11 MÉTODOS PARA COMBATER BOTNETS, UMA AMEAÇA AINDA INVISÍVEL

O QUE É UMA BOTNET ?!

Antes de prosseguir sobre os métodos, é preciso inicialmente saber do que se trata uma botnet, resumindo-se a uma rede de computadores robô-automatizada autônoma, isto é uma rede em grande escala de computadores em escala global, invadidos e agora controlados por um malware desenvolvido cybercrimonosos.

Mesmo assim a ideia não é atacar esse computadores individualmente, o interesse do hacker é assumir o controle desse exército de computadores zumbis, gerenciando todos à distância e lhes enviando variados comandos para realizar onde em maioria com objetivos criminosos, entre eles coleta de informações valiosas, estipular ataques a sistemas governamentais vulneráveis, mineração não autorizada de moedas digitais … etc.

OBJETIVOS DAS BOTNETS

A função mais utilizada das botnets é executar ataques DDOS (Distributed Denial of Service – Negação de Serviço em modo Distribuído) . Nesta tática milhares de computadores deliberadamente tentam acessar o mesmo site simultâneamente. Causando um descontrole nos pedidos de acesso, resultando numa total paralização na vistualização do site, congelando o domínio por completo.

Outra utilidade criminosa das Botnets é enviar emails indesejados (spams) de maneira por toda a rede de computadores. Isso permite o envio de millhões de mensagens gratuitamente, com pouco risco dos verdadeiros culpados serem identificados.

Por fim mas não menos importante, as botnets também estão residentes na rede buscando por pacotes de dados não criptografados, na esperança de encontrar nomes de usuários, senhas e qualquer outra informação potencialmente valiosa porém desprotegida.

Maniputar sistemas disponíveis na internet é mais outra utilidade das botnets, entre eles os sites de votação, não suficientes a também distribuição indiscriminada de mais malwares para, claro, expandir as botnets já existente. A geração de receitas por anúncios fraudulentos para os criadores conclui algumas das utilizações identificadas das redes botnets.

Infelizmente tornando assustadora a realidade para as organizações que abrigam dados confidenciais e sensíveis, incluindo informações pessoais dos colaboradores e cidadãos, resultando em ameaças infindáveis para a segurança cibernética, somando-se aos worms e hackers.

Ainda consideradas como a mais assustadora ameaça de segurança cibernética. Assustadoramente sofisticadas rastreadoras de vulnerabilidades, desenvolvidas por cybercriminosos, permanecendo quase invisíveis. Diferente dos outros métodos por worms e cavalos de Tróia, congelando redes como em alguns anos atrás, as bots são planejadas manter as redes e computadores funcionando perfeitamente em todas as aparências externas enquanto transferem dados para seus mestres de bots sem que sejam detectadas (as redes e os responsáveis).

A maioria das agências governamentais buscam táticas para minimizar a chance de penetração em suas redes e, ocorrendo com sucesso um ataque, isolar e eliminá-la. Entretanto, pelos governos serem regularmente pressionados a fornecer serviços iguais ou maiores com a mems quantidade ou até menor de recursos, as estratégias de segurança cibernética podem tornarem-se inadequadas ou descoordenadas. Podendo ser utilizada não somente nelas mas em praticamente qualquer computador, esse artigo apresenta como solução estratégica visando atender necessidades muitas vezes específicas – com base no tamanho e no tipo de ambiente, orçamento disponível e na sensibilidade das informações que devem ser protegidas-, 11 abordagens sugeridas para reforçar os ambientes computacionais, de qualquer tamanho:

1. Instalar uma solução Firewall:

Embora às vezes tentador desabilitar o firewall do Windows, configurado adequadamente permite bloquear muitas explorações baseadas na rede. Medida especialmente apropriada para grandes agências com muitas máquinas configuradas de maneira semelhante, para usuários domésticos (pelas restrições dos softwares) existem soluções gratuítas e em didáticas na configuração das permissões, melhorando significativamente a segurança não somente da rede mas também dos programas em execução que eventual ou regularmente estão conectados no mínimo à internet.

2. Desabilitar o recurso AutoRun:

De execução automática, provocando a instalação automatica de programas, deve ser desativado para impedir que os sistemas operacionais iniciem descriteriosamente comandos de fontes externas.

