BOTNETS E WORM W32.CONFICKER
O intuito desse artigo é demonstra de maneira bem clara as principais características de umas das principais "pragas" que atualmente andam assombrando a rede de computadores na Internet. A primeira delas são os Botnets e em seguida será explicitado o worm conficker e sua possível relação com os botnets. Como também, atentar a todos alguns métodos de segurança que podem proteger melhor as informações de sua empresa ou mesmo as informações de sua casa ? usuários domésticos.
Palavras-chave: botnets, worm, win32.conficker, vírus, rede, internet, vírus, códigos maliciosos, infecção.
SUMÁRIO
1 INTRODUÇÃO ...................................................................................................
01
2 BOTNETS...........................................................................................................
02
3 WORM WIN32.CONFICKER .................................... 04
4 RELAÇÃO ENTRE BOTNETS E WORM WIN32.CONFICKER........................ 05
5 CONSIDERAÇÕES FINAIS...............................................................................
06
6 REFERÊNCIAS..................................................................................................
07
1 INTRODUÇÃO
O novo cenário do modo de usar a internet ? redes de computadores ? no mundo através das redes sócias e uma variedade de novos recursos de colaboração (blog, bate-papo instantâneo, RSS, etc) que surgir a todo momento fez e faz com que as distâncias geográficas fiquem cada vez mais curtas e inova, ao mesmo tempo, na maneira de os usuário se comunicarem.
Em suma, cada vez mais, mais "gente" se conecta a internet e passa a fazer parte desse mundo interativo. Grande parte dessas pessoas tem o conhecimento básico do uso da tecnologia das informações na internet e não tem em sua grande maioria noção dos riscos a que tanto estão sujeitas a partir do momento que passa a fazer parte desse globo.
Quando se falo em risco vem a tona, sem muita cerimônia, o termo segurança. Tal termo, cada vez mais torna-se uma preocupação constante de empresas que mantém grandes massas de ativos de informações. As corporações a fim de manter suas informações seguras precisa o tempo todo atualizar seus ativos contra as inúmeras ameaças jogadas na rede ? internet. Para piorar a situação as empresas também voltou-se para uma ameaça não externa a organização, mas uma ameaça interna ? colaboradores. O resultado de tal nocividades é sem dúvida o aumento de riscos devido a propagação a todo ínterim de novas ameaças.
As ameaças supracitadas são ameaças de todos os tipos, cores, idiomas que se possa imaginar. São vírus, worms, bots, cavalos de tróia, keyloggers, spyware, rootkits; como podemos notas ameaças a segurança das empresas e dos usuários domésticos são, pode-se dizer, infinitas. E quando as ameaças conseguem aproveitar as vulnerabilidades e conseguem atuar o fim do jogo é noticias de contas de usuário de banco roubadas, roubo de informações preciosas de empresas, etc.
Para não perde o fôlego tem ameaças, que além de infectar as máquinas na rede faz com que a máquina infectadas se transforme também em uma máquina geradoras de códigos maliciosos.
Umas dessas ameaças são os botnets, como veremos mais detalhadamente nas próximas seções, que faz da máquina contaminada um "zumbi".
2 BOTNETS
A priori, de acordo com o Comitê Gestor da Internet no Brasil os Botnets classifica-se como um malware, que por sua vez entende-se como malware qualquer programa que foi desenvolvido com o intuito de executar ações danosas em hosts (computador, celular, smartphone, etc.).
E quando falamos em malware, estamos nos referindo à maioria de todas as pragas já conhecidas na internet: vírus, cavalos de tróia, adware, spyware, backdoors, keyloggers, worms, rootkits, bots e finalmente os botnets.
Um desses códigos maliciosos, o worm é um programa capaz de se propagar pela rede, enviando cópias de si mesmo de computador para computador. Diferentemente do vírus os worms não embuti cópias de si mesmos nos arquivos da máquina e sua propagação se dá através da exploração de vulnerabilidades existentes.
O bot, que deu origem ao termo botnets, é um programa similar aos worms. A diferença consiste que, além de degradar o sistema, ou causar danos igualitários aos vírus, o bot dispõe de mecanismo de comunicação com o invasor, permitindo que o bot seja controlado remotamente.
Quando um invasor passa a se comunicar com um bot pode enviar instruções para furtar dados do computador onde esta sendo executado, enviar spam, etc.
Já os botnets são redes formadas por computadores infectados com os bots. E essas redes pode conter milhares de computadores distribuídos pela internet. Qualquer máquina que esteja infectada pelo botnets pode contaminar outras máquinas na rede.
Em uma empresa, por exemplo, se uma máquina de um usuário for contaminada o invasor, remotamente, pode enviar comandos para realizar ataques de negação de serviço, como também, replicar a praga por toda a rede da corporação.
Como dito, os botnets pode atingir o servidor de uma corporação e realizar um ataque de negação de serviço. Um desses ataques poderia para um serviço importante, tipo o RPC de um servidor com Windows Server 2003, que em conseqüência resulta na para de solicitação do servidor para os clientes.
Diante dessa praga devem-se tomar muitas medidas de segurança a fim de proteger e proteger bem os ativos da empresa.
Recentemente, no final do ano de 2008, uma consultoria especializada em segurança Secure Work realizou uma investigação nos Estados Unidos sobre crimes virtuais e detectou que duas companhias ? empresas ? eram detentoras de duas das grandes redes de botnets encontradas na internet. Essas companhias foram desmanteladas da internet por fazer esses alojamentos e também por dar abrigo a atividades criminais no globo.
No entanto, de acordo com a Secure Work já foi encontradas indícios de outras supostas companhias que abriga tais atividades e que encontra-se em investigações.
