Pesquisadores do C3SL têm artigo aprovado em simpósio internacional do IEEE

11 mai 2026 por Alexsandro Ribeiro

Pesquisa identifica novo tipo de ataque que manipula sistemas de reputação em soluções de segurança levando a bloqueio de acesso de usuários legítimos a serviços digitais

Pesquisadores do Centro de Computação Científica e Software Livre (C3SL) e do laboratório Security & Reverse Engineering Team (Secret), ligados ao Departamento de Informática da UFPR (Dinf), tiveram artigo aprovado para publicação internacional no 31st IEEE Symposium on Computers and Communications (ISCC 2026). O trabalho, intitulado “The ‘Sheep in Wolf’s Clothing’ Attack: Denial-of-Service via Reputation Poisoning”, é assinado pelos pesquisadores do C3SL, Anderson Frasão e Vinicius Fulber-Garcia, em coautoria com os pesquisadores Raphael Kaviak Machnicki e Tiago Heinrich. A pesquisa será apresentada por Anderson Frasão no evento, que ocorre entre os dias 23 e 26 de junho, em Portugal.

O artigo apresenta um novo tipo de ataque contra sistemas de segurança baseados em reputação, chamado Sheep in Wolf’s Clothing (SWC), ou “ovelha em pele de lobo”. Isso mesmo, o nome subverte a expressão “Lobo em pele de Cordeiro”. A ideia central do ataque é explorar uma fragilidade de sistemas que avaliam a confiabilidade de usuários, dispositivos ou serviços a partir de seu histórico de comportamento. Em vez de tentar esconder sua ação, o atacante se passa por uma vítima legítima e executa ações maliciosas detectáveis. Com isso, o sistema de segurança interpreta que a vítima é a responsável pelo comportamento suspeito e passa a reduzir sua reputação, podendo chegar ao bloqueio do acesso ao serviço.

Na prática, o estudo mostra que uma solução de segurança pode identificar corretamente uma atividade maliciosa, mas punir a entidade errada. O resultado é uma forma indireta de negação de serviço: o sistema protegido continua funcionando, mas um usuário legítimo pode ser impedido de acessá-lo porque sua reputação foi artificialmente degradada por um terceiro.

Para validar o ataque, os autores realizaram um estudo de caso com o Suricata IPS, um sistema de prevenção de intrusões amplamente utilizado, protegendo um servidor NGINX. No experimento, o atacante conhece o endereço IP da vítima e envia tráfego forjado, simulando ataques como command-and-control e SYN flood. Como o sistema associa os alertas ao IP da vítima, a reputação desse usuário legítimo é reduzida progressivamente. Ao final do teste, a vítima deixa de receber resposta do servidor, caracterizando a negação de serviço.

Para Anderson Frasão, a vulnerabilidade identificada indica a necessidade de maior atenção na definição de regras em sistemas de detecção e prevenção de intrusões. “Considerando essa vulnerabilidade encontrada, é necessária maior conscientização por parte dos gerentes quando são definidas regras desses sistemas. Além disso, é necessário desenvolver medidas para mitigar esse problema nos próprios IDSs, diminuindo a superfície de ataque disponível para atacantes”, afirma.

A pesquisa também chama atenção para um desafio mais amplo da segurança digital: a automação crescente dos processos de defesa. À medida que sistemas de detecção e prevenção passam a tomar decisões com menor intervenção humana, aumenta a necessidade de mecanismos capazes de interpretar contextos e evitar punições indevidas.

Segundo Anderson, esse é um dos motivos que tornam a apresentação da pesquisa em um evento internacional especialmente relevante. “Considerando o envolvimento cada vez menor de humanos nos processos, é necessário que os sistemas estejam cada vez mais inteligentes, para não ocorrerem erros na detecção de atividades maliciosas. Sistemas de Detecção de Intrusão são utilizados no mundo todo. Então, no momento em que uma vulnerabilidade dessa é encontrada, é necessário que os desenvolvedores de todos os IDSs e IPSs analisem a possibilidade de seus sistemas estarem vulneráveis”, reforça o pesquisador do C3SL.

Entre as principais contribuições do artigo estão a proposição de um novo modelo de ataque, a demonstração experimental da vulnerabilidade em uma solução real de segurança e a abertura de uma agenda de pesquisa voltada à mitigação do problema. Os autores apontam como caminhos futuros o uso de mecanismos mais robustos para diferenciar fontes legítimas de tráfego forjado, como assinaturas digitais e análises contextuais de dispositivos.