3. Quebrar a Confiança das Senhas:

O controle minucioso das contas locais, especialmente a conta de administrador local, é essencial para isolar e eliminar ameaças. Desativar a capacidade dos computadores de se conectar automaticamente um ao outro interrompe o caminho que os botnets usam para se espalharem pela rede interna. Condição particularmente crítica em ambientes onde equipamentos armazenam informações altamente confidenciais.

4. Considerar a segmentação de redes:

Na maioria dos ambientes computacionais, as estações de trabalho raramente precisam se comunicar entre os departamentos. Eliminar essa capacidade reduz substancialmente a disseminação de botnets. Os responsáveis de TI podem configurar redes virtuais locais (VLANs) privadas ou listas de controle de acesso (ACLs) entre sub-redes para limitar essa exposição. Deve ser muito bem planejada pois em ambientes que misturam comunicações de voz e dados, podem ocasionar redução ou até inexecução da capacidade de negociar circuitos virtuais em tempo real.

5. Reduzir os níveis de privilégio:

É muito mais difícil que o malware se propague por meio do download de unidade de disco rígido ou que os métodos de execução automática assumam um sistema quando os usuários não são administradores de suas próprias estações de trabalho. Evitar que eles sejam administradores também dificulta a disseminação de malware usando suas credenciais de sua, caso o computador seja infectado.

6. Implantar prevenção de intrusões baseada em Hosts:

Para evitar a multiplicação das botnets no sistema, os responsáveis pelo TI devem concentrar proteções adicionais em camadas de rede específicas com base em vulnerabilidades, como em pontos de contato entre hardware e software específicos. Mesmo não corrigindo falhas ou falhas técnicas em sistemas operacionais senão aplicativos, permite dirimir as chances de sucesso ao serem exploradas. Embora ferramentas altamente eficazes, vale lembrar serem relativamente caras e desafiadoras de implantar.

7. Aperfeiçoar o ambiente de monitoramento:

Quanto mais souber o comportamento dos usuários finais e o funcionamento da rede nas atividade normal, mais fácil será determinar em tempo real quando uma infestação de botnet poderá causar anomalias. O monitoramento em tempo real é fundamental, utlizando produtos que coletem dados no tráfego da rede, treinem dispositivos para monitorar anormalidades, detectando e impedindo intrusões. Entretanto, para muitas agências governamentais mesmo com serviços de segurança gerenciados remotamente preenchendo a lacuna, podem apresentar limitações e por isso é indispensável analisar suas competências, deixando o mais próximo do ideal.

8. Aperfeiçoar a filtragem de dados circulando na rede:

As botnets normalmente estabelecem comunicação com um ou mais servidores remotos usados pelos criminosos para recuperar informações privadas. Proibir o tráfego indesejado de sair da rede ou até mesmo entrar, permite interromper essas comunicações e as ameaças associadas à elas, as agências podem implementar mecanismos conhecidos como filtragem de saída. Forçando o tráfego da Internet a circular por meio de proxies ou filtros de conteúdo, ou então implantar uma solução de prevenção de perda de dados (DLP).

9. Implantar servidores proxy:

Embora impraticável bloquear todo o tráfego de saída potencialmente hostil, forçar o tráfego de saída através de um servidor proxy permite um ponto centralizador secundário no monitoramento e controle de acesso à Web, eliminando algumas tentativas de encapsular as medidas de segurança. A filtragem de conteúdo é igualmente adequada e sugerida.

10. Implementar filtragem baseada em reputação:

Soluções como o IronPort e o WebSense permitem ajudar a bloquear emails e solicitações de endereços que tenham reputação como possíveis fontes de malware.

11. Monitorar as pesquisa DNS:

A maneira como um computador ou outro disponsível responde a consultas do sistema de nomes de domínio (DNS) costuma ser um sinal de alerta antecipado dela poder estar infectada. Especificamente nas respostas dessas estações de trabalho contendo valores muito baixos de tempo de vida (TTL – Time To Live : tempo de resposta por ms entre a origem e o destino dentro de uma rede) devem ser monitoradas, por conta do TTL baixo sugerir infecção. Esse tipo de monitoramento permite aos administradores do sistema atuare antes da infecção propagar-se descontroladamente.

[CONCLUSÃO]

As sugstões acima pretendem oferecer uma referência na definição de uma estrutura estratégica de segurança cibernética, permitindo dimensionar para diversos ambientes de rede, indiferente do tamanho do departamento de TI e orçamento. Muitos deles podendo – e incentivado – a utilizar mesmo em computadores domésticos pois as práticas criminosas não ficam restritas somente a ambientes profissionais.