3 WORM WIN32.CONFICKER
Como de batismo do próprio nome já referencia o win32.conficker como um worm e como uma de suas principais características é se replicar, fazendo cópias de si mesmo pela rede, e é bom lembrar que para o mesmo se expandir não precisa de nenhuma ação por parte dos usuários. Esse worm se espalha pela rede até mesmo por pendrives conectados as portas USB.
O funcionamento do ataque do Win32.conficker e suas variantes se dá das seguintes formas. Após se alojar em uma máquina, por exemplo, de um domínio o worm cria uma lista de domínio a ser atacado a partir do ip do domínio onde se encontra atualmente alojado, ou seja, ao se alojar em domínio com ip 10.0.2.1 o worm percorrer a rede até o ip 10.0.0.2.255.
Cada máquina na rede passa a ser um "zombi", pois além de estar infectadas passa a ser mais uma replicadoras do worm pela rede. Com isso, a velocidade de ataque passa a ser mais rápido e mais difícil de se interromper.
Os principais sintomas de uma máquina infectadas com esse worm é: desativa a atualização automática da Microsoft, bloqueia o site do antivírus, faz com que ocorra falhas de seguranças nos softwares instaladas nas máquinas.
Recentemente, a Microsoft disponibilizou - 23 de outubro de 2008 -um boletim de correção para uma vulnerabilidade encontrada no Windows Server. Essa vulnerabilidade era usada pelo o Win32.conficker para se expandir pela rede.
4 RELAÇÃO ENTRE BOTNEST E WIN32.CONFICKER
Os botnets como dito faz com que as máquinas infectadas também passe a ser uma novo servidor da praga pela rede. O computador torna-se um "zumbi": o sistema da máquina são degradados em termo de desempenho, podendo haver serviço de ataque de negação de serviço, entre outros.
Em similaridade o conficker tem características parecidas, senão iguais aos botnets. Uma delas é de tornar a vítima uma máquina "zumbi". Em suma um worm que faz cópia de si mesmo pela rede.
Por outro lado, umas da principais diferenças do conficker com relação ao botnets é que o invasor naquele não usa do acesso remoto para enviar instruções para a máquina da vítima, lógico que o invasor pode fazer isso por meio de outras pragas, como no caso mesmo do uso de botnets
No entanto, uma das grandes preocupações dos especialistas de seguranças da informação é que o conficker estaria se conectando à botnet para se expandir pela rede. A combinação dos dois, junto com outros artifícios de ataque, como engenharia social, promoveram no final do ano de 2008 umas das maiores dores de cabeças com malwares já noticiadas .
5 CONSIDERAÇÕES FINAIS
De acordo como o que foi expostos a cercas desses dois worm fica fácil perceber que uns dos seus principais objetivos de invasão estar relacionado aos princípios da segurança da informação.
De inicio ferem o principio da disponibilidade dos ativos por meio da degradação de serviços; por ataques de negação de serviços, sejam elas distribuídos ou não.
Em relação a confidencialidade, há acesso não autorizados a aplicações, pois no caso do conficker faz com que ocorra falhas na execução de programas. Em conseqüência a integridade, último principio, é afetada a partir do bloqueio de programas, por meio da desativação de contas de usuário, o que em muitos casos obriga a criação de uma nova conta.
Assim, percebe-se que as empresas devem a todo o custo manter os seus ativos atualizados (softwares, documentos, procedimentos, políticas de segurança), principalmente as pessoas que faz o uso da rede, estejam elas em empresas ? colocando em risco informações coorporativas -, ou estando em casa ? pondo em risco a possibilidades de fraudes.
A fim de se proteger não somente dos botnes, mas de qualquer praga exposta na internet, em caso de empresa, uma boa política de segurança de informação pode ajudar muito, principalmente se estiver de acordo com as normas internacionais de segurança da informação .
No caso de usuários domésticos, atualizar sempre seu anti-vírus, ter cuidados de uso do pendrive e também ficar atento as mensagens "esquisitas" que chegam a sua caixa de e-mail. Não dá pra acredita que um usuário vai abrir um e-mail informando que ele foi escolhido para participar do Big Brother Brasil, se nem o mesmo ter feito nenhuma inscrição ? é praga na certa.
REFERÊNCIAS
PCMAGAZINE, Downadup / conficker estaria se conetcando à botnet 2009. Disponível em: http://pcmag.uol.com.br/firewall/?p=122. Acessado em: 26 de fevereiro de 2009.
SECUREWORK, Top dos Botnets expostos na rede 2008. Disponível em: http://www.secureworks.com/research/threats/topbotnets/. Acessado em: 27 de fevereiro de 2009.
SYMANTEC, Botnets ? Proteção 2009. Disponível em: http://www.symantec.com/security_response/writeup.jsp?docid=2008-112203-2408-99&tabid=2. Acessado em: 27 de fevereiro de 2009.
CGI.BR, Cartilha de Segurança para a Internet 2009. Disponível em: http://www.cgi.br . Acessado em: 26 de Fevereiro de 2009.
TECHNET, Entendendo e Implementando a Norma ABNT NBR ISO/IEC 17799: 2005. Disponível em: http://technet.microsoft.com/pt-br/default.aspx . Acessado em 26 de Fevereiro de 2009.
Autor: Reginaldo Reis De Santana
Artigos Relacionados
InclusÃo Digital
O Problema Da Segurança Na Internet E Redes De Computadores
Conficker Ganha Força Em Primeiro De Abril
Explorando Vulnerabilidades - Violando A Segurança
Leis Sobre Segurança Da Informação ? O Brasil Comparado Ao Resto Do Mundo
Softwares Para Backup Garantem Segurança E Agilidade
Segurança Em Operações Bancárias Via Internet