{"id":19826,"date":"2022-08-18T14:42:27","date_gmt":"2022-08-18T17:42:27","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=19826"},"modified":"2022-08-18T14:45:39","modified_gmt":"2022-08-18T17:45:39","slug":"history-lessons-code-red","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/history-lessons-code-red\/19826\/","title":{"rendered":"A evolu\u00e7\u00e3o da seguran\u00e7a: a hist\u00f3ria do Code Red"},"content":{"rendered":"

Code Red era um worm que visava sistemas baseados em Windows com o Microsoft IIS (Internet Information Services for Windows Server) instalado. Sua hist\u00f3ria tem um come\u00e7o feliz, pelo menos: a dissemina\u00e7\u00e3o do malware foi detectada logo no in\u00edcio do surto. Os descobridores<\/a> do Code Red foram pesquisadores da eEye Security, que no momento da detec\u00e7\u00e3o (13 de julho de 2001) estava desenvolvendo um sistema para encontrar vulnerabilidades do Microsoft IIS. De repente, o servidor de teste parou de responder. Isso foi seguido por uma noite sem dormir, que eles passaram examinando os logs do sistema procurando por vest\u00edgios de infec\u00e7\u00e3o. Eles nomearam o malware em homenagem ao primeiro objeto que chamou sua aten\u00e7\u00e3o: uma lata de refrigerante Mountain Dew Code Red.<\/p>\n

No entanto, a detec\u00e7\u00e3o relativamente precoce n\u00e3o foi capaz de deter a epidemia. O malware usou sistemas j\u00e1 infectados para novos ataques e, em quest\u00e3o de dias, se espalhou pelo mundo. Mais tarde, o Centro de An\u00e1lise Aplicada de Dados da Internet (Center for Applied Internet Data Analysis -CAIDA) divulgou estat\u00edsticas de 19 de julho, que demonstraram claramente a velocidade de distribui\u00e7\u00e3o do Code Red. De acordo com v\u00e1rias fontes, mais de 300.000 servidores foram atacados no total.<\/p>\n

Propaga\u00e7\u00e3o do worm Code Red em 19 de julho de 2001. <a href=\"https:\/\/www.caida.org\/archive\/code-red\/\" target=\"_blank\">Fonte<\/a>

Propaga\u00e7\u00e3o do worm Code Red em 19 de julho de 2001. Fonte<\/a><\/p><\/div>\n

Como funciona o Code Red<\/h2>\n

Este worm da internet explorou uma vulnerabilidade trivial em um dos m\u00f3dulos do servidor web, mais especificamente uma extens\u00e3o para indexa\u00e7\u00e3o de dados. Ocorreu um erro de estouro de buffer na biblioteca idq.dll. A vulnerabilidade recebeu o identificador MS01-33<\/a>. O bug \u00e9 f\u00e1cil de explorar \u2014 voc\u00ea apenas envia ao servidor uma solicita\u00e7\u00e3o excessivamente longa como esta:<\/p>\n

GET \/default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a\u00a0 HTTP\/1.0<\/p>\n

Como resultado, os dados ap\u00f3s os v\u00e1rios caracteres N s\u00e3o interpretados como instru\u00e7\u00f5es e executados. Toda a carga maliciosa est\u00e1 contida diretamente na solicita\u00e7\u00e3o; ou seja, dada uma instala\u00e7\u00e3o vulner\u00e1vel do Microsoft IIS, \u00e9 garantido que o sistema seja infectado instantaneamente. A consequ\u00eancia mais vis\u00edvel da infec\u00e7\u00e3o, literalmente, foi o defacement de sites servidos pelo servidor web. Em vez de seu conte\u00fado usual, o seguinte stub foi exibido:<\/p>\n

Como era um site em um servidor da Web infectado pelo Code Red. <a href=\"https:\/\/www.kaspersky.com\/about\/press-releases\/2001_a-new-generation-of--fileless-network-worm-has-unleashed-global-chaos\" target=\"_blank\">Fonte<\/a>

Como era um site em um servidor da Web infectado pelo Code Red. Fonte<\/a><\/p><\/div>\n

De acordo com a Kaspersky<\/a>, o defacement n\u00e3o foi permanente: 10 horas ap\u00f3s um ataque bem-sucedido, o worm restaurou o conte\u00fado normal do site. Outras a\u00e7\u00f5es a partir da\u00ed dependeram da data. De 1\u00ba a 19 de cada m\u00eas, o worm se propagava, enviando solicita\u00e7\u00f5es maliciosas para endere\u00e7os IP aleat\u00f3rios. Entre os dias 20 e 27, v\u00e1rios endere\u00e7os IP fixos sofreram DDoS, inclusive o do site da administra\u00e7\u00e3o presidencial norte-americana. Do dia 28 at\u00e9 o final do m\u00eas, Code Red fez uma pausa n\u00e3o t\u00e3o merecida.<\/p>\n

