Um dos maiores desafios de segurança na internet na atualidade é como conter este surto global que é o botnet. Os criadores de um botnet e suas organizações criminosas estão constantemente desenvolvendo formas inovadoras para alcançar novas vítimas e lucrar com elas.
Em sua forma mais básica, um botnet é um grupo de computadores que foram infectados por um malware que permite que um controlador (ou "mestre") domine uma máquina infectada. Cada botnet – e há provavelmente milhares deles em operação – é usado por seu mestre para realizar uma série de atividades maliciosas sem o consentimento da vítima. Uma vez infectado por um malware botnet, o computador se torna uma espécie de zumbi pronto para executar os comandos de seu mestre.
Como um botnet funciona
Os métodos para se infectar um computador com um botnet são quase tão variados quanto suas formas de utilização pelos cibercriminosos.
*Por Download: a simples visita a um site malicioso já é o suficiente para o malware ser baixado e executado em um PC que não esteja em dia com seu antivírus e suas atualizações de segurança.
*Email: um método tradicional, e ainda muito popular de infecção botnet, é através do envio de e-mail com conteúdo malicioso, muitas vezes enviado por alguém que o usuário conhece e confia (cujo sistema provavelmente esteja infectado com o botnet).
*Software pirata: desenvolvedores de malware geralmente escondem códigos maliciosos em downloads de software. Eles se instalam na máquina da vítima quando o usuário abre o arquivo executável.
Ainda há os chamados botnet opt-in no qual os próprios usuários instalam o software para fazer parte do botnet. Organizações como o Anonymous distribuem estas ferramentas para seus grupos de programadores e colaboradores com o intuito de alavancar ataques contra organizações, governos ou mesmo entidades com fins políticos. Este tipo de recrutamento opt-in, conhecido como hackitivismo, torna-se cada vez mais improvável de ser interrompido em virtude da facilidade de se envolver nestes grupos.
O que acontece depois da infecção
Durante a instalação de um botnet, o malware geralmente se aloja no que é conhecido como "porta dos fundos", ou num programa que permite que o botnet mestre possa se comunicar, controlar e instalar software no computador infectado. Uma vez instalado, é extremamente difícil fechar e trancar essa "porta dos fundos", mesmo depois que o computador infectado tenha baixado a mais nova atualização de segurança ou antimalware.
Depois de instalado, normalmente o botnet tenta se comunicar com seu mestre para se apresentar. Um computador infectado pode enviar inúmeras informações para o botnet mestre incluindo o endereço IP do computador infectado (o que ajuda a determinar a localização da vítima), o nome de login do computador, o sistema operacional, quais correções foram implementadas e muito mais.
Como constatar que ocorreu uma infecção
Embora não haja um método infalível para determinar a presença de um botnet, os sintomas típicos podem se apresentar como:
*Sistema rodando mais lento que o habitual
*O LED do disco rígido pisca descontroladamente, mesmo que esteja em modo de espera;
*Arquivos e pastas, de repente, desapareceram ou foram alterados de alguma forma;
*Um amigo ou um colega do usuário passa a receber e-mails de spam de sua conta de e-mail;
*Um firewall instalado no computador informa ao usuário que um programa instalado na máquina está tentando se conectar à Internet;
*Um ícone de um programa baixado da Internet, de repente, desaparece;
*Mensagens de erro começam a surgir com mais frequência;
*O serviço online de um banco começa a pedir informações pessoais que nunca havia pedido antes.
A melhor defesa
Saber como um botnet funciona é um bom primeiro passo para se defender de um ataque. Além disso, uma das coisas mais importantes que um usuário pode fazer para se proteger é ter certeza de que todos os softwares usados foram obtidos a partir de uma fonte legítima e confiável e que todos os aplicativos são constantemente atualizados. Quem navega na Internet usando um navegador ou plugins (como o Adobe Flash ou o Java da Oracle) desatualizados, está pedindo para ter problemas cada vez que o sistema se conecta à Internet.
Dicas para se evitar uma infecção botnet:
*Instale um pacote antivírus e o mantenha sempre atualizado. Muitas empresas fornecem versões gratuitas que são tão completas quanto às vendidas por outras mais conhecidas.
*Tenha o hábito de fazer verificações completas do sistema.
*Use só um programa antivírus, já que executar mais de um pode causar irregularidades no sistema
*Use um firewall pessoal e habilite alertas sempre que um programa tentar se conectar à Internet
De spams contra usuários de internet, a roubo de dinheiro e até espionagem de governos, o impacto do botnet na web e na economia mundial é enorme. Os operadores de botnets são duros de encontrar, difíceis de silenciar e mais difíceis ainda de serem processados judicialmente. Devido à natureza anônima da internet e à dificuldade do alcance dos criminosos diante das fronteiras internacionais, o risco representado para quem pratica o cibercrime é baixo. É necessário que ocorra um enorme esforço global, somado à destreza e habilidades das organizações de segurança, com o rápido trabalho colaborativo entre as nações para lidar com este surto de botnets – e seus criadores – de forma efetiva.
Vanessa Padua, engenheira sênior de segurança da Fortinet.
