Академический Документы
Профессиональный Документы
Культура Документы
Abril de 2010
Dados regionais – América Latina
Introdução
A Symantec estabeleceu algumas das mais abrangentes fontes de dados sobre ameaças da Internet em todo o
mundo por meio do Symantec Global Intelligence Network – sua rede de inteligência global. Mais de 240 mil
sensores em mais de 200 países monitoram a atividade de ataques por meio de uma combinação de serviços que
incluem o Symantec DeepSight Threat Management System, o Symantec Managed Security Service e os produtos
Norton™ para consumidores finais, bem como outras fontes de dados de terceiros.
A Symantec também identifica esses códigos maliciosos por meio de 133 milhões de sistemas-cliente, servidores e
gateways que usam os produtos antivírus da empresa. Além disso, a rede distribuída de honeypots (caixas de e-
mails usadas como “isca” para ameaças virtuais) da Symantec coleta dados em todo o mundo, reconhecendo
previamente ameaças e ataques incógnitos e apresentando uma importante análise sobre os métodos usados
pelos invasores.
Informações sobre spam e phishing são coletadas de diversas fontes, incluindo: o Symantec Probe Network, um
sistema com mais de 5 milhões de contas usadas como armadilha; o MessageLabs Intelligence, uma respeitada
fonte de dados e análise sobre problemas, tendências e estatísticas relacionadas com a segurança em sistemas de
mensagens; e outras tecnologias da Symantec. Os dados são coletados em mais de 86 países. Mais de 8 bilhões
de mensagens de e-mail e mais de um bilhão de solicitações na Web são processadas diariamente em 16
datacenters. A Symantec também coleta informações de phishing por meio de uma ampla comunidade anti-fraude
de empresas, fornecedores de soluções de segurança e mais de 50 milhões de consumidores.
Esses recursos dão aos analistas da Symantec uma inigualável fonte de dados para identificar, analisar e fornecer
indicações sobre as tendências emergentes em ataques, atividade de códigos maliciosos, phishing e spam. O
resultado é o Global Internet Security Threat Report, que oferece a empresas e consumidores informações
essenciais para que eles protejam com eficácia seus sistemas, agora e no futuro.
Além de levantar dados sobre ataques em toda a Internet para o Global Internet Security Threat Report, a
Symantec também analisa informações sobre ataques que são detectados por sensores implantados em regiões
específicas. Esse relatório regional vai discutir aspectos relevantes das atividades maliciosas que a Symantec
observou na região da América Latina (AL) em 2009.
Destaques
O Brasil foi o principal país em termos de atividades maliciosas na região da América Latina em 2009,
contabilizando 43% do total. Globalmente, o Brasil ficou no terceiro lugar do ranking, com 6% do total das
atividades maliciosas distribuídas por país.
Os Estados Unidos foram o principal país de onde se originaram os ataques detectados pelos sensores
localizados na América Latina em 2009, contabilizando 40% de todos os ataques detectados na região;
essa é uma queda em relação aos 58% registrados em 2008. Os Estados Unidos também foram o país de
onde mais se originaram ataques contra alvos mundiais em 2009, com 23% dos focos de origem das
atividades durante esse período.
O Brasil foi o principal país em termos de computadores infectados por bot na região da América Latina
em 2009, com 54% do total. Globalmente, o Brasil ocupou a terceira posição em número de
computadores infectados de bot, com 7% do total em 2009.
Em 2009, o worm Downadup.B foi o código malicioso mais frequentemente observado em termos de
potencial de infecção na região da América Latina; esse worm ocupou o sexto lugar globalmente em 2009.
Em 2009, o Brasil foi o país de onde se originou o maior volume de spam na região da América Latina,
com 54% do total. Globalmente, o Brasil ocupou o segundo posto em termos de origem de spam, com
11% do total mundial em 2009.
Atividades maliciosas por país
Essa métrica avalia os países da América Latina nos quais se originou ou aconteceu o maior volume de atividades
maliciosas em 2009. Para determinar isso, a Symantec compilou dados geográficos de várias atividades
maliciosas, incluindo relatórios de código malicioso, spam zumbis, hospedeiros de phishing, computadores
infectados por bot e as origens dos ataques. As classificações foram determinadas por meio do cálculo da média
da proporção dessas atividades maliciosas que tiveram origem em cada país.
