Medidas actualmente nos ISPs

Anti-Spam

Quanto à detecção, quase todos os fornecedores de sistemas de segurança revelam que a maneira mais comum de fazer isso é por filtragem do tráfego, aplicando regras e heurísticas para determinar se o email é spam ou legítimo. Medidas mais pró-activas, não tão

amplamente utilizadas, incluem a monitorização de picos de tráfego, bem como análises em tempo real de anomalias de tráfego ou métodos de detecção baseados em assinaturas. Para a prevenção de spam, as listas negras eram a medida mais comummente usada para impedir o envio de spam, bem como limitar altos volumes de correio de saída (Outbound rate

limit). Outras medidas incluem a execução de antivírus de saída e gestão ou bloqueio da porta

de acesso 25 (a porta frequentemente utilizada para email).

Uma filtragem efectiva possui efectivamente gestão de listas negras, filtragem de conteúdo e autenticação de remetente.

Na autenticação do remetente, SMTP AUTH é o método de autenticação do remetente dominante, com SMTP TLS e SPF também utilizados. Mas métodos de Autenticação por DKIM têm aumentado significativamente (ndr: isto são tudo métodos técnicos para tentar verificar a origem de uma comunicação).

Depois de detecção de spam, a maioria dos fornecedores adopta uma abordagem colaborativa: tendem a entrar em contacto com o provedor dos serviços (ISP), e só bloquear conexões SMTP, ou endereços IP, se o ISP não resolver o problema.

A gestão de reputação

As listas negras e as bases de dados de reputação são das medidas mais comuns. As fontes dessas bases de dados variam. Muitos dos fornecedores usam as suas próprias bases de dados, compiladas através dos sistemas de Anti-Spam, mas um número superior utilizará bases de dados de reputação específicas, comerciais ou opensource.

“Confiabilidade” de listas negras: Como as listas negras (“blacklists”, na designação

universal) são tão importantes no bloqueio de spam, o seu grau de confiabilidade é crucial. No entanto, é muito comum, entre todos os maiores fornecedores, afirmarem que tiveram os seus servidores adicionados à lista negra (ou retidos incorrectamente. Após estas ocorrências, verificaram que é geralmente difícil ter o problema resolvido, pois é preciso comprovar a legitimidade das redes).

A detecção de botnets

Um cálculo preciso da quantidade de actividade bot é dificultada pela sua natureza em todo o mundo, no entanto, entre 1.000 e 2.000 diferentes servidores activos de Comando e Controlo (C&C) são conhecidos (instalados e a funcionar todos os dias); cada C&C tem uma média de 20.000 computadores infectados (bots): alguns

servidores C&C podem gerir apenas poucos computadores infectados (~ 10), mas os grandes podem gerir milhares de bots (~ 300.000).

[Damballa (2008)]

Baseado em estudos anteriores, sabemos que os ISPs enfrentam dois conjuntos de custos no que diz respeito aos assinantes infectados. Eles têm incentivos para tomar alguma acção contra bots (para evitar os custos de estarem em listas negras, perdendo reciprocidade, etc.), mas não querem tomar acções a mais (para evitar custos de chamadas de clientes, a

responsabilidade legal, etc.).

Para equilibrar estes custos, a maioria dos ISPs decidir tomar medidas apenas contra os bots mais agressivos em suas redes. Isto implica que os ISPs divergem sobre o grau de vigilância contra bots - com base em pontos fortes e pontos fracos dos seus diversos incentivos.

Um estudo científico (Asghari, [2010]) antecipou um conjunto hipóteses empíricas e estatisticamente testadas. A análise dos dados foi realizada em duas etapas: um teste

individual de hipótese, complementado por uma análise de regressão multivariada. O conjunto de dados final contém 741 casos, representando quatro anos de observações para o

desempenho de segurança de 200 Fornecedores. Estes são os principais ISPs que operam em 40 países do alargamento da OCDE. As principais conclusões dos testes de hipótese são as seguintes:

 Os resultados fornecem evidências convincentes de que os ISPs são, na verdade o ponto focal na mitigação de botnets: cerca de 200 Fornecedores de internet respondem por 80% das infecções bot nesses países, e por outras palavras, o grosso do problema está concentrado dentro de um pequeno número de agentes económicos.

 Os ISPs diferem significativamente em relação ao nível de” actividade botnet” que ocorre nas suas redes.

 Outra constatação importante é que a contagem de assinantes está negativamente associado aos níveis de actividade botnet. Isto contradiz a crença comum de que os maiores ISPs têm pior desempenho em termos de segurança.

