Uma atenção demasiado focalizada no combate a novas e emergentes ameaças à segurança de TI pode estar a fazer com que as empresas negligenciem vulnerabilidades mais antigas mas frequentemente usadas para perpetrar ataques, diz um estudo recente da TrustWave.
O estudo baseia-se na análise a dados recolhidos após 1900 testes de penetração e mais de 200 investigações a fugas de dados, realizados a pedidos de empresas como a American Express, MasterCard, Discover, Visa e vários retalhistas de grande dimensão.
A análise mostra que a generalidade das empresas de dimensão global está a utilizar “detectores de vulnerabilidades” e a procurar pelas mais recentes ameaças informáticas nas suas infra-estruturas, subestimando ao mesmo tempo a detecção e combate às vulnerabilidades mais comuns.
Como resultado, as companhias continuam a ser gravemente afectadas por vulnerabilidades antigas e supostamente bem conhecidas, e não tanto pelos novos métodos e ferramentas de ataque.
Por exemplo, as três formas preferenciais usadas pelos hackers para obter acesso às redes das empresas em 2009 foram as aplicações de acesso remoto, as ligações internas de confiança à rede corporativa e os ataques por SQL injection, de acordo com a TrustWave.
Todos estes três métodos estão já há muito documentados e são bem conhecidos de todos os investigadores. As vulnerabilidades de SQL injection, por exemplo, já existem há pelo menos 10 anos, mas continuam a prevalecer nas aplicações baseadas em Web e em bases de dados.
A vulnerabilidade mais comum descoberta pela TrustWave durante os seus testes de penetração a redes externas tem a ver com as interfaces de administração de motores de aplicações Web, tais como o Websphere e o Cold Fusion. Em muitos casos, as interfaces de administração estavam acessíveis a partir da Internet e não contavam com praticamente nenhuma protecção por password, permitindo assim aos atacantes a instalação das suas próprias aplicações maliciosas no servidor Web.
Componentes da infra-estrutura de rede igualmente não protegidos, como os routers, switches e concentradores VPN representam a segunda vulnerabilidade mais detectada pela TrustWave. A tendência de muitas empresas de alojarem as suas aplicações internas no mesmo servidor onde residem também os conteúdos externos é outra vulnerabilidade comum, bem como as regras de firewall mal configuradas, as passwords originais ou de acesso demasiado fácil e os problemas com a cache do DNS.
Entretanto, os testes de penetração sem fios realizados pela TrustWave vieram também pôr a descoberto fraquezas comuns como a continuidade da utilização de encriptação WEP, a existência de redes 802.11 com poucos ou nenhuns controlos de segurança e a utilização de clientes wireless que usam redes públicas “convidadas” em vez de redes privadas seguras.
Em quase todos os casos, as vulnerabilidades mais comuns detectadas pela TrustWave eram problemas bem conhecidos que já deviam ter sido ultrapassados há muito tempo atrás, de acordo com Nicholas Percoco, vice-presidente da unidade de investigação SpiderLabs da TrustWave. “Durante a nossa investigação de 2009 encontrámos vulnerabilidades bastante antigas nas empresas, algumas com mais de 20 ou 30 anos. Isto é grave, até porque os hackers estão a apontar baterias a estas velhas falhas de segurança como forma de entrar nas empresas, recorrendo a ferramentas cada vez mais sofisticadas para lhes roubar dados importantes”, refere.
Além dos já conhecidos utilitários para captura de teclas pressionadas pelo utilizador e das ferramentas de captura de pacotes, os ciber-criminosos estão cada vez mais a recorrer a ferramentas como malware credenciado e analisadores de memória para roubarem informações confidenciais, afirma Nicholas Percoco. Os analisadores de memória são utilizados para monitorizar a memória RAM associada a um determinado processo, permitindo dela extrair dados específicos. Já os programas de malware credenciados são uma nova classe de programas multi-utilizador que têm sido mais usados para roubar dinheiro e números de cartões bancários a partir de ATMs.
Existem várias medidas que as empresas podem tomar para diminuir os riscos colocados pelas vulnerabilidades mais antigas e frequentemente ignoradas, diz a TrustWave. Uma delas é manter um inventário de activos completo e actualizado. Muitas empresas não têm por vezes uma ideia exacta dos seus activos de TI ou dos riscos que esses activos representam para os seus dados, pelo que apenas a manutenção de uma lista actual e completa desses activos permite proteger a informação corporativa.
Substituir sistemas obsoletos é outra forma de diminuir o risco, de acordo com a TrustWave. Além disso, a consultora refere também no seu relatório que, em 80 por cento dos casos que analisou, a responsabilidade pela introdução de vulnerabilidades nas empresas esteve a cargo de terceiros. Por isso, aconselha uma vigilância apertada das relações da empresa com terceiros.
Entre as restantes medidas aconselhadas pela TrustWave, conta-se ainda a segmentação de redes internas, a encriptação de dados e a implementação de segurança em redes Wi-Fi mais potente.

Tags: American Express, Cold Fusion, Discover, DNS, MasterCard, Segurança, SQL injection, Visa, WebSphere, WEP

Pode acompanhar os comentários a este artigo via RSS 2.0.

Notícias Relacionadas