As atividades maliciosas geralmente afetam computadores conectados à Internet de banda larga, com alta
velocidade, porque essas conexões são alvos atraentes para os invasores. A Symantec observou no passado que
as atividades maliciosas em um país tendem a aumentar quando há crescimento da infraestrutura de banda larga.
Isso indica que os novos usuários podem estar desacostumados ou desinformados sobre o maior risco de
exposição a ataques maliciosos em conexões robustas.
O Brasil foi novamente o país com mais atividades maliciosas na região da América Latina em 2009, respondendo
por 43% do total regional, um aumento em relação aos 34% registrados em 2008 (Tabela 1). Globalmente, o Brasil
contabilizou 6% do total em 2009 e ocupou a terceira posição nessa medição. Isso representa um aumento em
relação aos 4% e o quinto lugar registrado em 2008. Essa é a primeira vez que um país diferente dos Estados
Unidos, da China e da Alemanha se classificou entre os três principais nessa medição global que a Symantec
apresenta desde 2006.
O Brasil ocupou o primeiro lugar em todas as categorias de atividades maliciosas na região em 2009. O Brasil
também esteve no primeiro posto em todas as categorias em 2008, exceto em códigos maliciosos, classe em que
ocupou o segundo lugar, atrás do México, naquele ano. Em 2009, o Brasil aumentou sua participação na região em
todas as medições por categoria específica. Essa elevação é considerada decorrência do contínuo e rápido
crescimento da infraestrutura de Internet e do uso de banda larga, bem como do fato de o Brasil ter sido um dos
1
países mais afetados pelas variantes do worm Downadup (também conhecido por conficker) em 2009.
O ganho percentual do Brasil em atividades maliciosas gerais em 2009 é atribuído principalmente a um aumento
significativo em sua posição no ranking de código malicioso. O país não apenas superou o México para alcançar a
primeira colocação na região, como também passou para a quinta posição global no quesito de código malicioso
em 2009, estando na 16ª em 2008. Isso é devido provavelmente à propagação das infecções pelo Downadup, item
no qual o Brasil ocupou a quarta posição global em 2009. Uma explicação para o sucesso do Downadup no Brasil
é que, como parte de sua funcionalidade, o worm pode atingir regiões específicas com base na sua capacidade de
2
identificar o idioma de um computador exposto, entre eles o "Português (Brasil)" .
Além disso, o Brasil se classificou globalmente em terceiro lugar em termos de potencial de infecção por vírus e em
quarta posição para potencias infecções por worms em 2009. Essas posições representam grandes mudanças em
relação aos períodos dos relatórios anteriores, indicando que um volume significativo de atividades de código
malicioso continua a ocorrer no Brasil. No passado, o Brasil também foi uma importante fonte de código malicioso
que, com sucesso, roubou informações bancárias e alguns dos casos mais notórios originados no Brasil continuam
1 Ver http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/the_downadup_codex_ed2.pdf e
http://www.symantec.com/security_response/writeup.jsp?docid=2008-112203-2408-99
2 http://www.symantec.com/connect/sites/default/files/the_downadup_codex_ed1_0.pdf : p. 16
3
ativos . Por exemplo, o cavalo de Tróia Bancos, descoberto no país em 2003, ainda foi uma das 50 principais
4
amostras de código malicioso com potencial de infecção em 2009 .
Uma consequência do crescente nível de atividade de códigos maliciosos que afetam o Brasil é a proposta de um
5
novo projeto de lei para o cibercrime . A iniciativa também pode ser resultado do número de ataques cibernéticos
6
avançados nos últimos anos . Um desses ataques provocou um apagão de energia de grandes proporções,
enquanto outro resultou na exposição de dados valiosos e um pedido de resgate de US$ 350 mil após um site do
governo ter sido invadido. Esse fato também fez com que mais de 3 mil funcionários não pudessem acessar o site
7
durante 24 horas .
O México ficou no segundo lugar do ranking dr atividades maliciosas na América Latina em 2009, com 13% do total
regional. O país ocupou a mesma posição em 2008, quando respondeu por 17% do total. A Argentina ficou em
terceiro lugar na classificação das atividades maliciosas na região em 2009, contabilizando 13% das atividades
gerais. A Argentina também ocupou o terceiro posto em 2008 na região, com 15% do total geral.
