< Trilha Zero >
|
|
|
30/05/2005
|
< Criando “botnets” > |
Como uso um redirecionador de mensagens (o POBox, em < www.pobox.com >), mantenho o mesmo endereço de correio eletrônico há anos. Redirecionadores de mensagem fornecem um endereço que, em vez de receber as mensagens, as encaminham ao real provedor do destinatário. Assim, quando se troca de provedor não é preciso informar o novo endereço a todos os amigos, apenas ao redirecionador. Quanto mais um endereço envelhece, mais mensagens indesejadas recebe. Especialmente um endereço público como o meu, que vai sendo incluído em mais e mais dessas listas de endereços vendidas a pilantras que as usam para enviar “spam”. É inevitável que seja assim. Mas como meu provedor é o Mandic (< www.mandic.com.br >), que mantém um excelente “filtro” de spam, a coisa não incomoda muito. Inspeciono regularmente os cabeçalhos da pasta das mensagens suspeitas para ver se alguma mensagem desejada não foi indevidamente encaminhada para lá (o que raramente acontece) e a esvazio. Depois, removo os poucos spams que “enganam” o filtro e vão para a caixa de entrada. E assim vai-se vivendo. Afinal, manter o mesmo endereço por tantos anos também tem suas vantagens. Acontece que a porcentagem de mensagens indesejadas que venho recebendo tem aumentado significativamente. De pouco menos da metade há dois anos, chegam hoje a quase noventa porcento. E um exame em seu conteúdo revela que não se trata de coisa de amador vendendo programa pirata, divulgando pousada em um lugar encantador ou falando bem (ou mal) desde ou daquele político. Pelo contrário: a maioria delas vem em inglês (80%, em uma amostragem rápida que acabei de fazer) e são coisa de profissional, seja oferecendo acesso a sítios pornográficos, medicamentos contra impotência, produtos falsificados ou algo parecido. Sem contar com as que disseminam programas que permitem que a máquina infectada seja controlada remotamente. É altamente improvável que seus remetentes tenham obtido meu endereço em listas vendidas na Internet. Então, como elas chegaram a mim? Bem, é consenso entre os especialistas em segurança na Internet que o envio de spam tornou-se um negócio tão rentável que atraiu a atenção do crime organizado. Há, hoje em dia, profissionais dedicados exclusivamente à criação e “venda” de redes controladas remotamente, ou “botnets”. Essas redes, com 5.000 a 10.000 máquinas cada, são usadas por terceiros, que as “compram” de seus criadores, para envio de spam e ataques mal intencionados do tipo “negação de serviço” (DDoS, Distributed Denial of Service). Neste último caso, o objetivo é “derrubar” um servidor Internet fazendo com que todas as máquinas da “botnet” solicitem acesso simultaneamente. No primeiro, milhões de mensagens são enviadas de forma tão difusa que é virtualmente impossível identificar sua origem. E, se identificada, chega-se no máximo a uma máquina da “botnet” cujo proprietário não tem a menor idéia de que sua máquina está sendo usada por controle remoto para fins escusos. Os endereços de correio eletrônico são “garimpados” na própria rede, usando os registros de acesso dos próprios sítios de busca na Internet. Cria-se uma “botnet” explorando uma das muitas vulnerabilidades de Windows para “plantar” nas máquinas um programa tipo “Cavalo de Tróia” que permite controlá-las remotamente. É fato que as vulnerabilidades, tão logo identificadas, são corrigidas pela Microsoft através das atualizações do sistema. Mas nem todo o mundo as instala e tentativas maciças de ataque (também através de spam) acabam por contaminar alguns milhares de máquinas, formando uma “botnet”. Isso não é paranóia, é fato comprovado. E nem sequer é novidade: malfeitores estão agindo assim há alguns anos através de ataques maciços como os de Melissa e Blaster. A novidade é que eles estão mudando de tática. Segundo artigo de Munir Kotadia, da ZDNet (em < http://news.zdnet.com/2100-1009_22-5719765.html?tag=nl.e589 >), especialistas em segurança reunidos em evento promovido pelo CERT (< www.cert.org >) na Austrália relataram que, em vez de disseminar vírus que infectam milhões de máquinas e são rapidamente detectados, os biltres estão criando novas cepas e acompanhando sua disseminação. Quando contaminam um total de 5.000 a 10.000 máquinas, o suficiente para formar uma “botnet” eficaz, interrompem o processo. Assim, dificultam a detecção e podem continuar vicejando à sombra, longe da ação dos programas antivírus. É, amigo, a coisa está ficando cada vez mais complicada... B. Piropo |