Worm Blaster: algumas lições em segurança
Arquivo do Clipping 2003
18 de agosto de 2003
Veículo: Módulo Security Magazine
Autor: Luis Fernando Rocha
Segunda-feira, dia 11/08. A Symantec divulga oficialmente o registro de mais de 1,8 mil submissões pela ação do worm Blaster (Lovsan). Sexta-feira, dia 15/08. Cálculos dos especialistas da Trend Micro atestam que o Blaster tem a capacidade de atingir até 150 milhões de computadores em todo o mundo, pois ele ataca qualquer plataforma Windows de 32 bit que não esteja com o patch de segurança disponibilizado pela Microsoft.
No Brasil, Cristine Hoepers, Analista de Segurança Sênior do NIC BR Security Office (NBSO), revela que o grupo recebeu uma grande quantidade de notificações relacionadas com a atividade do Blaster. Por último, a McAfee constata que a praga já atingiu mais de 800 mil computadores pelo mundo.
Diante desse cenário, medidas como criar, implementar e administrar políticas de atualização nunca foram tão essenciais num sistema corporativo como nesses últimos tempos. Assim, essas podem ser as principais lições que o worm Blaster, praga virtual mais ativa em agosto, traz para os profissionais da área de tecnologia da informação.
Como funciona o Blaster
Cristine Hoepers, do NBSO, diz que é importante deixar claro que o worm Blaster se propaga através da exploração de uma vulnerabilidade do sistema operacional Windows. "Ele não é um vírus e não se propaga via e-mail. Também não há notícias de nenhuma variante que tenha efeitos como a 'destruição' do HD da vítima infectada, ou algo semelhante", explica.
Segundo a especialista, o maior objetivo deste worm parece ser o ataque de negação de serviço, a ser disparado contra o site windowsupdate.com. "A maior parte das redes, e a própria Microsoft, estão tomando providências para tentar mitigar o efeito do worm, mas é possível que diversas redes sintam o efeito do congestionamento de tráfego causado por máquinas infectadas tentando atacar o site da Microsoft", alerta.
Blaster: qual é o seu segredo
Analisando os principais ranking de vírus mais ativos mensalmente, julho foi considerado um mês relativamente calmo em termos de atividades de pragas virtuais. Só nesses primeiros 15 dias de agosto, duas pragas já alcançaram grande disseminação (Mimail e Blaster).
Assim, a falta de padrões rígidos de atualizações de programas explicaria o sucesso dessas últimas pragas? Segundo Hoepers, do NBSO, o sucesso, por assim dizer, de códigos maliciosos como o Blaster se deve a um conjunto de fatores.
"Os principais são o fato de existir um grande parque de máquinas instalado utilizando o software vulnerável e a falta de cultura de segurança. Nesse cenário a Internet conta hoje com milhares de usuários finais que possuem máquinas conectadas por longos períodos na Internet e, em geral, estes usuários não possuem firewalls pessoais instalados, nem o hábito de manter seus antivírus atualizados. Quando um worm como este entra em atividade estes usuários são os primeiros atingidos", explica.
Dicas de prevenção e combate
Assim, quais seriam os conselhos do NBSO para prevenção e combate à ação do worm Blaster? "Para os administradores de redes a recomendação é que eles coloquem filtros na borda de suas redes, de forma a tentar impedir que máquinas externas infectem as máquinas internas da rede. Para os usuários nossa recomendação é que procurem ter sempre um antivírus atualizado e que possuam um firewall pessoal", relata Cristine Hoepers.
A especialista recomenda ainda a leitura detalhada na seção sobre Worms, da Cartilha de Segurança para Internet. Quem quiser pode conferir também as explicações sobre as vulnerabilidades exploradas pelo worm Blaster na reportagem "Especialistas alertam para exploit de falha no RPC do Windows".
Saiba mais
CERT® Advisory CA-2003-20 Worm W32/Blaster
CERT® Advisory CA-2003-19 Exploração de Vulnerabilidades na Interface RPC da Microsoft
