• Microsoft Derrubou Servidores com Citadel em controle de Pesquisadores

    Publicado em 13-06-2013 06:00
    0 Comentários Comentários
    A Microsoft derrubou cerca de 1462 botnets na semana passada, e agora está sendo questionada não somente com relação ao dano colateral que a empresa causou, mas também sobre sua eficácia. Um pesquisador de segurança Suíço, identificado como abuse.ch, relatou que dentre os domínios neutralizados pela Microsoft, estima-se que 25 por cento deles eram sinkholes operados por pesquisadores de segurança. A sophos também estima que, de acordo com um snapshot de 72 servidores Citadel C&C (Command and Control), mais de 50 por cento não estavam listados pelo takedown efetuado pela Microsoft, sendo que 29 por cento destes estavam listados e eram sinkholes, enquanto 20 por cento foram aparentemente deixados intocados mesmo estando presentes na listagem.


    Para quem não sabe, sinkholing é uma técnica onde um domínio C&C de um botnet é redirecionado para um servidor sob o controle de um pesquisador de segurança, podendo o mesmo ser utilizado para medir o tráfego e a atividade dos botnets associados. O takedown efetuado pela Microsoft envolveu o uso da técnica de sinkholing dos domínios que haviam sido recolhidos e redirecionados esses domínios para seus servidores. Aparentemente isso aconteceu para incluir não apenas os domínios que já estavam como sinkhole pelo abuse.sh, mas também outros pertencentes a demais pesquisadores de segurança. Os bots conectados aos servidores sinkhole da Microsoft parecem estar recebendo arquivos de configuração válida que removem o bloqueio de domínios com anti-vírus, permitindo que os sistemas possam atualizar seus AV e, espera-se, sejam capazes de remover a botnet instalada.

    Os novos arquivos de configuração também redirecionaram a botnet para a microsoftinternetsafety.net, na tentativa de engaiolar o controle C&C da rede. O pesquisador notou que os operadores de sinkhole haviam considero esse curso de ação no passado, mas muitos deles concluíram que efetuar uma mudança não-autorizada para um computador, mesmo um sob o controle de um botnet, poderia ser lido como uma violação de leis locais e decidiram não dar continuidade a esse plano.

    O pesquisador abuse.ch criticou a maneira como a Microsoft efetuou o takedown, acreditando que isso terá muito pouco efeito sobre os ciber-criminosos por trás desses botnets, que irão (muito provavelmente) retornar com botnets melhores e mais protegidos. Durante esse tempo, a Shadowserver Foundation, para qual os dados do pesquisador abuse.ch foram passados, ficará impossibilitada de relatar sobre os "os vários milhares de computadores infectados com o Citadel".

    A pergunta que fica é: essa foi uma ação pensada, ou um total desencontro nessa frente de batalha contra o botnet Citadel? No caso da primeira alternativa, qual a intenção da Microsoft em "passar por cima" das ações de monitoramento já em andamento para eliminar boa parte dos servidores em controla do botnet? No caso de apenas uma "ação desencontrada", mostra que grandes empresas como a Microsoft não estão preparadas para uma ação em conjunto com outras entidades de pesquisa, quando o assunto é a segurança digital na Internet.

    Saiba Mais:

    - Heise Online: Citadel takedown took down security researchers too (em Inglês)
    + Enviar Comentário