Pesquisadores de segurança tentam constantemente derrubar os arquivos maliciosos que criminosos hospedam na web. Provedores de acesso colaboram, recebendo as denúncias e agindo para tirar computadores invadidos e arquivos infectados do ar. Porém, especialistas alertam para uma nova estratégia: a obtenção de endereços IPs próprios, que dão aos criminosos um status de “provedor de internet” – o que dificulta a remoção da atividade maliciosa.

Também nesta semana: dados da TAM vazam e são usados em golpe virtual, Trend Micro critica recomendações da Microsoft – e erra.

Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.

Quando um criminoso hospeda um vírus na internet, ele precisa da complacência do provedor de acesso onde o arquivo ficará armazenado. Esse raramente é o caso – os provedores não querem hospedar vírus, e, por isso, uma simples denúncia ao provedor resulta na remoção da praga digital, evitando que mais internautas sejam infectados. Pesquisadores de segurança alertam, no entanto, para um novo problema: criminosos têm criado “provedores de internet” com o objetivo único de manter os componentes maliciosos no ar por mais tempo.

Os malfeitores conseguem obter uma faixa própria de endereços IP. Essas faixas são concedidas a empresas ou organizações que prestam serviços na internet. Como o número de endereços IP é finito, é necessária uma justificativa para que os IPs sejam fornecidos. Quando se possui uma faixa, é possível “parear” com outros provedores de internet e a responsabilidade pelo que ocorre naqueles IPs é do próprio responsável por eles.

Como os próprios criminosos são responsáveis pelos IPs, os arquivos maliciosos tendem a ficar mais tempo on-line, até que outros provedores percebam a atividade maliciosa. Só então que os IPs maliciosos são bloqueados.

Segundo especialistas ouvindo pelo site Threatpost, os criminosos podem fazer isso devido às dificuldades de fiscalizar os pedidos que são feitos. Os endereços IPs são gerenciados localmente pelos chamados RIRs (Regional Internet Registries). São cinco RIRs que atendem o mundo todo. Por isso, cada um é responsável por mais de um país. Devido às variações na regulamentação de cada território, em alguns casos é muito difícil descobrir se uma determinada empresa que solicita um endereço realmente existe e necessita da faixa.

Como resultado, criminosos conseguem obter sua faixa de endereços de forma relativamente simples, muitas vezes com apenas uma carta ao órgão responsável. O caso mais emblemático é o da Russian Business Network (RBN), um provedor de acesso especializado em prestar serviços a criminosos.

“Quando você é dono do próprio espaço de IP, você é seu próprio provedor de acesso. Se houver um problema, com quem você vai falar?”, disse Alex Lanstein, pesquisador de segurança da FireEye, ao Threatpost. Para Lanstein, as organizações que concedem as faixas não têm motivo para se importar, porque “não são a polícia da internet”.

Embora o fato de possuir uma faixa de endereços facilite o bloqueio dos mesmos, isso gera uma dificuldade de reutilização. Se os endereços forem realocados para outras empresas, eles podem ainda estar bloqueados devido à atividade maliciosa. Isso dificulta que novos serviços legítimos operem nesses espaços. Isso contribui para o problema de escassez de endereços IP, que devem acabar entre fevereiro de 2010 e maio de 2011.

É normal que golpes na web utilizem o nome de empresas conhecidas para atrair as vítimas. No entanto, circularam nas últimas semanas e-mails maliciosos que usam não apenas o nome, mas dados da companhia aérea TAM. As mensagens acompanham o nome completo da vítima e também o número do cartão de fidelidade.

Em nota à imprensa, a TAM admitiu que golpes com o nome da empresa e dados do cliente estão em circulação desde o dia 14 de dezembro. Nenhuma explicação a respeito de como os criminosos obtiveram os dados foi fornecida.

O golpe informa à vítima que a TAM estaria oferecendo uma viagem nacional gratuitamente. Para obter mais informações, é preciso abrir um arquivo. O link termina em “.doc”, porém o internauta é imediatamente redirecionado a um arquivo executável (“.exe”). Se executado, o software malicioso instala ladrões de senhas bancárias.

A TAM informou que nunca envia e-mails dessa natureza.

>>> Trend Micro critica recomendação da Microsoft de 2003 – e erra
A fabricante de antivírus japonesa Trend Micro publicou esta semana uma crítica a recomendações de segurança que a Microsoft fez em 2003. Em um artigo, a Microsoft faz sugestões bem específicas para melhorar o desempenho de programas antivírus em controladores de domínio, indicando que alguns arquivos não precisam ser examinados por antivírus.

Em vez de se limitar ao mais evidente – o fato que as recomendações são para servidores que controlam domínios e não para usuários finais –, o especialista David Sancho, da Trend, especula que essa lista de arquivos poderia ser abusada por criminosos, que criariam vírus capazes de se alojar neles.

No post intitulado “recomendações da Microsoft para exames de antivírus trazem riscos”, a Trend afirma que “criminosos virtuais podem estrategicamente colocar arquivos maliciosos em uma das pastas que são recomendadas para exclusão ou utilizar uma extensão de arquivo que também está excluída”. Na última revisão do artigo, feita em 2006, já consta afirmações para “não [excluir] nenhum desses [arquivos] com base na extensão de nome do arquivo” – diferentemente do que a Trend sugere que a Microsoft havia recomendado.

Também não é considerado o fato que essa lista é pública há pelo menos seis anos e até agora nenhum vírus fez isso. A própria Trend admite que “não há risco de seguir essas orientações nesse momento”. A Microsoft também sugere que recomendações do fabricante do antivírus devem prevalecer sobre o guia oferecido.

Em resposta às críticas, a Microsoft informou que o artigo está sob revisão. Na opinião da coluna Segurança para o PC, no entanto, nem todas as recomendações de segurança – principalmente as destinadas aos usuários mais técnicos, como é caso – precisam ser perpétuas. E seis anos sem nenhum problema é um prazo bom em uma indústria que muda tanto como é a de segurança.

A coluna Segurança para o PC de hoje fica por aqui, e volta apenas na próxima quarta-feira (30) com o último pacotão de segurança de 2009. A coluna deseja a todos os seus leitores um feliz Natal.

* Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades. Na coluna “Segurança para o PC”, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários. Acompanhe também o Twitter da coluna, na página http://twitter.com/g1seguranca.