2009-03-30

Conficker infecta rede do Parlamento Britânico

Quando a bolsa de valores de Londres tornou-se online em 2007, seus desenvolvedores anunciaram o fato com pompa e alarde, já que melhorariam a velocidade e capacidade do sistema original. Após 4 anos de investimento e desenvolvimento, a Accenture desenvolveu uma plataforma chamada TradElect em parceria com a Microsoft em .NET com o Windows SQL Server "por baixo" no Server 2003.

Infelizmente no dia 8 de setembro de 2008 o sistema ficou paralisado durante 7 horas em um dia crítico para o mercado. A grande ironia é que os investidores ingleses conseguiam comprar e vender ações da bolsa de Nova York que, também em 2007, migrou sua plataforma do AIX (UNIX sabor IBM) para o Linux.

O engraçado é ler a propaganda:
World-beating performance

TradElect is the Exchange’s trading system. It brings unprecedented levels of performance, enhanced functionality and new services to our markets whilst maintaining our exemplary record for reliability.

It allows our customers to trade on one of the fastest, most reliable and technologically advanced equity markets in the world.

Muitos argumentaram que o problema não foi da plataforma Microsoft, mas sim do aplicativo da Accenture. Seja como for, o fato é que o Parlamento britânico acaba de ser infectado pela última praga digital, o worm Conficker/Downadup, que está circulando desde Outubro de 2008 e cuja ativação está programada para o dia 1° de Abril. Afora os problemas internos de segurança do Parlamento, que não me interess vêm ao caso no momento, o fato é que o Conficker já infectou 8 milhões de máquina e, segundo Kelly Jackson Higgins do site DarkReading, deve ainda estar presente em 2 milhões de PCs.

O Conficker tornou-se famoso o suficiente para a Microsoft criar a Conficker Cabal, uma coalisão de empresas de segurança e organizações dedicada a acabar com a praga (confira a matéria do NY Times). A MS chegou a oferecer um prêmio de US$ 250.000 para quem fornecesse informações que levassem à captura dos responsáveis pela criação do worm. O patch está disponível no site da Microsoft, então por quê se preocupar? Porque nem todos o instalaram, nem todos têm anti-virus, nem todos têm senhas decentes e há até os casos dos usuários que não têm senha alguma (mesmo na NASA e no Pentágono, vide o caso Gary McKinnon); porque os dois milhões restantes de máquinas infectadas ainda podem fazer um estrago razoável - diz Runald da F-Secure.

Se se confirmar que o Conficker é um botnet, ou seja, que possa ser remotamente controlado, que possa ser um programa-autômato, um robozinho lógico que opera em conjunto formando uma rede, devemos esperar que ele se conecte a outro servidor em busca de instruções, baixe e execute o novo código. Randy Abrams, diretor de educação técnica do ESET, diz que não há ainda como sabermos o que ele fará, pode não fazer nada e o 1° de Abril se tornará apenas uma "pegadinha" ou um plano abortado. Ele pode ainda lançar um ataque coordenado a um servidor, um DDoS e até mesmo um spam maciço. Não temos como saber - diz Abrams.

O ponto interessante deste worm é que a infecção não requer ação alguma dos usuários, seus criadores têm elaborado novas versões que tentam evitar sua detecção, mas apesar disso não ser difícil, a proliferação continua bastante intensa. Runald da F-secure comenta o nível profissional de seu código, "apesar de nossos esforços em matá-lo, ele continua vivo mesmo depois de 4 meses. Seus criadores lançam novas versões continuadamente e usam tecnologias que mal tinham sido usadas, como encriptação MD6.



Leia a matéria no Darkreading aqui.
Análise técnica do Conficker.A e B aqui.
Análise técnica do Conficker.C aqui.

Nenhum comentário:

Postar um comentário