“Nada é impossível”, diz um advogado da Microsoft sobre as reclamações de que a botnet TDL-4 é intocável.

Ver o tópico anterior Ver o tópico seguinte Ir em baixo

“Nada é impossível”, diz um advogado da Microsoft sobre as reclamações de que a botnet TDL-4 é intocável.

Mensagem  veronmaiden em Qua Set 28, 2011 9:45 pm

Nenhuma botnet é invulnerável, diz um advogado da Microsoft envolvido na desactivação da Rustock, contrariando afirmações de que uma outra botnet é “praticamente indestrutível”.
“Se alguém diz que uma botnet é indestrutível, não está a ser muito criativo jurídica ou tecnicamente”, afirmou esta semana Richard Boscovich, advogado sénior da Unidade de Crime Digital (Digital Crime Unit) da Microsoft. “Nada é impossível. Isso é um padrão demasiado elevado”.
Instrumental no esforço que levou à apreensão do comando e controlo (C&C) dos servidores da Rustock em Março, Boscovich considera que a experiência da Microsoft em desactivar a Waledac no início de 2010 (na imagem abaixo) e da Coreflood e Rustock este ano mostram que qualquer botnet pode ser desactivada.

“Dizer que nada pode ser feito subestima a capacidade das autoridades”, diz Boscovich. “As pessoas parecem dizer que os bandidos são mais inteligentes, melhores. Mas a resposta para isso é ‘não’”.
Na semana passada, a empresa de segurança informática Kaspersky Labs intitulou a botnet TDL-4 de “a ameaça actual mais sofisticada”, e argumentou que era “praticamente indestrutível” por causa da sua avançada criptografia e uso de uma rede pública “peer-to-peer” (P2P) como canal de comunicação para as instruções emitidas aos PCs infectados.
Desactivações como a Waledac, Rustock e Coreflood contaram com a apreensão dos principais servidores de C&C, conseguindo assim bloquear os computadores comprometidos de acederem a domínios alternativos de C&C para novas instruções.
Ao fazê-lo, conseguem decapitar a botnet, permitem aos investigadores ou autoridades sequestrar a botnet, e impedem que os cibercriminosos actualizem os seus programas malware ou que dêem ordens a novos bots. Isso também dá aos utilizadores algum tempo para limpar os seus sistemas das infecções com software antivírus.
O investigador sénior de malware da Kaspersky, Roel Schouwenberg, considera que o uso de P2P pela TDL-4 tornou a botnet uma tarefa extremamente difícil.
“Qualquer tentativa para derrubar o C&C pode efectivamente ser contornada pelo grupo TDL, actualizando a lista de C&C através da rede P2P”, disse Schouwenberg na semana passada. “O facto de o TDL ter dois canais separados para comunicações fará qualquer desactivação muito, muito difícil”.
Boscovich discorda, observando que a desactivação em Fevereiro de 2010 da Waledac suprimiu com sucesso o canal de comando por P2P dessa botnet.
A Waledac “foi uma prova de conceito, que mostrou como somos capazes de contagiar a tabela peer-to-peer de uma botnet”, disse Boscovich.
“Cada desactivação é diferente, cada uma é complicada à sua própria maneira”, refere Boscovich. “Cada uma vai ser diferente, mas isso não significa que não se possa fazê-lo a qualquer botnet”.
Alex Lanstein, engenheiro sénior da FireEye e que trabalhou com a Microsoft na desactivação da Rustock, disse que as relações que a Microsoft tem construído com outros no domínio da segurança, com fornecedores de serviços de Internet, e com agências governamentais, como o Departamento de Justiça e as autoridades dos EUA foram os factores mais importantes na sua capacidade de derrubar botnets, quaisquer botnets.
“É a relações de confiança que a Microsoft criou”, considera Lanstein, que levou ao sucesso dessas desactivações. “E eu acho que [a técnica] funciona com qualquer infra-estrutura de malware, onde algum tipo de fornecimento de dados exista. Realmente, realmente funciona”.
Boscovich e Lanstein são contrariados não só por Schouwenberg, da Kaspersky, mas também por Joe Stewart, director de investigação de malware na Dell SecureWorks e um especialista em botnets reconhecido internacionalmente.
“Eu não diria que é perfeitamente indestrutível, mas é praticamente indestrutível”, dsse Stewart numa entrevista na semana passada sobre a TDL-4. “Ela faz um trabalho muito bom para se manter”.
Mas a SecureWorks também reconheceu o sucesso da Microsoft, dizendo que as suas próprias estatísticas mostram que os ataques vindos da Rustock caíram 10 vezes desde Março.
“Desde meados de Março de 2011, a equipa da Counter Threat Unit da Dell SecureWorks tem notado um declínio significativo no número de ataques tentados pela Rustock, e nós atribuímos isso aos esforços globais da Microsoft”, disse uma porta-voz da SecureWorks esta terça-feira.
“Com a desactivação da Rustock, a Microsoft criou a base para outros fazerem o mesmo”, consideraLanstein. “Esta não é definitivamente a última botnet que vamos perseguir”.

veronmaiden

Mensagens : 70
Data de inscrição : 02/08/2009

Ver perfil do usuário http://www.insecuritynet.com

Voltar ao Topo Ir em baixo

Ver o tópico anterior Ver o tópico seguinte Voltar ao Topo

- Tópicos similares

 
Permissão deste fórum:
Você não pode responder aos tópicos neste fórum