confidenciais, como as verificações de segurança nos portões do prédio ou os programas para informar práticas seguras aos funcionários.

Christian Guerreiro

Professor por vocação, blogueiro e servidor público por opção, amante da tecnologia e viciado em informação.


Ensino a distância em Tecnologia da Informação: Virtualização com VMware, Big Data com Hadoop, Certificação ITIL 2011 Foundations e muito mais.


Suporte o Tecnologia que Interessa!

Você acha que as informações compartilhadas aqui são úteis?
Então me ajude a produzir ainda mais e melhores conteúdos!


É muito fácil. Basta divulgar nossos treinamentos pra alguém que conheça!


E se for de Salvador, podemos estruturar um curso presencial para sua empresa!

Eu vou ficar muito grato (e quem fizer os curso também :)!