Para o computador ou rede de computadores atacados, isto traduz-se numa série de ataques de denegação de serviço distribuídos (DDoS), que se replicam continuamente, consumindo largura de banda até que o tráfego atacante acabe por ser bloqueado. Para o “atacante”, o principal problema é que, sem saber, está a incorrer numa actividade criminosa. Os seus computadores e a sua rede estão a ser utilizados ilicitamente e poderá nunca chegar a ter consciência disso, até que seja denunciado por alguém devido a essa actividade. Isto sem contar com a quebra de rendimento que a sua rede sofre ao ser utilizada uma parte considerável dos recursos de TI na realização dos ataques.

Uma rede inteligente, o melhor aliado contra as “botnets”

É possível mitigar, embora não eliminar completamente, as consequências de cair dentro de uma “rede zombi”, se formos capazes de utilizar adequadamente todas as ferramentas que uma rede de última geração põe hoje em dia à disposição dos responsáveis de TI. Estas ferramentas são muito variadas, e vão desde as tecnologias de prevenção e detecção de intrusões aos sistemas de gestão de informação de segurança (correlação de eventos, gestão de logs, etc), passando pelo controlo granular de acesso à rede por porta, tipo de tráfego, etc.

Assim, uma organização atacada por uma botnet pode tomar uma série de medidas, como individualizar o tipo de tráfego que pertence ou que está a gerar a rede “zombi”, graças às possibilidades de bloqueio de tráfego baseado em padrões que o sistema IDS oferece.

É, ainda, possível determinar com bastante exactidão quem está a gerar esse tráfego de fora da nossa rede, graças às capacidades de correlação de eventos e fluxos de tráfego que as ferramentas SIEM proporcionam.

Por último, é possível aplicar contra-medidas, utilizando sistemas de gestão de segurança de rede capazes de transmitir em tempo real aos “firewalls” instruções para que bloqueiem ou limitem um determinado tráfego.

No que se refere à organização “atacante”, entendendo como tal a que está a ser utilizada maliciosamente pelo verdadeiro atacante, que é o promotor da rede zombi, pode também realizar uma série de acções para evitar ser usada desta forma.

Em primeiro lugar, tal como a rede atacada, pode identificar que tipo de tráfego corresponde à botnet, utilizando também as possibilidades de bloqueio de tráfego dos sistemas IDS. Pode também utilizar as ferramentas SIEM para comprender e identificar quem está a gerar esse tráfego malicioso, embora neste caso a partir de dentro da sua própria rede. Uma vez feito isto, pode ainda aplicar contra-medidas, utilizando as capacidades de controlo e segurança integradas na electrónica de rede. Assim, pode-se limitar ou bloquear o tráfego correspondente a qualquer host infectado, inclusive dos servidores virtuais que estão a aparecer e desaparecer em diferentes pontos da infra-estrutura.
 
A melhor medida, a prevenção

Além de todas estas medidas ao nível da rede, nunca é demais aplicar medidas de prevenção. Melhor que eliminar ou mitigar os problemas que resultam das botnets, é começar desde logo por nunca fazer parte de uma.

Para tal, valem as mesmas ferramentas usadas para prevenir a infecção por vírus, já que o mecanismo que os atacantes utilizam para capturar computadores e redes é o mesmo de uma infecção: introduzir e executar um vírus no computador atacado, explorando uma vulnerabilidade nele existente.

Portanto, as recomendações são as que geralmente se fazem em relação a qualquer vírus: manter actualizado o software antivírus, estabelecer protocolos claros contra o download e execução de software na rede da empresa, proteger o correio electrónico, etc.

Autor : Massimiliano Macri - Director del Area de SegurançaSur EMEA - Enterasys Networks