Uma das razões para as classificações tão altas desses países também pode ser a difusão do Downadup na
região. Os cinco principais países nessa métrica também ficaram entre os 10 países mais afetados pela
8
propagação global inicial do Downadup e juntos representam 27% do total inicial em todo o mundo .
3 http://www.symantec.com/connect/blogs/brazilian-msn-worm-looks-familiar
4 http://www.symantec.com/security_response/writeup.jsp?docid=2003-071710-2826-99
5 http://www.eff.org/deeplinks/2009/07/lula-and-cybercrime
6 http://www.foreignpolicyjournal.com/2009/11/15/brazils-next-battlefield-cyberspace
7 Todos os valores em dólar americano.
8 https://forums2.symantec.com/t5/Malicious-Code/Downadup-Geo-location-Fingerprinting-and-Piracy/ba-p/380993
Downadup faz o download de código malicioso nos computadores infectados, possivelmente incluindo bots e
provavelmente resultando em volumes elevados de atividades de ataque.
O México foi o terceiro local de onde mais se originaram atividades de ataque com alvo em países da região da
América Latina em 2009, com 5% do total – subindo da 16ª posição e de menos de 1% do total registrados em
2008. O México foi o segundo país da América Latina com mais atividades maliciosas, em geral, nos anos de 2009
e 2008. Isso sugere que a atividade geral não aumentou significativamente, no entanto, pode ser que as atividades
de ataque originadas no México que tinham anteriormente como alvo áreas fora da região – com os Estados
Unidos, sendo o destino mais provável – tenham mudado em 2009 para destinos dentro da América Latina.
Entre os 10 principais países que foram origem de ataques visando a região da América Latina em 2009, seis
estão localizados na própria região. Isso representa um aumento em relação a 2008, quando apenas quatro dos 10
principais países responsáveis pela origem dos ataques estavam localizados na região. As porcentagens regionais
para cada um deles foram significativamente maiores do que as porcentagens globais, indicando que esses países
podem ter como alvo específico a região da América Latina. A Symantec observou que os ataques frequentemente
têm como alvo a região na qual eles originam devido à proximidade, o idioma compartilhado ou interesses sociais e
9
culturais semelhantes .
Computadores infectados por bot por país
Bots são programas que sigilosamente se instalam na máquina de um usuário a fim de permitir que um invasor
ganhe o controle remoto do sistema por meio de um canal de comunicação, como Internet Relay Chat (IRC), Peer-
to-Peer (P2P) ou HTTP. Esses canais permitem que o invasor controle remotamente um grande número de
computadores infectados através de um canal único e confiável na forma de uma botnet, que então pode ser usada
para lançar ataques coordenados. Reconhecendo a constante ameaça oferecida pelas botnets, a Symantec
rastreia a distribuição dos computadores infectados por bot, mundial e regionalmente. A Symantec também avalia
quais países dentro de uma região hospedam a maior porcentagem de computadores infectados por bot.
Em 2009, a região da América Latina contabilizou 14% do total de computadores infectados por bot detectados
globalmente, um aumento em relação aos 13% registrados em 2008. Dentro da região, o Brasil teve a maior
porcentagem de computadores infectados por bot, com 54% do total regional (Tabela 3); esse é um aumento em
relação aos 42% registrados em 2008, quando o Brasil também foi o país com a posição mais alta na região.
Globalmente, em 2009, o Brasil respondeu por 7% do total e ocupou a terceira colocação – um aumento em
relação aos 6% e a quinta posição registrados em 2008. A esmagadora margem pela qual o Brasil foi o país com
mais computadores infectados por bot na região da América Latina em 2009 foi provavelmente devido à
prevalência do worm Downadup. Essa foi a amostra de código malicioso mais comum com potencial de infecção
na América Latina em 2009 e, como citado, o Brasil foi o país mais afetado na região. Um vetor de ataque
significativo do Downadup é o download de um código malicioso adicional nos computadores infectados, com bots
sendo uma das suas possíveis cargas com teor danoso (payload).
