12 de setembro de 2019

O verme que quase consumiu a internet

Há pouco mais de  0 anos, uma variedade única de malware invadiu a Internet tão rapidamente que chocou os especialistas em segurança cibernética de todo o mundo. Malware refere-se a qualquer tipo de código desenhado para se infiltrar num computador alheio de forma ilícita, com o intuito de causar danos, alterações ou roubo de informações.
Conhecido como Conficker foi e continua a ser o verme (worm) de computador mais persistente já visto, infecta computadores com o sistema operativo da Microsoft em todo o mundo, para criar uma vasta rede de bots ilícita, na verdade, construiu algo parecido com um supercomputador do mercado negro. Tanto poder controlado por alguém desconhecido representava uma ameaça existencial não apenas para as empresas ligadas à Web, mas também para a Internet propriamente dita.
Os bots ou software robots são programas autónomos ou agentes capazes de realizar tarefas sem intervenção humana, que por vezes interagem entre si trocando informações e trabalhando em conjunto. Um exemplo são os chatbot que imitam comportamentos humanos em sistemas de chat ou por telefone, respondendo a questões colocadas pelos clientes. Atualmente, existem 2 343 tarefas de bots aprovadas para uso na Wikipedia em inglês. No caso da Wikipedia, os bots deixam mensagens nas páginas de discussão e ajudam a manter as 48 468 937 páginas da Wikipedia.
Um ataque em 2012 praticamente encerrou as operações on-line nas principais instituições bancárias. Os ataques de negação de serviço (DoS - Denial of Service), inundam servidores Web com tantas solicitações que, o servidor incapaz de responder, colapsa. Consegue-se, assim, tornar o site Web inutilizável já que o servidor se torna incapaz de responder aos pedidos legítimos.
Estas redes de bots também propagam malware. As botnets estiveram por trás do ataque de ransomware como o famoso WannaCry de 2017, que infetou cerca de 200 000 computadores em 150 países e danificou redes informáticas nos hospitais do Serviço Nacional de Saúde em Inglaterra e na Escócia. O ransomware é um tipo de malware da criptovirologia que ameaça publicar os dados da vítima ou bloquear perpetuamente o acesso a eles, a menos que seja pago um resgate. As redes de bots também permitiram a intromissão da Rússia nas eleições presidenciais de 2016, enviando a milhões de utilizadores de redes sociais histórias falsas.
No entanto, a rede de bots do Conficker foi a mais assustadora. No auge, quando consistia em pelo menos 10 milhões de endereços IP individuais (qualquer equipamento ligado à internet tem um identificador único que funciona como um nome ou morada, conhecido por endereço IP – Internet Protocol), havia poucas redes de computadores no mundo suficientemente seguras para resistir a um ataque. No entanto, foi usado apenas uma vez, para alastrar uma quantidade relativamente pequena de scareware, com o objetivo de assustar utilizadores a comprar um software antivírus falso. Esse ataque foi surpreendentemente fraco, foi como roubar um carro de Fórmula 1 para dar uma volta lenta pelo quarteirão. Parecia um ensaio para algo maior e mais destruidor.
Mas isso nunca aconteceu. Porquê? Quem criou o Conficker? Porque nos devemos preocupar se afinal nunca o usaram?
O nome Conficker foi cunhado pelos programadores da Microsoft combinando “con”, do nome TrafficConverter.biz, o site usado para propagar o verme, com um palavrão alemão. A infeção atingiu o pico a 1 de abril de 2009, quando uma nova e mais virulenta estirpe (versão) que se podia espalhar diretamente de um computador para o outro sem intervenção humana foi ativada.
Na altura verificou-se algum alarme nos media. No programa 60 Minutos da CBS chamaram ao Conficker “uma das ameaças mais perigosas de todos os tempos”. Shawn Henry, diretor assistente da divisão cibernética do FBI, afirmou que o potencial para danos era o mesmo de “uma arma de destruição massiva ou uma bomba numa das nossas principais cidades”.
Um hacker informático é um especialista em computadores que usa os seus conhecimentos técnicos para superar um problema. Recentemente, o termo hacker tem estado associado a segurança cibernética, alguém que usa o seu conhecimento técnico para invadir sistemas informáticos. Uma das teorias indicava que o código tinha sido criado por hackers como uma experiência laboratorial, tendo sido libertado para a internet acidentalmente. Compreensivelmente, os autores não quereriam reivindicar a autoria.
