Para que as táticas de segurança ofensivas sejam bem-sucedidas na luta contra o cibercrime, é necessário que consumidores, pesquisadores de segurança, jornalistas, legisladores e a polícia cooperem. A colaboração de todos é fundamental na batalha contra os criminosos on-line.
A cooperação entre pesquisadores de segurança tem uma longa história. Os vírus de computador foram reconhecidos como um problema global desde o início, quando a indústria consistia, basicamente, em um punhado de pessoas que criavam ferramentas antivírus nos anos 80 e 90, predominantemente para PCs com sistema operacional Microsoft DOS.
Naquela época, o ritmo da propagação de vírus era muito diferente - eles trafegavam quase que exclusivamente via de troca de disquetes -, portanto os pesquisadores se encontravam várias vezes por ano para compartilhar coleções e descrições de vírus, normalmente em eventos de segurança. Nesse período, surgiram duas organizações: a Computer Antivirus Research Organization (CARO) e o European Institute for Computer Antivirus Research (EICAR).
A primeira tentativa de criar padrões na indústria de malware foi o CARO BASE, um banco de dados de texto que descrevia os vírus. Esse padrão, desenvolvido e mantido pela CARO, foi estabelecido de 1993 a 1994. O crescimento da internet e do e-mail em 1996 e 1997 permitiu que o malware se propagasse mais rapidamente, e isso também resultou no crescimento gradual dos números do malware. Então, os fornecedores de segurança precisavam de um intercâmbio mais rápido de informações e amostras.
Primeiro, as empresas de antivírus, que atualizavam seus produtos semanal ou mensalmente, passaram a fazê-lo diariamente e a coletar malware diariamente. Segundo, a indústria criou várias listas de e-mails de emergência. Elas permitiram que os pesquisadores dessas empresas se comunicassem durante epidemias globais. Um exemplo bem-sucedido dessa ação foi a Anti-Virus Emergency Discussion Network durante as epidemias globais criadas por W97M/Melissa (1999), VBS/LoveLetter (2000), W32/Nimda (2001) e, posteriormente, W32/Netsky, W32/Bagle e W32/Mydoom (2004).
Epidemias globais de malware por meio de worms de rede e e-mail eram comuns no período de 1999 a 2004. Quando ocorria uma epidemia, todas as empresas de segurança queriam fornecer proteção o mais rapidamente possível. A sincronização dos nomes de malware não era prioridade. Nesse estágio, testemunhamos o que provavelmente foi a primeira tentativa pública de regulamentar a indústria de antivírus.
O cenário de ameaças começou a mudar rapidamente por volta de 2003, quando o malware começou a se tornar comercial. Epidemias em grande escala de malware replicante tornaram-se raras. Em vez da autorreplicação, a própria internet proporcionou aos criadores de malware o mecanismo de entrega de que eles precisavam. Os vírus começaram a morrer como dinossauros, sendo substituídos por cavalos de Troia, pois o malware e a internet tornaram-se inseparáveis. Devido ao volume crescente de malware, o processamento automático do intercâmbio de amostras tornou-se comum.
Logo os cibercriminosos reconheceram que a internet era uma ferramenta útil para fazer dinheiro. Por isso, eles desenvolveram técnicas para se apropriarem de um número significativo de computadores para explorar as vítimas via de envio de spam, ataques de negação de serviço e outros métodos. Os criadores de malware se transformaram em controladores de redes de robôs (redes de bots ou botnets, compostas por programas maliciosos controlados remotamente, executados nas máquinas de vítimas incautas).
Grandes redes de bots, como storm e conficker, agora compreendem milhões de computadores. A rede de bots Conficker merece uma atenção especial. Essa rede de bots tem mais de cinco milhões de computadores zumbis, e os especialistas em segurança ainda discutem a que ela se propõe. Curiosamente, essa força imensa ainda não foi empregada por seus controladores. Sabemos, porém, que um esforço coordenado de fornecedores de segurança conseguiu limitar o tamanho dessa monstruosa rede maliciosa. As empresas de antivírus organizaram o Conficker Working Group e conseguiram derrubar um dos mais importantes mecanismos de comunicação incorporados no worm conficker. Isso é um ótimo exemplo de como a indústria de antivírus pode e deve cooperar quando está diante de ameaças comuns.
