*Higor Jorge
Navegar na internet proporciona uma infinidade de possibilidades aos usuários de computadores, desde realizar atividades profissionais, educativas, transações bancárias, iniciar relacionamentos, amizades e outras atividades.
Apesar destes benefícios surgiram também alguns perigos e nos últimos tempos uma grande preocupação com os denominados rootkits que representam uma grande ameaça para os internautas.
O termo rootkit é oriundo das palavras root e kits, sendo que root significa usuário de computador que tem controle total da máquina e kits se refere aos programas utilizados por usuários do Linux para que tivessem controle total sobre um sistema que já esteja comprometido.
Os rootkits podem ser instalados de forma local ou remota, ou seja, a pessoa que tiver acesso físico a ele pode promover sua instalação ou por intermédio de outro computador, à distância.
Nas duas formas o programa tem que ser executado. No Windows o arquivo malicioso contamina tarefas e processos da memória e pode proporcionar mensagens de erro (geralmente de “arquivo inexistente”), que muitas vezes são sintomas do problema. No Linux o programa malicioso substitui um programa de uma lista de arquivos.
Um dos problemas dos rootkits é que boa parte dos antivírus não conseguem localizá-los, ou seja, eles passam despercebidos, camuflados e o usuário de computador, mesmo com um antivírus instalado, não fica sabendo que há um programa malicioso instalado em sua estação de trabalho.
As chaves do rootkit permanecem ocultas no registro e seus processos no gerenciador de tarefas para que não sejam localizados. Se o sistema operacional solicita a leitura ou abertura de um arquivo, o rootkit promove uma filtragem dos dados (interceptação via API) e não deixa chegar até ele o código malicioso. Desta forma, dificilmente o rootkit é notado no computador. Muitos rootkits são instalados no computador nas hipóteses em que a pessoa recebe um e-mail, com um arquivo malicioso anexo ou com um link que ao ser clicado leva a pessoa a um site que ofereça o arquivo para ser copiado no computador e executado.
Para convencer o usuário a executar este tipo de arquivo existem diversos meios fraudulentos, dentre eles temos visto e-mails de criminosos digitais que se passam por determinados órgãos, como o SERASA, Polícia Federal, Ministério Público, amigo da vítima, instituições bancárias, lojas de comércio virtual, etc (phishing).
Estes arquivos maliciosos, além muitas vezes serem imperceptíveis também capazes de produzir inúmeros problemas, como por exemplo, podem ter propriedades de keylogger (arquivo que registra todas as teclas digitadas no computador), vírus (arquivo que contamina e se espalha por arquivos computador e pode produzir danos contra seus programas, hardware e arquivos), scanner (programa utilizado para localizar as vulnerabilidades dos computadores da vítima), etc.
Existem programas que requisitam a lista de arquivos do disco rígido do Windows e depois elaboram uma listagem sem a ajuda do Windows. Os resultados obtidos são comparados e os arquivos que o Windows omitiu podem ser maliciosos. Existem alguns rootkits que conseguem identificar os programas anti-rootkits e com isso não interceptam as solicitações do Windows de forma que ambas listas sejam iguais e tornem os rootkits indetectáveis.
Dentre os programas mais comuns capazes de identificar e eliminar rootkits temos: AVG Anti-Rootkit (http://www.avgbrasil.com.br), RootkitRevealer (http://technet.microsoft.com/pt-br), McAfee Rootkit Detective (http://www.mcafee.com/br), Panda Anti-Rootkit (http://www.pandasecurity.com/brazil), dentre outros.
Como todo tipo de vulnerabilidade envolvendo a segurança da informação, cabe destacar que a primeira ação visando a sua proteção deve ser a prevenção, ou seja, adotar procedimentos no sentido de evitar uma possível contaminação, principalmente mantendo o sistema operacional, antivírus, firewall e antispyware sempre atualizados, evitar em clicar em links recebidos em e-mails, não deixar que outra pessoa utlize seu computador e evitar sites suspeitos.
Bbbliografia: Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil - CERT.br. Disponível em: < http://www.cert.br>. Acesso em: 03 jan. 2011. JORGE Higor Vinicius Nogueria. Phishing: Conhecer para se proteger. Disponível em:. Acesso em: 29 dez. 2010.
ROHR, Altieres. Rootkits: A prevenção é a solução. Linhas Defensiva - UOL. Disponível em: < http://www.linhadefensiva.org/2005/03/rootkit/ >. Acesso em 01 jan. 2011.
