Grupo leva luta Conficker a um novo nível

Formar uma aliança global para combater o crime cibernético não é fácil, e construir uma organização que pode ficar um passo à frente dos cibercriminosos em mais de 100 países é quase impossível. Mas um grupo de voluntários que se auto-denomina Conficker Working Group acha que pode fazê-lo. O grupo foi formado no começo deste ano para tentar conter a enorme rede de computadores infectados pelo worm Conficker, que na pior das hipóteses foi infectado. 10 milhões de computadores.

A gravidade do problema ajudou o grupo a sair do papel, à medida que especialistas técnicos das principais empresas de Internet do mundo se reuniam informalmente. Inicialmente eles se autodenominaram Conficker Cabal, mas agora eles abrandaram o nome, chamando a si mesmos de Conficker Working Group.

[Leia mais: Como remover malware do seu PC Windows]

É uma história improvável, de acordo para Paul Vixie, presidente do Internet Systems Consortium, e um dos membros do grupo. "Foi formado como uma brigada de caçamba porque havia uma casa em chamas", disse ele. "Não havia como você ter esse nível de talento focado nisso se fosse com um objetivo de longo prazo, 'Puxa, vamos moldar o cenário de segurança da Internet'".

Mas agora que está funcionando, membros Espero que possa ser usado para combater outras ameaças da Internet no futuro.

O grupo trabalha de maneira informal e ad hoc. Existe um site e algumas listas de discussão, e a teleconferência ocasional. Sem contratos, sem taxas, sem workshops e sem boletins informativos

"Há muitas empresas que estão colocando muito em risco para fazê-lo", disse Rick Wesson, CEO da consultoria de segurança de rede Support Intelligence. "Isso enguliu o tempo de todo mundo, não estamos sendo pagos para fazer isso, e é fantástico. Todo mundo se sente bem em fazer isso."

As apostas são altas. Agora estimado entre 2 milhões e 4 milhões de computadores, o Conficker seria o maior botnet do mundo - em muito. Geralmente botnets com algumas centenas de milhares de computadores são considerados uma grande ameaça.

A abordagem do Grupo de Trabalho remonta aos primórdios da Internet, quando um grupo de entusiastas unidos mantinha a rede funcionando. "Era como uma festa de construção de celeiro Amish", disse Vixie. "Todos iriam para lá e terminariam."

Nos anos 90, o espírito de cooperação diminuiu, à medida que pessoas com habilidades técnicas eram apanhadas por empresas de Internet, muitas das quais estavam presas em uma competição feroz entre si. Mas recentemente, essa sensação de "competição dura" diminuiu, disse Vixie. "As marés econômicas são o que são, as pessoas estão focadas em preservar o que resta da indústria, em vez de adotar uma fatia maior de mercado."

No ano passado, Vixie experimentou esse novo espírito de cooperação quando se viu em um sala cheia de concorrentes, todos trabalhando uma solução para um bug importante no Sistema de Nomes de Domínio (DNS). De forma mais impressionante, nenhum trabalho vazou até que todos tivessem a chance de corrigir o problema.

Com o Conficker Working Group, as coisas foram difíceis às vezes. Originalmente configurado para evitar que duas variantes anteriores do Conficker atualizem seu software, o grupo teve um revés com o código Conficker.C mais recente. "Há evidências de que houve uma atualização que escorregou", disse Andre DiMino, co-fundador da The Shadowserver Foundation, um grupo de cibercrime que faz parte do Grupo de Trabalho.

Enquanto especialistas em segurança acreditam que ainda há um Um grande número de infecções Conficker.A e Conficker.B, ninguém sabe realmente quantas delas conseguiram atualizar. Eles terão uma idéia melhor disso na quarta-feira, no entanto, quando os clientes do Conficker.C começarem a usar um algoritmo novo, muito mais complicado, para procurar instruções de um servidor de comando e controle.

Versão anterior do worm cada um examina 250 sites diferentes todos os dias para obter instruções. Ao trabalhar com registradores de nomes de domínio para bloquear os criminosos desses domínios da Internet, o Grupo de Trabalho conseguiu manter o Conficker fora do alcance de seus criadores, por algum tempo, pelo menos.

Mas agora com o novo algoritmo, esse trabalho se tornará muito mais difícil. Em vez de centenas de domínios por dia, eles terão que bloquear 50.000. E eles terão que trabalhar com mais de 100 registradores de domínio em muitos países diferentes, pois o Conficker começa a procurar por atualizações, muitos recantos e fendas diferentes da Internet.

Se o Conficker Working Group será capaz de acompanhar esse jogo inédito de gato e rato continua a ser visto. Mas Wesson e DiMino são otimistas.

Vixie não tem tanta certeza. "Eu vou e volto", disse ele. "Depende se estou ou não na parte do dia em que estou tomando café ou na parte do dia em que estou bebendo cerveja."