SPAM STORMS

Ondas de Perigo na Web

por Pedro Penido
www.meiodigital.wordpress.com

Recentemente estive pesquisando assuntos relacionados à Internet Security, o que

envolve todo tipo de questão relacionada à segurança de dados em ambientes
conectados à Internet.

Navegando através de sites conhecidos, como Symantec e WebSense, fiquei

impressionado com a situação global do tráfego de dados, e os maiores envolvidos
diretamente neste drama são os famosos SPAMs.

No entanto, um dos pontos mais interessantes é o termo cunhado para lidar com
verdadeiras ondas de infecção que assolam a rede mundial de computadores de tempos
em tempos: Spam Storms, ou seja, Tempestades de SPAM.

Spam Storms

Não existem definições exatas do que são SpamStorms. Serviços de proteção diferentes
apontam para diferentes concepções sobre o modus operandi e a estrutura destes tipos
de ataque, mas, pelo que percebi, todos concordam em uma coisa, aliás, em 3 coisas:

1. Há uma conexão com sistemas que distribuem os programas geradores de

tempestades, os StormNests. Esta conexão geralmente é feita a partir de um
SPAM que induz o usuário a clicar em determinado link e fazer o download de
programas executáveis (.exe, por exemplo).
2. Uma vez instalado (executado), a máquina já é considerada “insegura” e começa
a espalhar mais spams, reprodutores de mensagens que redirecionam a sistemas
onde o arquivo corruptor está instalado. Muitas vezes os sistemas acessam os
bancos de dados de e-mails da máquina e espalham a mensagem por toda a
lista, ou por qualquer e-mail disponível nas informações da máquina infectada.
Vale lembrar que, assim como e-mails, quaisquer outros dados não são mais
seguros, ou seja, são passíveis de violação, infecção, utilização, remoção e
reprodução não autorizadas. As máquinas infectadas são então chamadas de
ZombiesHosts (servidores zumbis).
3. Em determinados momentos todos os Zumbis e StormNests são utilizados para
concentrar envio de mensagens e dados para servidores específicos, gerando
Denial-of-Service (DoS), isto é, excesso de tráfego que causa a “queda” ou
“lentidão” nos serviços e recursos dos sistemas alvo.

Durante todo este processo, milhões de máquinas são “infectadas e recrutadas”, ou

“infectadas e deixadas à espera” para concentrar ataques em alvos comuns.
A Onda de Devastação

Apesar do desenvolvimento de ferramentas de defesa ser cada vez mais veloz e preciso,
o número de SPAMs é cada vez maior. A característica básica das Spam Storms é a
amplitude da mensagem. Geralmente são relacionadas a temas que sempre chamam a
atenção e inflamam a curiosidade. O vírus “I LOVE YOU” foi um marco na história da
segurança na Internet e sua propagação se deu justamente pela mensagem ser um
tanto quanto “interessante” aos olhos de muitas pessoas. Entre os SPAMs que deixaram
marcas nos gráficos de “Tráfego de Problemas” das empresas de segurança, os que
eram referentes a Desastres Naturais, Agências de Segurança (FBI e CIA foram os mais
citados) e Momentos Públicos (Dia da Independência dos Estados Unidos, Natal e
Eleições Norte-Americanas, por exemplo) fizeram a diferença e deixaram nas alturas os
indicadores.

Quanto mais amplo e mais atiçar a curiosidade das pessoas, mais chances de sucesso
uma ameaça como estas pode ter.

Estados Unidos e Brasil lideraram as ondas de Spams neste mês de Dezembro. Cada um
dos países foi fonte de 16% no aumento do volume mundial de SPAMs registrados pela
Symantec, sendo acompanhados de perto pela China, com 14% do volume. No entanto,
de maneira geral, os Estados Unidos é o líder na propagação de SPAMs, sendo
responsável por 35% do tráfego. Brasil e China geram apenas 5% do tráfego mundial,
cada um.

A SpamStorm responsável por esse crescimento em Dezembro foi o Natal, obviamente,

com um número relevante de mensagens fazendo referências aos Atentados de
Mumbai, acontecidos entre os dias 26 e 29 de Novembro.

