Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.) vá até o fim da reportagem e utilize o espaço de comentários ou envie um e-mail para [email protected]. A coluna responde perguntas deixadas por leitores no pacotão, às quintas-feiras.

O blog Segurança Digital traz hoje mais uma edição da série "G1 Explica", que aborda questões técnicas em um formato de perguntas e respostas. O assunto de hoje são os "kits de ataque" ou "kits de exploits": a finalidade desses kits, como funcionam e a importância deles para o crime na internet. Confira!

1. O que é um "exploit kit" ou "kit de ataque"?
"Exploit" é um código criado para explorar uma vulnerabilidade existente em um programa. Um "exploit kit" reúne e empacota esses códigos para que sejam de uso fácil e até comercializável entre criminosos. Esses kits são usados na web para criar páginas maliciosas que, uma vez visitadas, conseguem contaminar o computador com algum vírus.

2. Por que os criminosos precisam desses kits?
A maneira rudimentar e simples de se criar uma página maliciosa é incluindo um único exploit nela, mas isso não é muito eficaz. Se o código de ataque escolhido for capaz apenas de funcionar no Internet Explorer e o visitante está usando Firefox, nada vai acontecer, mesmo que a versão do Firefox usada pelo internauta não seja segura e poderia ser atacada por algum outro código. Ao reunirem um conjunto de códigos para diferentes programas, os kits eliminam essa limitação.

Painel de controle do Nuclear Pack 2.0, mostrando países, navegadores e sistemas mais atacados. Estatísticas mostram ataques na América Latina, com Colômbia, Venezuela, Argentina e Equador como os mais atacados. Imagem de 2012 (Foto: Webroot)

3. Que tipo de página maliciosa inclui esses kits?
Qualquer página da web pode direcionar seu navegador a um kit de ataque. Os criminosos invadem sites e colocam pequenos códigos que fazem o kit ser carregado de maneira invisível durante sua visita a um site. Não adianta tentar evitar uns e outros sites. O truque para não ser vítima de um kit de ataque é manter os programas atualizados.

Dito isso, em muitos casos o link para essas páginas também chega por e-mail.

4. O que acontece quando uma página com um kit é visitada?
O kit tenta determinar tudo que for possível sobre o seu sistema: o navegador usado, a versão dele e programas adicionais, como o Adobe Flash (usado para reproduzir animações), Reader (usado para ler documentos PDF) e Java. O kit reúne códigos de ataques para todos esses programas. A partir dessas informações, a página maliciosa vai determinar qual código terá maior chance de sucesso.

Digamos que o visitante está usando versões vulneráveis do Flash e do Java. O kit pode usar um desses dois códigos. Mas, nesse caso hipotético, digamos que a falha do Flash, quando explorada, faça o navegador travar, enquanto a do Java seja silenciosa. O kit, então, tentará primeiro usar a falha do Java, já que ele pode fazer essa tentativa sem causar problemas. Se der certo, tudo bem; se não der certo, ainda dá para tentar a do Flash depois.

Todo o processo de tentativa de ataque é registrado e gera estatísticas que podem ser conferidas pelo criminoso: de qual país a vítima veio, quais falhas tiveram maior taxa de ataque e sucesso e assim por diante.

5. O que é o Flash, o Reader e o Java?
Navegadores web (como Chrome, Internet Explorer, Edge e Firefox) podem chamar programas externos para incrementar suas funcionalidades e executar recursos em páginas web que o navegador em si não consegue abrir. O Flash, o Java e o Reader são programas que fornecem essas funções extras aos navegadores. São chamados de "plug-ins".

Como esses programas podem ser carregados por qualquer página (a princípio -- isso tem mudado por conta dos problemas de segurança), um ataque contra um desses programas dentro do navegador é praticamente indistinguível de um ataque contra o próprio navegador. Para sua navegação web ser segura, não basta que o navegador esteja seguro: os componentes dos quais o navegador depende também precisam ser seguros.

Painel de controle do Blackhole, mostrando estatísticas de ataque. Nesta tela, Brasil aparece como segundo mais atacado (distante do primeiro, os Estados Unidos) e duas falhas do Java foram as mais usadas. Imagem de 2011. (Foto: Websense)

6. Se os códigos de ataque são invisíveis, como sei que fui atacado?
Na verdade, não dá para saber. Se você for infectado, a consequência deve aparecer. Os vírus de resgate como o Cryptowall são frequentemente disseminados por esses kits.

7. E se o código não consegue explorar nenhuma falha?
Em alguns casos, o kit redireciona a vítima para uma página falsa que oferece um programa para que você possa assistir a um vídeo ou outro conteúdo do tipo. A ideia é enganar a vítima para que ela pense estar baixando um programa útil ou necessário. Nesse caso, o ataque depende do download do programa pela vítima. Mas existem muitas outras páginas fraudulentas semelhantes na web que não são fruto de um ataque de um kit.

8. Quem usa e quem desenvolve esses kits?
O desenvolvimento desses kits é uma tarefa um tanto complexa, porque códigos que exploram brechas (como os exploits) são bastante delicados. Às vezes é difícil de programá-los de modo que funcionem bem em um grande número de sistemas diferentes. Por isso, os kits são desenvolvidos por algumas poucas pessoas e então comercializados - vendidos ou alugados - para diversos outros criminosos. O preço do aluguel costuma ficar na casa das centenas de dólares para alguns meses.

Um programador russo, que usa o apelido online de "Paunch", foi preso em 2013 acusado de ser o autor do kit "Blackhole". Mais 12 pessoas, que seriam colaboradores da gangue envolvida na criação e comercialização do kit, também foram presas pelas autoridades russas. Eles teriam faturado 70 milhões de rublos (cerca de R$ 4 milhões) vendendo e alugando o kit para diversos outros grupos criminosos.

Após o Blackhole, também ficaram populares os kits Angler e, mais recentemente, um kit conhecido como Nuclear, que já vinha sendo usado há mais tempo. Há muitos outros em uso na web - o site ContagioDump registra a existência de 21 kits, além de pacotes particulares.

8. Como evitar esses ataques?
Parte do problema pode ser evitado na fonte, exercendo cuidado ao clicar em links recebidos por e-mail. Mas isso nem sempre é possível, já que alguns golpes são muito convincentes.

O mais importante é manter os programas atualizados. O Internet Explorer e o Edge recebem atualizações automáticas junto com o Windows; o Chrome e o Firefox (em versões mais recentes) recebem atualizações 100% automáticas.

O Flash e o Reader também devem receber atualizações automáticas, mas isso nem sempre acontece. Se você estiver com dúvidas, pode reinstalar o Reader e o Flash a partir destes links:
https://get.adobe.com/br/reader/
https://get.adobe.com/br/flashplayer/

Atente para as configurações solicitadas durante a instalação. No caso do Flash, uma delas já diz respeito às atualizações automáticas. (Importante: o Chrome já inclui o Flash, então não é necessário instalá-lo ou atualizá-lo separadamente; o Edge não executa plug-ins e possui um leitor de PDF interno e, por isso, não executa o Reader.)

O Java é um pouco mais complicado. Ele exibe um aviso no canto do computador, perto do relógio, afirmando que uma atualização está disponível. É preciso clicar nesse balão de aviso e seguir as orientações que aparecem na tela para concluir a atualização. Na configuração padrão, Edge e Chrome não mais executam o Java, então ele não é um problema nesses navegadores.

Não se esqueça de deixar sua dúvida na área de comentários, logo abaixo, ou enviar um e-mail para [email protected]. Você também pode seguir a coluna no Twitter em @g1seguranca. Até a próxima!