UOL Notícias Internacional
 

23/01/2009

Especialistas rastreiam um novo invasor silencioso de computadores

The New York Times
John Markoff
Uma nova praga digital atingiu a Internet, infectando milhões de computadores pessoais e de empresas, naquele que parece ser o primeiro passo de um ataque que consiste de vários estágios. Os principais especialistas mundiais em segurança de computadores não sabem ainda quem programou a infecção, ou qual será o próximo estágio.

Nas últimas semanas, um worm (um software malicioso) assolou redes de computadores corporativas, educacionais e públicas por todo o mundo. Conhecido como Conficker ou Downadup, ele dissemina-se através de uma recentemente descoberta vulnerabilidade do Microsoft Windows, ao adivinhar senhas de rede e ainda através de acessórios portáteis como chaves USB.

Os especialistas afirmam que esta é a pior infecção desde que o worm Slammer explodiu na Internet em janeiro de 2003. O novo worm pode ter infectado até nove milhões de computadores em todo o mundo.

Worms como o Conficker não só ricocheteiam pela Internet à velocidade da luz, mas também organizam os computadores infectados em sistemas unificados chamados botnets, que podem, a seguir, aceitar as instruções e programações dos seus proprietários clandestinos. "Quem estiver procurando um Pearl Harbor digital, saiba que neste momento os navios japoneses surgiram no horizonte e estão vindo na nossa direção", diz Rick Wesson, diretor-executivo da Support Intelligence, uma firma de consultoria especializada em segurança de computadores, com sede em São Francisco.

Muitos usuários de computadores podem não perceber que as suas máquinas foram infectadas e os pesquisadores de segurança de computadores afirmam que estão esperando que as instruções se materializem, para determinar que impacto o botnet terá sobre os usuários de PCs.

Ele poderia operar nos bastidores, utilizando o computador infectado para enviar spam ou infectar outros computadores, ou quem sabe roubar informações pessoais dos PCs.

"Eu não sei por que as pessoas não estão mais amedrontadas em relação a esses programas", diz Merrick L. Furst, cientista de computação da Universidade Georgia Tech. "Isso é como ter um espião na sua organização capaz de fazer coisas como enviar qualquer informação que encontrar nas máquinas que infecta".

Em outubro do ano passado a Microsoft criou às pressas um programa de emergência para defender os sistemas operacionais Windows dessa vulnerabilidade, mas o worm continuou a se disseminar em ritmo constante, mesmo quando o nível de alerta cresceu nas últimas semanas.

No início desta semana, pesquisadores de segurança da Qualys, uma firma de segurança que fica no Vale do Silício, estimava que cerca de 30% dos computadores que funcionam com sistema operacional Windows e que estão conectados à Internet continuavam vulneráveis à infecção por não terem sido atualizados com o patch, ou programa de defesa, da Microsoft, apesar de este programa ter sido disponibilizado em outubro. O cálculo da firma baseia-se em uma pesquisa de nove milhões de endereços da Internet.

Os especialistas em segurança dizem que o sucesso do Conficker deve-se em parte a um relaxamento quanto às práticas de segurança por parte tanto das companhias quanto dos indivíduos, que com frequência não instalam imediatamente as atualizações.

Um executivo da Microsoft defendeu o serviço de atualização de segurança da companhia, afirmando que não existe nenhuma solução única para o problema dos malwares. "Eu acredito que a estratégia de atualização está funcionando", diz George Stathakopoulos, gerente-geral do Grupo de Engenharia de Segurança e Comunicações da Microsoft. Mas ele acrescenta que as organizações precisam concentrar-se em tudo o que puder ser feito, desde atualizações periódicas a segurança de senhas. "Tudo isso diz respeito à prática profunda de defesa", diz ele.

Alfred Huger, vice-presidente de desenvolvimento da divisão de respostas de segurança da Symantec, diz: "Este é um worm realmente bem escrito". Huger diz que as companhias de segurança ainda estão correndo para tentar desvendar todos os segredos da nova praga. Descobrir o programa tem sido especialmente difícil porque ele vem com mecanismos criptografados que ocultam os seus mecanismos internos daqueles que procuram neutralizá-lo.

A maioria das firmas de segurança atualizou os seus programas para detectar e erradicar o software e várias companhias oferecem programas especializados para detectá-lo e removê-lo.

O programa utiliza uma técnica elaborada do tipo shell-game para permitir que alguém o controle à distância. A cada dia ele gera uma nova lista de 250 nomes de domínios. Instruções de qualquer um desses nomes de domínios serão obedecidas. Para controlar o botnet, um atacante precisaria apenas registrar um único domínio a fim de enviar instruções ao botnet em âmbito global, complicando bastante a tarefa das forças policiais e das companhias de segurança que estão tentando intervir e bloquear a ativação do botnet.

Muitos especialistas em segurança de computadores esperam que daqui a alguns dias ou semanas os indivíduos que controlam os programas enviem comandos para obrigar o botnet a realizar algumas das atividades ilegais, que ainda são desconhecidas.

Várias firmas de segurança de computadores dizem que, embora o Conficker pareça ter sido escrito a partir da estaca zero, ele possui alguns paralelos com softwares anteriores de uma quadrilha criminosa de europeus orientais que enviam programas conhecidos como "scareware" a computadores pessoais. Esses programas pareciam alertar os usuários para a existência de uma infecção e pediam números de cartões de crédito para o pagamento de um falso software anti-vírus que, na verdade, infectava ainda mais o computador.

Uma pista intrigante deixada pelos autores do malware foi o fato de a primeira versão do programa verificar se o computador infectado possuía uma configuração de teclado ucraniana. Segundo Phil Porras, investigador de segurança da SRI International, que dissecou o programa para ver como ele funciona, quando o worm encontrava um teclado com tal configuração, a máquina não era infectada.

O worm fez com que se reacendesse o debate no seio da comunidade de segurança de computadores a respeito da possibilidade de erradicar o programa antes que ele seja usado, com o envio de instruções ao botnet que fornecessem aos usuários um alerta de que as suas máquinas foram infectadas.

"Sim, estamos trabalhando com essa técnica, e com várias outras", diz um pesquisador do botnet, que não quis identificar-se publicamente devido ao seu plano. "Sim, ele é ilegal. Mas no passado também era ilegal que Rosa Parks sentasse-se na parte da frente do ônibus".

Esta ideia de paralisar o programa antes que ele tenha a capacidade de provocar danos foi criticada por diversos membros da comunidade de segurança de computadores. "É uma ideia muito ruim", afirma Michael Argast, analista de segurança da Sophos, uma firma de segurança de computadores. "A ética quanto a isto não mudou em 20 anos, porque a realidade é que, ao resolver os problemas desta forma, um indivíduo pode criar tantos problemas quanto resolveu".

Tradução: UOL

Siga UOL Notícias

Tempo

No Brasil
No exterior

Trânsito

Cotações

  • Dólar comercial

    16h59

    -0,54
    3,265
    Outras moedas
  • Bovespa

    17h20

    1,36
    64.085,41
    Outras bolsas
  • Hospedagem: UOL Host