A Queda das ImageSpams

De acordo com os relatórios da Symantec, 2007 foi o ano das imagens.

Nesse ano 52% do tráfego de spams chegou a ser veiculado por meio de imagens. No
entanto, devido ao tamanho das mensagens (superiores a 100kb), o efeito não foi o
esperado pelos spammers, que reduziram seus arquivos. Em Novembro de 2008, estas
mensagens mantiveram média de 10kb a 50kb, uma mudança drástica no modus
operandi, para fazer frente ao tamanho médio dos spams comuns (que varia de 02 a
05kb).
O Caso McColo.com

Se pudéssemos enxergar todo o cenário dos SPAMs e outros Malwares como uma
guerra real, poder-se-ia dizer que a queda da McColo.com assemelha-se à conquista de
um ponto estratégico e à neutralização de centrais de controle de operações e
armamento.

De fato, com o desligamento dos servidores da McColo.com, houve uma diminuição

evidente no tráfego mundial de spams: foram reduzidos a apenas 1/3 do que eram
horas antes.

No entanto, especialistas de vários centros de segurança apontam que este momento

de triunfo na guerra contra os malwares não vai durar muito. O negócio é muito
rentável para ser abandonado sem novas tentativas de fazê-lo funcionar novamente. E
para tanto, indicam Rússia e China como possíveis novos centros de organização de
facções criminosas da rede mundial de computadores.

O Cenário pós McColo.com

Às 21h30 do dia 11 de Novembro de 2008, provedores de acesso cortaram a conexão

dos sistemas do domínio McColo.com, a partir de muitas solicitações de firmas de
segurança que apontavam para os IPs da McColo.com.

Poucas horas depois do desligamento, o volume de tráfego de spams nas redes de

observação da Symantec cai 65%. Um fato interessante e surpreendente.

Apesar dos registros se manterem estáveis durante todo o mês, com poucos picos de
volume de spams, analistas da Symantec observaram que estes picos (gerados por
Storms) estavam recheados de mensagens oriundas em sua grande maioria de
servidores localizados na China.

Muitos dizem que em pouco tempo a atividade de spams voltará aos padrões de antes,
em termos de periculosidade e volume, no entanto, o lado otimista da história vem de
Matt Sergeant, especialista em tecnologia antispam da MessageLabs. Em entrevista ao
site TheRegister.com, Matt disse que manter servidores em lugares como Rússia e China
aumenta consideravelmente os custos operacionais da prática de SpamStorms e
distribuição de malwares.

Aparentemente o ganho é mais quantitativo e menos qualitativo, uma vez que baseado
nos altos valores envolvidos nesse tipo de negócios, o preço será justificável ante a
possibilidade de lucros.
 Volume Crescente e Preocupante

No entanto, falando em quantidade, de acordo com informações publicadas em Julho

pela Kaspersky, o número de códigos maliciosos detectados em 2007 chegou aos 2
milhões, mais que o total de todos os anos anteriores juntos. A previsão é que em 2009
este número seja de 20 milhões. A Kaspersky Lab ainda aponta que nessa situação existe
um risco sério: “o volume começa a sobrecarregar os laboratórios de segurança!”

Em seu relatório de 2008, a Cisco apresentou mais alguns dados:

• Spams correspondem a 90% do tráfego mundial de E-mails;

• Em Setembro e Outubro de 2008 a marca de spams por dia beirou os 200 bilhões;
• O número de Arquivos Anexos abertos a partir de e-mails diminuiu
consideravelmente, enquanto o número de Links Maliciosos abertos a partir de e-
mails aumentou.

Referências utilizadas

• Symantec State of Spam Report - November 2008

• Symantec State of Spam Report - December 2008
• Web Sense Security Labs - State of Internet Security - January/June 2008
• Information Week Articles – 12/2008
• Cisco 2008 – Anual Report – 10/2008
• TheRegister.com – 12/2008
• Novos Padrões de Segurança na Internet – Kaspersky Lab – 07/2008