Higor Vinicius Nogueira Jorge é delegado de polícia, professor de análise de inteligência da Academia da Polícia Civil e professor universitário. Tem feito palestras sobre segurança da informação, crimes cibernéticos, TI e drogas. www.higorjorge.com.br Twitter: http://twitter.com/higorjorge
Apesar destes benefícios surgiram também alguns perigos e nos últimos tempos uma grande preocupação com os denominados rootkits que representam uma grande ameaça para os internautas.
O termo rootkit é oriundo das palavras root e kits, sendo que root significa usuário de computador que tem controle total da máquina e kits se refere aos programas utilizados por usuários do Linux para que tivessem controle total sobre um sistema que já esteja comprometido.
Os rootkits podem ser instalados de forma local ou remota, ou seja, a pessoa que tiver acesso físico a ele pode promover sua instalação ou por intermédio de outro computador, à distância.
Nas duas formas o programa tem que ser executado. No Windows o arquivo malicioso contamina tarefas e processos da memória e pode proporcionar mensagens de erro (geralmente de “arquivo inexistente”), que muitas vezes são sintomas do problema. No Linux o programa malicioso substitui um programa de uma lista de arquivos.
Um dos problemas dos rootkits é que boa parte dos antivírus não conseguem localizá-los, ou seja, eles passam despercebidos, camuflados e o usuário de computador, mesmo com um antivírus instalado, não fica sabendo que há um programa malicioso instalado em sua estação de trabalho.
As chaves do rootkit permanecem ocultas no registro e seus processos no gerenciador de tarefas para que não sejam localizados. Se o sistema operacional solicita a leitura ou abertura de um arquivo, o rootkit promove uma filtragem dos dados (interceptação via API) e não deixa chegar até ele o código malicioso. Desta forma, dificilmente o rootkit é notado no computador. Muitos rootkits são instalados no computador nas hipóteses em que a pessoa recebe um e-mail, com um arquivo malicioso anexo ou com um link que ao ser clicado leva a pessoa a um site que ofereça o arquivo para ser copiado no computador e executado.
Para convencer o usuário a executar este tipo de arquivo existem diversos meios fraudulentos, dentre eles temos visto e-mails de criminosos digitais que se passam por determinados órgãos, como o SERASA, Polícia Federal, Ministério Público, amigo da vítima, instituições bancárias, lojas de comércio virtual, etc (phishing).
Estes arquivos maliciosos, além muitas vezes serem imperceptíveis também capazes de produzir inúmeros problemas, como por exemplo, podem ter propriedades de keylogger (arquivo que registra todas as teclas digitadas no computador), vírus (arquivo que contamina e se espalha por arquivos computador e pode produzir danos contra seus programas, hardware e arquivos), scanner (programa utilizado para localizar as vulnerabilidades dos computadores da vítima), etc.
Existem programas que requisitam a lista de arquivos do disco rígido do Windows e depois elaboram uma listagem sem a ajuda do Windows. Os resultados obtidos são comparados e os arquivos que o Windows omitiu podem ser maliciosos. Existem alguns rootkits que conseguem identificar os programas anti-rootkits e com isso não interceptam as solicitações do Windows de forma que ambas listas sejam iguais e tornem os rootkits indetectáveis.
Dentre os programas mais comuns capazes de identificar e eliminar rootkits temos: AVG Anti-Rootkit (http://www.avgbrasil.com.br), RootkitRevealer (http://technet.microsoft.com/pt-br), McAfee Rootkit Detective (http://www.mcafee.com/br), Panda Anti-Rootkit (http://www.pandasecurity.com/brazil), dentre outros.
Como todo tipo de vulnerabilidade envolvendo a segurança da informação, cabe destacar que a primeira ação visando a sua proteção deve ser a prevenção, ou seja, adotar procedimentos no sentido de evitar uma possível contaminação, principalmente mantendo o sistema operacional, antivírus, firewall e antispyware sempre atualizados, evitar em clicar em links recebidos em e-mails, não deixar que outra pessoa utlize seu computador e evitar sites suspeitos.
Bbbliografia: Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil - CERT.br. Disponível em: < http://www.cert.br>. Acesso em: 03 jan. 2011. JORGE Higor Vinicius Nogueria. Phishing: Conhecer para se proteger. Disponível em:
ROHR, Altieres. Rootkits: A prevenção é a solução. Linhas Defensiva - UOL. Disponível em: < http://www.linhadefensiva.org/2005/03/rootkit/ >. Acesso em 01 jan. 2011.
Higor Vinicius Nogueira Jorge é delegado de polícia, professor de análise de inteligência da Academia da Polícia Civil e professor universitário. Tem feito palestras sobre segurança da informação, crimes cibernéticos, TI e drogas. www.higorjorge.com.br Twitter: http://twitter.com/higorjorge
Comentários
Postar um comentário