Outras teorias passavam por ser uma arma cibernética desenvolvida por um governo, talvez até pelos Estados Unidos. A explicação aceite atualmente é de um grupo de criminosos cibernéticos a tentar construir uma plataforma para roubo global. A última coisa que um ladrão quer é chamar a atenção para si mesmo. O crescimento sem precedentes do Conficker chamou a atenção de especialistas em segurança cibernética de todo o mundo. A rede tornou-se demasiado visível para ser utilizada.
Esta versão foi publicada em dezembro de 2015 pelo The Journal of Sensitive Cyber Research and Engineering, uma publicação científica, publicada por um grupo de trabalho de segurança cibernética, incluindo o Pentágono, o Departamento de Segurança Interna e a NSA (National Security Agency, agência de segurança nacional) e distribuída a um pequeno número de especialistas com as devidas autorizações de segurança.
Segundo o artigo, a característica mais impressionante do Conficker é a sua criptografia. Os criadores debotnets ilícitos protegem-nos, criptografando comandos e controlos internos, impedindo que o malware seja alterado por criminosos concorrentes ou inativado por especialistas em segurança. A criptografia do Conficker era muito avançada. Empregou três dos métodos de codificação mais sofisticados existentes, RC4, RSA e MD6, todos produzidos pelo principal criptologista do mundo, Ron Rivest, do Instituto de Tecnologia de Massachusetts.
A pista que revelou o fio da meada foi conseguida quando uma falha foi descoberta no código do MD6, a qual foi prontamente corrigida. Essa correção era conhecida apenas por um círculo muito pequeno de criptógrafos de elite. As primeiras versões do Conficker usavam a versão original com a falha. Mas rapidamente surgiu uma nova versão, o Conficker C, já corrigida. Investigando os IPs dos investigadores que usaram os sites onde se poderia encontrar o patch (código de correção de um erro ou bug num software) identificaram o smartsystem.com.ua - o endereço de uma empresa ucraniana que também estava ligada ao TrafficConverter.biz.
A 21 de julho de 2011, um agente do F.B.I. e a polícia nacional ucraniana prenderam três ucranianos, Sergey Kamratov, Dmytro Volokitin e Yevgen Fatyeyev. Estes três trabalhadores da Smartsystem mostravam claros indícios de riqueza não declarada, guiando carros caros e vivendo em apartamentos que não poderiam ser pagos com o que a empresa lhes pagava. Os computadores nas suas residências revelaram ligações diretas a smartsystem.com.ua, TrafficConverter.biz e ao trabalho de codificação e planeamento por detrás do Conficker. Os três foram acusados na Ucrânia por não pagar impostos sobre os ganhos ilegais.
O sueco, Mikael Sallnert, preso na Dinamarca e extraditado para os Estados Unidos, onde se declarou culpado em 2012 foi sentenciado a 48 meses de prisão. O quinto homem, Victor Mauze, foi nomeado na acusação, mas nunca foi sentenciado.
Este caso tornou público o negócio de malware na Ucrânia, assim como noutros países. Algumas empresas de crime eletrónico têm as suas instalações perfeitamente visíveis e contactáveis, com funcionários assalariados que funcionam como qualquer outra empresa informática. O encerramento da smartsystem.com.ua causou uma perturbação significativa, mas apenas temporária, os criminosos seguiram em frente e fundaram novas empresas no mesmo ou noutros territórios.
As novas versões do sistema operativo da Microsoft impedem a infeção pelo Conficker. No entanto, estima-se que o tamanho da rede de bots ainda seja de cerca de 500 000 computadores infetados. Muitos danos podem ser causados com uma botnet desse tamanho, mas é improvável que venha a ser utilizada no futuro.

baseado em:
vários autores “Wikipedia:Bots” de en.wikipedia.org/wiki/Wikipedia:Bots consultado em 9 de setembro de 2019
Mark Bowden (2019) “The Worm That Nearly Ate the Internet” de www.nytimes.com/2019/06/29/opinion/sunday/conficker-worm-ukraine.htm

 

 

Print

Categorias: Opinião

Tags:

x
Revista Pub açorianissima