De nome feio e esquisito e também conhecido com Downadup, essa é a praga cibernética que está dando o que falar nas empresas de todo o mundo. Afinal, os números alcançados pelo malfeitor são expressivos. Segundo informações obtidas no site do Instituto de Segurança ISC (isc.sans.org), aproximadamente 15 milhões de PCs já podem ter sido infectados até o momento. Mas este número pode chegar a 90 milhões conforme diversas publicações especializadas. A sua repercussão é tão grande, que a Microsoft anunciou uma recompensa de Duzentos e Cinquenta Mil Dólares para quem der pistas que levem aos criadores da praga.

Este Worm – Verme em inglês, atinge sistemas operacionais Windows e se propaga através das redes locais e dos pendrives, realizando diversas ações danosas ao ambiente. A principal porta de entrada do conflicker, é o famoso Pendrive. Através da funcionalidade de Autorun do Windows, é executado um código malicioso que contamina a máquina local e a partir daí, são realizadas tentativas de infecção remota em outras máquinas da rede local. Ao mesmo tempo, o Worm realiza um ataque de força-bruta no Active Directory, domínio do Windows, para tentar descobrir a senha do Administrador local. Com isso, muitas senhas são bloqueadas automaticamente se a funcionalidade de bloqueio por tentativas de senha errada estiver habilitada criando um verdadeiro caos aos administradores de rede. Tal ação, pode paralisar um ambiente inteiro. Um grande banco Brasileiro chegou a ter suas atividades suspensas por alguns minutos devido ao conflicker. As máquinas infectadas não chegam a parar de funcionar totalmente, mas o antivírus para de funcionar, expondo ainda mais a outras novas ameaças. Segundo a Secureworks (www.secureworks.com), o objetivo final dos seus criadores, pode ser a venda posterior de um código que limpe a máquina infectada, numa tentativa de extorsão. Maiores informações sobre o conflicker e como removê-lo, podem ser obtidas no site https://www1.rnp.br/cais/alertas/2009/cais-alr-2009-2a.html

Infelizmente, um dos grandes responsáveis pela grande proliferação deste tipo de ameaça são os administradores de redes, técnicos de suporte, enfim, os profissionais que são de fato responsáveis pela manutenção dos ambientes computacionais. O grande erro consiste na falta ausência de preocupação com a atualização dos softwares dos servidores e estações. A ausência de ferramentas de proteção, segurança e antivírus eficazes é também um fato alarmante que merece atenção. Além disso, o uso indiscriminado de pendrives dentro das organizações, pode expor os ambientes às varias ameaças como esta, além de ser uma enorme porta de saída para o roubo de informações corporativas.

Os profissionais de TI em sua maioria, seguramente atuam muito mais nas ações corretivas, deixando de lado ações preventivas. No entanto, agindo preventivamente, problemas como este, poderiam ser evitados com práticas simples de serem adotadas no dia-a-dia. Como ameaças deste tipo tendem a crescer seguem algumas dicas:

1. Mantenha TODOS os sistemas operacionais e aplicativos atualizados. A Microsoft disponibiliza gratuitamente a ferramenta WSUS, que cria um repositório local com todas as atualizações para seus produtos. Os sistemas Linux, já possuem ferramentas que possibilitam a atualização automática constantes dos seus pacotes.

2. Desabilite a funcionalidade Autorun das estações e servidores. Através de pesquisa no Google, facilmente pode-se obter instruções de como realizar esta tarefa.

3. Bloqueie a utilização de pendrives nos ambientes corporativos. As informações de uso interno devem estar contidas nos servidores da empresa e não nos pendrives pessoais.

4. Instale ferramentas de segurança – antivírus, antimalware, etc de fabricantes conhecidos e consagrados. Muitas vezes o mais barato pode sair caro.

5. Implante uma política de senhas realmente eficiente. Não subestime os usuários, achando que senhas longas e complexas serão um problema. Afinal, todos seres humanos são iguais e capazes de realizar as mesmas práticas. Peça a ele a senha do cartão do Banco e veja como ele se comportará. A senha da rede local deve ser tratada com o mesmo sigilo e cuidado.

6. Nunca conecte-se em redes públicas com seus dispositivos corporativos. Caso tenha essa necessidade, assegure que há uma ferramenta de firewall configurada adequadamente e funcionando.

7. Implante ima solução de controle de acesso à internet realmente eficiente. Há soluções gratuitas e eficazes que podem resolver muitos dos seus problemas. O Proxy Squid é um grande exemplo.

Maiores informações com a Qualitek Tecnologia – www.qualitek.com.br

Rodrigo Jorge – Consultor de Segurança da Informação