Provedores de Internet deveriam isolar PCs infectados, dizem pesquisadores

Lucian Constantin, IDG News Service
05/06/2014 - 19h03
Teoria é que medida reduziria o número de máquinas infectadas em botnets, fazendo com que cibercriminosos tivessem que inventar outras formas de ataque.

Agências legais de diversos países, entre elas o FBI e a Europol, anunciaram na segunda-feira (2/6) que trabalham com fornecedores de soluções de segurança para destruir a botnet Gameover Zeus, que pode ter afetado entre 500 mil e 1 milhão de computadores. O esforço atual para derrubar a botnet inclui um plano para que provedores de serviços de Internet (ISPs) informem proativamente as vítimas de infecções.

Mas alguns especialistas em segurança vão mais longe e acreditam que o papel dos ISPs pode ser ainda mais importante no futuro: não só identificar os computadores infectados em suas redes mas, ao descobri-los, isolá-los colocando-os em quarentena. "Tempos desesperados exigem medidas desesperadas", disse Rik Ferguson, vice-presidente global de pesquisa de segurança da Trend Micro, em um post no blog da empresa.

Notificar usuários sobre infecções malware, especialmente quando seus computadores estão associados a botnets conhecidas, tornou-se prática relativamente comum para alguns ISPs nos últimos anos.

Nos Estados Unidos, por exemplo, a Comcast introduziu em 2010 alertas de segurança para os assinantes do seu serviço Xfinity, enquanto que, na Alemanha, o governo fez uma parceria com provedores para notificar regularmente usuários cujos computadores foram infectados por malware e ajudá-los a limpar suas máquinas.

Ignorância não é uma benção

Apesar da ampla cobertura da mídia sobre a derrubada da Gameover, conferências de imprensa feitas por agências de aplicação da lei e alertas de segurança emitidos por equipes de resposta a emergências de computadores (CERT), para a maioria dos usuários da Internet, "a história vai passar batida", disse Ferguson.

O pesquisador argumenta que até mesmo usuários que geralmente prestam atenção à segurança da informação podem cansar com relação aos incidentes que resultam em enormes perdas de dados e uma hora deixam de tomar cuidado - e esse é o motivo pelo qual é necessária uma abordagem mais agressiva.

"Os provedores de Internet deveriam aproveitar o conhecimento das ameaças de segurança para identificar sistemas comprometidos que estão conectados às suas redes", disse Ferguson. "Esses sistemas deveriam ser isolados, os donos das contas deveriam ser contatados e orientados a limpar suas máquinas e reverter a situação. Até que a infecção seja remediada, o computador deve ter acesso apenas a recursos de Internet limitados."

Ameaça coletiva

Um PC infectado por malware é uma ameaça não somente para o próprio dono da máquina, mas também para outros usuários da Internet, da mesma forma que um carro com defeito põe em risco tanto o condutor quanto outros motoristas na estrada. É por isso que carros estão sujeitos a uma verificação anual, disse Ferguson.

Isolar computadores infectados e obrigar os proprietários a tomar providências é uma boa ideia que pode afetar o ecossistema cibercriminoso como um todo, disse Bogdan Botezatu, analista sênior de e-ameaça da Bitdefender, via e-mail. "Esses PCs comprometidos são os bens mais valiosos para crackers. Quanto menor for a quantidade deles, menor é o lucro de cibercriminosos e menor ainda o incentivo para que eles continuem a infectar computadores aleatórios."

Alguns provedores talvez não estejam aptos a adotar esse tipo de prática por conta de estruturas legais e razões relacionadas à privacidade, mas se um número significativo deles começarem a fazer isso, as botnets podem ficar menores, sujeitando seus operadores a investir em novas estruturas de comando e controle ou novos tipos de ataques.

Há uma série de questões que os ISPs podem enfrentar ao implementar tal programa, disse Botezatu. "Por exemplo, a base de clientes podem se queixa de que seu tráfego está sendo monitorado ou que eles perderam a conectividade quando mais precisavam. O investimento inicial para a tecnologia de monitoramento de padrão de tráfego malicioso do lado dos provedores também poderia ser um dos fatores para adiar a sua adoção."