Hoje em dia, a maioria das empresas de segurança utiliza sistemas de robôs automatizados que inserem dados e amostras em tempo real e geram regras de proteção. Por esse motivo, a cooperação entre as empresas de segurança continua tão importante. Para sermos eficazes, precisamos também ter uma cooperação em tempo real, contando com o auxílio de robôs. Entretanto, os robôs têm dificuldades em processar informações que não estejam bem definidas e estruturadas. Por isso, para viabilizar intercâmbios de dados, as empresas de segurança uniram forças e criaram o Industry Connections Security Group (ICSG), um sistema de compartilhamento de dados com base em XML, com o apoio do Institute of Electrical and Electronics Engineers (IEEE).
Atualmente, as soluções antivírus incluem recursos para proteção contra todas as ameaças, como firewall, antispam, antiphishing, filtros de Web, controle dos pais, entre outros. Cada elemento de proteção contribui para o cenário geral capturando e transmitindo informações de segurança. Essas informações contêm dados, por exemplo, sobre quão comuns são as ameaças, sua temporização e distribuição geográfica. Esses elementos são essenciais, especialmente quando rastreamos os malfeitores em cooperação com a polícia.
As ameaças evoluem e as soluções de proteção também. Como resultado dessas evoluções, o teste comparativo tradicional de soluções antimalware com base na varredura de conjuntos de amostras não funciona mais. Esse entendimento levou à criação da Anti-Malware Testing Standards Organization (AMTSO), que publicou diretrizes para aprimoramento dos testes.
As diretrizes da AMTSO são um bom exemplo da cooperação entre vários órgãos: testadores, meio acadêmico, editores e fornecedores de segurança. Como podemos ver, a cooperação sempre foi muito valorizada pelas empresas de segurança. Sem ela, não estaríamos tão bem protegidos quanto estamos. É claro que ainda existem desafios a superar. Afinal, as empresas antimalware são concorrentes no mercado.
No entanto, o pessoal técnico que constrói e atualiza o software de segurança entende que apenas com a cooperação podemos controlar as forças criminosas na internet. A quantidade de malware criado agora é impressionante - o McAfee Labs recebe mais de 60 mil novas amostras todo dia. Cada amostra é analisada, mas a maior parte dessa análise hoje é realizada de maneira automática, e dados compartilhados dessa indústria desempenham um papel muito importante na definição da prioridade das pesquisas.
As empresas de segurança compartilham métodos sobre malware e informações sobre arquivos. Essa última é importante para assegurar baixos níveis de alarmes falsos, frequentemente chamados de falsos positivos. A qualidade de um programa antimalware está em diferenciar o malware dos arquivos legítimos. Esse trabalho é importante para dificultar o crescimento de malware.
No futuro, esses ataques serão mais sofisticados e dirigidos, como no caso do ataque Operação Aurora, no qual uma vulnerabilidade de dia zero no Microsoft Internet Explorer foi explorada para roubar informações valiosas de várias empresas dos Estados Unidos, entre elas a Google. Os atacantes da Operação Aurora utilizaram uma abordagem sofisticada - primeiro visaram a amigos e parentes daqueles que eles queriam comprometer. Em seguida, passaram para as empresas.
Muitos desses ataques provavelmente nem são percebidos - ou não chegam a ser comunicados -, mas ainda assim as empresas de segurança precisam conhecê-los para poder agir. É por isso que o compartilhamento de informações dentro e fora da indústria é tão importante. Somente reunindo os fragmentos desses quebra-cabeças podemos responder aos ataques dirigidos.
A necessidade dessa maior cooperação entre empresas de segurança e provedores de serviços de internet é fundamental. O compartilhamento de informações de segurança deve permitir que os provedores tomem providências quanto a endereços IP e sub-redes infectadas. Um dos problemas que enfrentamos é que alguns cibercriminosos acumularam dinheiro suficiente para assumir o controle de alguns provedores locais. Já vimos vários provedores (como ESTdomains13 e McColo14) serem fechados devido a suas condutas duvidosas. Infelizmente, essa tendência de investimento criminoso em provedores de serviços de Internet continuará, sem dúvida.
O que você pode fazer?
A grande pergunta com que nos deparamos é: Quem é dono da internet? São os malfeitores ou os benfeitores? Cada lado tem a convicção de que deveria estar no comando. Usuários de computador, profissionais de segurança ou administradores devem optar por compartilhar informações de inteligência com o fornecedor de segurança de sua confiança. Provedores de serviços de internet e fornecedor de segurança também precisam cooperar com esse compartilhamento. As autoridades políticas devem levar em consideração essas questões, ao elaborar leis. Mais do que nunca precisamos de uma cooperação internacional no policiamento da internet. Essa é a chave para o sucesso.
