Publicado em: 10/07/2018 18h12 – Atualizado em: 16/07/2018 13h06

Área responsável: Comissão Local de Resposta a Incidentes - CLRI-TRF3 – CLRI@trf3.jus.br

Ferramentas

Apresentação

Nesta página, daremos algumas ferramentas que podem ser úteis para você. Elas permitem, por exemplo, identificar quando um determinado correio eletrônico é uma fraude; se algum sítio da Internet já foi reportado como malicioso; alguns analisadores automáticos de arquivos suspeitos; e como identificar farsas e boatos de Internet ("hoaxes").

Veja, nos parágrafos a seguir, uma descrição sucinta dessas ferramentas.

Se tiver alguma dúvida a respeito, basta acionar a CLRI pelos canais de comunicação informados na página Fale Conosco.

Analisadores de Arquivos Suspeitos (Sandboxes)

Essas ferramentas, disponíveis na Internet, permitem que o utilizador submeta um arquivo considerado suspeito para análise e informam se ele tem caráter malicioso.

A profundidade desses analisadores varia: alguns simplesmente reportam se há algum vírus no arquivo, usando para isso diversos antivírus padrão de mercado; outros partem do pressuposto de que o objeto enviado para análise é um arquivo executável (isto é, um "programa"), e tentam monitorar o seu comportamento quando executado. Nesta página, os primeiros estão na categoria de Analisadores de Vírus, e os outros, na de "Sandboxes" Comportamentais.

Alguns deles também têm a opção de análise de endereços de Internet suspeitos (URLs). Eles simulam um navegador de internet, acessam o endereço fornecido e verificam se há atividade maliciosa.

É importante ressaltar que não existe ferramenta desenvolvida no Brasil, e portanto os resultados são, na maioria dos casos, fornecidos em inglês.

  • Analisadores de Vírus

Virustotal

Aceita arquivos para análise, de até 128MB de tamanho, e os verifica para a presença de vírus e outros artefatos maliciosos.

A análise é feita através da submissão dos arquivos a diversos antivírus padrão de mercado, nas suas versões mais recentes.

Também permite detectar, dado um endereço da Internet, se este aponta para algum arquivo suspeito e em caso positivo o analisa, como explicado acima.

Kaspersky VirusDesk

Assemelhado ao VirusTotal. O arquivo, porém, deve estar limitado a 50MB de tamanho.

A análise é feita apenas pelo antivírus da Kaspersky.

  • "Sandboxes" Comportamentais

Hybrid Analysis

Esta é uma das "sandboxes" mais completas disponíveis, pois identifica, detalhadamente, todas as ações executadas por um artefato malicioso em uma estação de trabalho.

Suas informações têm um caráter bastante técnico; porém, a "sandbox" pode ser útil para permitir a detecção da natureza maliciosa, ou não, de um artefato.

O arquivo deve ter um tamanho máximo de 100MB.

Os resultados são fornecidos em inglês.

Veja, a título de exemplo, uma amostra, em que foi feita a análise de um arquivo infectado com um "ransomware" chamado Bad Rabbit.

ThreatExpert

Assemelhada à anterior, e também muito informativa.

Sua única limitação é o tamanho máximo do arquivo para análise, de apenas 5MB.

Um exemplo de relatório da ThreatExpert.

Identificação de Fraudes de Phishing

Se você estiver com dificuldade para identificar se determinada mensagem é uma fraude (como nos casos de "phishing"), o Catálogo de Fraudes do CAIS pode ajudar.

Catálogo de Fraudes do CAIS.

Criado pelo Centro de Atendimento a Incidentes de Segurança (CAIS) da Rede Nacional de Ensino e Pesquisa (RNP), o Catálogo de Fraudes registra desde 2008 as mensagens maliciosas identificadas.

Sua fonte de informação são os usuários das instituições de ensino superior, públicas e privadas, que notificam ao CAIS as fraudes recebidas por "e-mail".

Não possui, infelizmente, um mecanismo de busca, o que impede procura por palavras-chave. Ainda assim é um instrumento valioso, por sua atualização diária.

Identificação de "Sites" Suspeitos de Conter Artefatos Maliciosos

Caso você desconfie de uma página da Internet, pode conferir se é maliciosa através de algumas ferramentas existentes no Brasil e no Exterior.