9 http://eval.symantec.com/mktginfo/enterprise/white_papers/ent-whitepaper_symantec_internet_security_threat_report_v.pdf : p. 11
Amostras de código malicioso
Em 2009, a amostra de código malicioso mais comum em termos de potencial de infecção na região da América
Latina foi o worm Downadup.B (Tabela 4). Esse worm ocupou a sexta posição global em 2009. Descoberto em
novembro de 2008, o Downadup foi capaz de se espalhar rapidamente devido à sua capacidade de explorar uma
vulnerabilidade zero-day que permitiu a execução remota do código e possibilitou a disseminação em dispositivos
de mídia removíveis. Depois de invadir o computador, o Downadup usa um mecanismo de atualização Web ou
P2P para fazer o download de versões atualizadas de si mesmo ou para instalar outros códigos maliciosos,
incluindo um código para transformar o computador invadido em um bot.
10 http://www.symantec.com/security_response/writeup.jsp?docid=2006-071111-0646-99
11 http://www.symantec.com/security_response/writeup.jsp?docid=2008-042106-1847-99
Países de origem de spam
Essa seção vai discutir os 10 países da América Latina de onde mais se origina spam. É importante notar que,
como os spammers tentam redirecionar a atenção para longe de suas localizações, a região em que o spam foi
identificado originalmente pode não corresponder à região em que os spammers ficam localizados.
Em 2009, 20% de todo o spam detectado mundialmente pela Symantec teve origem na região da América Latina,
um aumento em relação aos 12% registrados em 2008. Dentro da região, o Brasil ocupa o primeiro lugar com 54%
de todas as origens de spam. Globalmente, em 2009, o Brasil ficou na segunda posição, com 11% de todas as
origens de spam no mundo. A elevada taxa de spam originado no Brasil está provavelmente correlacionada com a
elevada porcentagem de spam zumbis localizados no país – pela primeira vez, o Brasil é o principal país em spam
zumbis tanto na região da América Latina quanto, mais significativamente, em todo o mundo no ano de 2009.
AL geral Ranking País Porcentagem
global AL Global
1 2 Brasil 54% 11%
2 10 Colômbia 12% 2%
3 11 Argentina 12% 2%
4 19 Chile 7% 1%
5 26 México 4% 1%
6 32 Peru 3% 1%
7 42 República Dominicana 2% <1%
8 46 Venezuela 1% <1%
9 54 Uruguai 1% <1%
10 60 Guatemala 1% <1%
Tabela 4. Principais países de origem de spam, América Latina
Fonte. Symantec Corporation
A Colômbia foi o segundo país de onde mais se originou spam na região da América Latina em 2009, com 12% do
total. O país ocupou a 10ª colocação globalmente em 2009, contabilizando 2% do total mundial. Em 2008, a
Colômbia estava em terceiro na região, também com 12% do total. Apesar de a Colômbia ter sido apenas a quinta
colocada em termos de porcentagem de atividades maliciosas na região da América Latina em 2008, teve a
terceira maior percentagem de spam zumbis, o que contribui para o alto volume de atividade de spam com origem
lá.
A Argentina foi o terceiro país de onde mais se originou spam na região da América Latina em 2009, com 12% do
total (a diferença na classificação se deve ao arredondamento dos números). O país ocupou a 11ª colocação
globalmente em 2009, contabilizando 2% do total mundial. Em 2008, a Argentina estava em segundo na região,
com 15% do total. Assim como o Brasil e a Colômbia, a Argentina teve um alto volume de spam zumbis, com o
segundo maior volume na região em 2009.
Sobre a Symantec
A Symantec é líder mundial no fornecimento de soluções de segurança, armazenamento e gerenciamento de
sistemas que ajudam consumidores e organizações a proteger e administrar suas informações. Nossos serviços e
software protegem contra mais riscos em mais pontos, de forma mais completa e eficiente, assegurando proteção
em qualquer local onde a informação é usada ou armazenada.
Copyright © 2010 Symantec Corporation. Todos os direitos reservados. Symantec e o logo da Symantec Logo são marcas registradas da
Symantec Corporation ou de suas afiliadas nos Estados Unidos e em outros países. Outros nomes podem ser marcas registradas de seus
respectivos proprietários.
04/10 20959306