Eu não sou dado a paranóias (se bem que não conheço paranóico que admita sê-lo). Mas estou preocupado com a súbita eclosão do verme SoBig. Falou-se muito sobre ele, saíram notas até nas páginas do caderno de economia, todo o mundo comentou. Mas tudo isso foi feito como se fosse um episódio comum. E, podem crer, aquilo não teve nada de comum.
A começar pelo modo como o verme foi plantado. Segundo artigo de Martin Williams em <www.pcworld.com/news/article/0,aid,112139,tk,dn082503X,00.asp>, na tarde de segunda-feira, 18 de agosto, um indivíduo usou um número de cartão de crédito roubado para abrir uma conta em um provedor de Phoenix, Arizona, EUA através de uma máquina situada na província canadense de Columbia Britânica da qual assumiu o controle através de um Cavalo de Tróia nela previamente plantado para impossibilitar a identificação da origem real. A conta foi usada apenas uma vez, minutos depois de aberta, para postar uma única mensagem contendo um anexo com uma foto pornográfica em seis grupos de discussão da Usenet. Abrir o anexo instalava o Sobig. Com essa simples ação alguém conseguiu provocar a mais rápida disseminação de um verme jamais vista na Internet, contaminando quase um milhão de máquinas e gerando uma enxurrada de mais de cem milhões de mensagens portadoras do verme. Isso não é coisa de amador.
Depois, tem o verme propriamente dito. O Sobig não é novo. Segundo a “security response” da Symantec, ele foi descoberto em nove de janeiro passado. Em junho, seu grau de periculosidade foi rebaixado para a categoria 2 devido à redução da taxa de propagação. Originalmente ele pouco fazia alem de propagar-se, mas o fazia de forma extremamente inteligente e rápida. Fora isso, sua única ação era transportar um código que permanecia em execução em segundo plano na máquina contaminada. Em geral tratava-se de um “cavalo de Tróia”, para controlar a máquina à distância à revelia do usuário, acompanhado de um “key logger”, para registrar as ações do usuário e periodicamente enviar esse registro a quem “plantou” o programa. De janeiro até agora já surgiram diversas variantes, diferindo pouco uma da outra. A da semana retrasada foi a variante Sobig.F. Mas essa foi muito peculiar.
O Sobig.F não porta nem cavalo de Tróia nem “key logger”. Em vez disso, traz um programeto que roda em segundo plano e, de tempos em tempos, verifica data e hora. Não confia no relógio interno do micro infectado: consulta um dos muitos servidores ligados à Internet que fornecem data e hora baseada em relógios atômicos. Se constatar que está entre as 19:00hs e 22:00hs GWT (quatro e sete da tarde, horário de Brasília) de uma sexta-feira ou domingo, tenta estabelecer contato com um dentre vinte servidores de uma lista criptografada com o objetivo de receber um endereço Internet de onde deverá baixar e executar um determinado arquivo. Se não conseguir estabelecer contato com nenhum desses servidores até dez de setembro próximo, desativar-se-á por seus próprios meios. Não afeta de nenhum outro modo a máquina infectada. Esse não é um procedimento usual.
Quando o Sobig.F começou a se disseminar, chamou a atenção pela rapidez com que o fazia. Alertadas, as autoridades de segurança, incluindo o CERT (um centro internacional de segurança da Internet) e o FBI, descobriram que os vinte servidores com os quais o contato deveria ser estabelecido pertenciam a pessoas inocentes (a maior parte deles eram máquinas domésticas permanentemente conectadas à rede através de serviços de Internet rápida tipo DSL) nas quais havia sido previamente “plantado” um cavalo de Tróia. Estavam espalhadas pelos EUA, Canadá e Coréia, ligadas a diferentes provedores e foram escolhidas, ao que tudo indica, visando dificultar sua localização e desativação antes do horário programado para o primeiro contato, 16hs de sexta-feira, 22 de agosto, apenas quatro dias depois que o vírus foi “plantado”. Na verdade, o último servidor a ser desativado o foi poucos minutos antes do horário aprazado (diga-se de passagem que conseguir aquilatar o vulto da ameaça e inativá-la em um período tão curto foi uma prova de extrema competência das partes envolvidas).
Investigações posteriores mostraram que o endereço Internet plantado nos vinte servidores para ser fornecido às máquinas que estabelecessem contato não levava a lugar algum (veja artigo de Joyce e Gaudin em <www.internetnews.com/infra/article.php/3067671>). A preocupação em manter a hora da conexão sincronizada pela Internet indica que muito provavelmente poucos minutos antes do horário aprazado para o primeiro contato o responsável pelo vírus assumiria o controle dos servidores e substituiria o endereço falso pelo verdadeiro, onde estaria o arquivo a ser baixado e executado pelas máquinas infectadas, não dando tempo para qualquer reação por parte das autoridades de segurança. Esse procedimento ardiloso, definitivamente, não tem nada de corriqueiro. E não é coisa de amador.
Como os servidores foram desativados a tempo e nenhum contato foi estabelecido, não se sabe (pelo menos oficialmente) o endereço Internet de onde o tal arquivo deveria ser baixado e muito menos que ação ele deflagraria. O que deixa o terreno inteiramente livre para toda especulação.
Mas levando-se em conta a forma astuciosa e altamente profissional como a coisa foi arquitetada, os cuidados tomados para ocultar a face dos responsáveis, a imensa rapidez com que o vírus se propagou e as características absolutamente inusitadas de sua ação, inclusive a data escolhida para a desativação (véspera do aniversário da catástrofe de onze de setembro), qualquer conjectura é válida.
Como eu disse, não costumo ser paranóico, mas confesso que estou um tanto assustado. Especialmente depois de ler o artigo de Peter Sayer em <www.pcworld.com/news/article/0,aid,112188,00.asp> onde ele afirma que na terça-feira da semana passada foram detectados exemplares do Sobig com uma nova lista criptografada de URLs de servidores (já desativados), desta vez sete máquinas operadas pela Time Warner, que obviamente não tem nada a ver com isso.
Quer dizer: o vírus continua ativo e tentando fazer seja lá o que a imaginação da mente malsã que o concebeu pretende que ele faça. O que, não sabemos. Mas no dia em que a turma da segurança não conseguir desativar os servidores antes da hora aprazada para o contato, certamente descobriremos.
Quem viver, verá.
Literalmente...

B. Piropo