 Curiosamente, os Fornecedores de cabo têm uma performance melhor do que os Fornecedores de DSL - em média, infecções por bot 10% menores. (Algumas razões para isso poderiam ser o uso dos sistemas existentes de monitorização de tráfego em redes, devido à infra-estrutura de banda larga partilhada. Alternativamente, poderia ser devido à possibilidade de imporem políticas mais rígidas de rede, visto que eles normalmente têm uma grande base de assinantes residenciais).

 Outros resultados incluem descobrir que a taxa de pirataria está positivamente associada aos níveis de actividade botnet.

Ao pesquisar as implicações políticas dessas descobertas, e entre os factores investigados, o mais promissor é que a regulamentação específica parece ser eficaz; e o facto de que os maiores ISPs e Fornecedores de cabo têm níveis mais baixos de actividade botnet (quando correlacionados com o tamanho destes).

No entanto, as questões críticas que precisam de ser respondidas é se no contexto mais amplo da situação da cibersegurança os ISPs devem ser feitos parcialmente responsáveis por atenuar os efeitos das botnets – sim, os cibercriminosos estão nas suas redes, mas não, os ISPs não são polícias e não terão “jurisdição” para impedir crimes. E se não forem os ISPs a ser

responsabilizados quem deveria ser, visto que ninguém possui a capacidade (a infra-estrutura) para debelar o problema.

Tecnicamente, Botnets podem ser detectadas, e existe uma variedade de abordagens: Ao nível dos ISPs, alguns produtos permitem analisar consultas DNS para detectar se um computador foi infectado por códigos maliciosos. Embora esta abordagem pareça ser válida, a verdade é que pode ser muito útil mas não é a solução derradeira: Analisando o tráfego DNS para detectar computadores zombie que estão tentando conectar-se ao seu C&C só é útil se o C&C já for conhecido (da mesma forma que as assinaturas de intrusão baseadas em software de detecção ou de anti-vírus também precisam de ter um registo de que o tráfego é conhecido por ser mau), mas:

 Análise de tráfego DNS não detecta C&C desconhecidos.

 Alguns C&C conectam-se directamente a um IP em vez do nome de domínio.  Alguns C&C são hospedados em computadores comprometidos com um nome de

domínio autêntico, e tido como “bom”.

Então, a fim de detectar tráfego botnet, de forma semelhante aos anti-vírus ou aos sistemas de detecção e de intrusão, os ISPs têm necessidade de combinar vários métodos baseados em listas de reputação, heurísticas e outros, como por exemplo, um método baseado em fluxos (por exemplo, os humanos não conseguem enviar 10 mails por segundo, e se um computador o estiver a fazer, tem um bot a fazê-lo pelo utilizador) [Bauer, Van Eeten (2008)].

Ao nível da rede também é possível fazer algo: como muitos worms tentam infectar computadores próximos, numa rede local (LAN), um honeypot local (um sistema de

computadores que funciona como uma armadilha para os atacantes) pode ajudar na detecção precoce de qualquer software malicioso que está tentando infectar todos os computadores de uma organização. Neste âmbito, administradores locais desempenham um papel chave, uma vez que podem detectar uma infecção e tomar a acção apropriada

Ao nível do computador: existem algumas dicas de como o código malicioso é executado num computador:

 Estranhos nomes de processo.

 A ligação lenta à Internet (o computador pode estar a servir para o envio de spam ou participar num Ataque DDoS).

 Comportamento estranho do browser (alterar a home page, novas janelas que aparecem, etc.).

 Nomes de pastas estranhos e programa adicionados misteriosamente à lista de programas que têm permissão para acesso Internet.

 Alterações na pasta hosts do computador.  Pastas estranhas nos programas de inicialização.

 Objectos novos (plugins e add-ons), acrescentados aos browsers, ou a outros programas.

 Conexões de rede desconhecidas, estabelecidas no computador.

Não obstante a lista supra mencionada, as botnets mais avançadas conseguem estar activas sem que nenhum dos sinais se produza. E para além desse facto, com a quantidade diferente de sistemas operativos, programas, browsers, e especialmente utilizadores (no grau de conhecimento e/ou nos cuidados de manutenção dos seus computadores), a abordagem “endpoint” (ao nível do utilizador) é bastante ineficiente [Pivotal Veracity (2009)].

Conclusão

Existem medidas, a ser implementadas em diversos ISPs, ou pelo menos conhecidas no meio, que debelam com maior ou menor sucesso alguns dos problemas. É do conhecimento comum que soluções instaladas na rede, ao invés de no endpoint (nos computadores clientes), podem produzir maior impacto.

Alguns países e iniciativas privadas já deram os primeiros passos face a esta situação, conforme é comprovado adiante neste documento.