  • Catálogo de URLs Maliciosas do CERT.Bahia - CaUMa

O Catálogo de URLs Maliciosas (CaUMa) é um serviço gratuito e público criado pelo CERT.Bahia, uma das unidades estaduais da Rede Nacional de Pesquisa - RNP, que disponibiliza um meio de consulta a URLs maliciosas identificadas na Internet.

O propósito desse serviço é ajudar a comunidade a se proteger das diversas fraudes que estão circulando no mundo digital.

Seu uso é bastante simples: "cole" a URL suspeita no formulário; confirme que você não é um robô; e em instantes saberá do resultado.

  • Google Safebrowsing

O serviço Google Safebrowsing, mantido pela gigante das buscas, é um serviço que também permite pesquisar se determinado endereço de Internet é suspeito.

Na própria página, encontramos a seguinte explicação.

"A tecnologia de Navegação segura do Google analisa bilhões de URLs por dia em busca de websites não seguros. Todos os dias, descobrimos milhares de novos sites com problemas de segurança. Muitos deles são websites legítimos que foram comprometidos. Ao detectar sites não seguros, exibimos avisos na Pesquisa Google e nos navegadores da Web. Além disso, você pode pesquisar para ver se é perigoso visitar um determinado website no momento."

Uma característica a ser notada é que o Google Safebrowsing cobre todo o planeta, ao contrário do CaUMa que é voltado para endereços detectados por usuários e CSIRTs brasileiros.

  • TrendMicro Site Safety Center [em inglês]

A empresa de segurança de TIC TrendMicro mantém uma ferramenta de análise de segurança de sítios Internet denominada Site Safety Center.

Está em inglês, mas é de utilização simples e eficaz: basta digitar, no campo "Is it safe?" o endereço da página a ser verificada.

Após a análise, será apresentada uma de quatro possíveis classificações: Safe (seguro); Dangerous (perigoso, comprovada a presença de artefato malicioso); Suspicious (suspeito, já esteve em mensagem de "spam" ou "phishing", ou já foi anteriormente comprometido); ou Untested (não testado, a URL informada será usada para futuros testes e para estabelecer a reputação do sítio).

 

 

 

Identificação de Farsas e de Lendas Virtuais

A Internet é uma fonte valiosa de informação. Nela podemos encontrar de enciclopédias a cursos "on-line" e jornais. Porém, ao mesmo tempo, muitas pessoas de intenções duvidosas podem beneficiar-se da tecnologia para propagar informações incorretas, falsas ou até maliciosas.

Um exemplo disso é a difusão de fraudes e de lendas virtuais, também conhecidas por "hoaxes".

Algumas delas, de tão repetidas, já se tornaram bem conhecidas (por exemplo, os famosos "scams nigerianos", em que um suposto herdeiro de uma vultosa quantia pede ajuda ao receptor da mensagem para resgatar o dinheiro). Mas a imaginação humana, como fonte, é inesgotável e a todo momento nos deparamos com novas mentiras.

A seguir, alguns sítios Internet que podem ajudar a desmistificar essas fraudes e lendas.

  • E-Farsas

Criado em 2002, o E-Farsas nasceu "com a intenção de usar a própria internet para desmistificar as histórias que nela circulam".

Apresenta uma lista de mais de cinquenta categorias de farsas, fraudes e mitos virtuais.

Um exemplo recente, para que se tenha uma ideia, é o caso do viaduto em curva.

  • Boatos.ORG

Do editor do sítio Boatos.ORG, Edgard Matsuki, esta singela exposição:

"Este espaço foi criado justamente para compilar algumas destas mentiras que são contadas online. A intenção com o boatos.org é justamente prestar um serviço para o usuário da internet."

Um dos méritos do Boatos.ORG é a sua atualização constante, a ponto de relatar "hoaxes" muito novos, como este a respeito da intervenção na segurança pública do Rio de Janeiro.

  • É ou Não É? - Portal Globo

Recentemente, o Portal Globo publicou sua nova página É ou Não É? - uma publicação especializada em boatos que circulam na Internet e nas mídias sociais.

É nova e ainda não possui um mecanismo de busca dedicado, mas tem o mérito da atualização regular e do conteúdo exposto de maneira didática.