A vis\u00e3o de 2022<\/h2>\n

Incidentes semelhantes ainda ocorrem hoje, mas geralmente est\u00e3o associados a vulnerabilidades zero-day detectadas com mais frequ\u00eancia ao investigar um ataque ativo. Um exemplo t\u00edpico \u00e9 uma s\u00e9rie de vulnerabilidades<\/a> no servidor de email do Microsoft Exchange que foi explorada ativamente no momento da detec\u00e7\u00e3o. Mais de 30.000 organiza\u00e7\u00f5es em todo o mundo foram afetadas, e os administradores de servi\u00e7os de e-mail em muitas empresas se viram precisando instalar um patch \u201cpara ontem\u201d e tendo que realizar uma auditoria caso a infec\u00e7\u00e3o j\u00e1 tivesse ocorrido.<\/p>\n

Este exemplo mostra n\u00e3o apenas que os ataques se tornaram muito mais sofisticados, mas tamb\u00e9m que as defesas fizeram algum progresso. O Code Red explorou n\u00e3o uma vulnerabilidade zero-day, mas uma que foi detectada e resolvida um m\u00eas antes da epidemia. Mas naquela \u00e9poca, a lentid\u00e3o na instala\u00e7\u00e3o de atualiza\u00e7\u00f5es, a falta de ferramentas para instala\u00e7\u00e3o autom\u00e1tica e a baixa conscientiza\u00e7\u00e3o dos usu\u00e1rios corporativos tiveram seu papel. Outra diferen\u00e7a importante entre o Code Red e os ataques modernos \u00e9 a falta de monetiza\u00e7\u00e3o. Hoje em dia, um hack de um servidor de empresa vulner\u00e1vel seria seguido inevitavelmente por roubo de dados ou criptografia, al\u00e9m de um pedido de resgate. Al\u00e9m disso, os cibercriminosos de hoje raramente fazem defacement de sites invadidos; pelo contr\u00e1rio, \u00e9 mais prov\u00e1vel que tomem todas as medidas poss\u00edveis para esconder suas pegadas na infraestrutura de TI da empresa.<\/p>\n

Uma li\u00e7\u00e3o amarga<\/h2>\n

O Code Red, \u00e9 preciso dizer, saiu de cena muito rapidamente. Em agosto de 2001 surgiu uma vers\u00e3o ligeiramente modificada, Code Red II<\/a>, capaz de infectar sistemas que j\u00e1 haviam sido \u201cvisitados\u201d pela primeira variante do worm. De um modo geral, por\u00e9m, no in\u00edcio dos anos 2000, houve muitos outros ataques com cen\u00e1rios semelhantes. J\u00e1 em setembro de 2001, vimos a epidemia do worm Nimda<\/a>, que tamb\u00e9m aproveitou as vulnerabilidades corrigidas h\u00e1 muito tempo no Microsoft IIS. Em 2003, o worm Blaster<\/a> se espalhou por toda parte.<\/p>\n

Finalmente, foi se compreendendo que os patches para vulnerabilidades cr\u00edticas em software corporativo devem ser instalados o mais r\u00e1pido poss\u00edvel: quando uma atualiza\u00e7\u00e3o \u00e9 lan\u00e7ada, os cibercriminosos a estudam cuidadosamente e come\u00e7am a explorar a vulnerabilidade imediatamente, esperando que alguns usu\u00e1rios ainda n\u00e3o a tenham corrigido. Mas mesmo agora, n\u00e3o se pode dizer que o problema foi resolvido. Existem exemplos mais recentes, como o ataque WannaCry de 2017.<\/p>\n

O que \u00e9 poss\u00edvel dizer, no entanto, \u00e9 que o Code Red e v\u00e1rios outros programas maliciosos respons\u00e1veis por infectar centenas de milhares de sistemas em todo o mundo ajudaram a moldar as abordagens de seguran\u00e7a corporativa que nos orientam hoje. Ao contr\u00e1rio de 21 anos atr\u00e1s, agora somos totalmente dependentes de sistemas de TI para tudo, desde comunica\u00e7\u00f5es a pagamentos, sem mencionar infraestrutura cr\u00edtica. Aprendemos a nos defender contra ataques cibern\u00e9ticos, mas ainda temos que produzir uma bala de prata para todos os problemas de neg\u00f3cios no ciberespa\u00e7o. \u00c0 medida que a seguran\u00e7a cibern\u00e9tica evolui inevitavelmente, devemos reconhecer que a seguran\u00e7a perfeita n\u00e3o \u00e9 um estado fixo das coisas, mas uma luta cont\u00ednua.<\/p>\n

\"Mais<\/a><\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n","protected":false},"excerpt":{"rendered":"

A hist\u00f3ria do primeiro ataque s\u00e9rio \u00e0 infraestrutura de TI corporativa.<\/p>\n","protected":false},"author":665,"featured_media":19827,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1119,1656],"tags":[3031,3030,1507,120,2059],"class_list":{"0":"post-19826","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-smb","9":"tag-cronica","10":"tag-defacement","11":"tag-epidemia","12":"tag-historia","13":"tag-worms"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/history-lessons-code-red\/19826\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/history-lessons-code-red\/25146\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/history-lessons-code-red\/27478\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/history-lessons-code-red\/33795\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/history-lessons-code-red\/10909\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/history-lessons-code-red\/45082\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/history-lessons-code-red\/19258\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/history-lessons-code-red\/29122\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/history-lessons-code-red\/25320\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/worms\/","name":"worms"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/19826","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/665"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=19826"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/19826\/revisions"}],"predecessor-version":[{"id":19834,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/19826\/revisions\/19834"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/19827"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=19826"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=19826"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=19826"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}