Um grupo de pesquisadores nos Estados Unidos desenvolveu uma nova estratégia para combater uma das piores pragas da internet, os worms (vermes, em inglês). Estes são programas com a capacidade de se multiplicar sozinhos por redes de computadores, infectando um grande número de máquinas. Diferentemente dos vírus, os worms não precisam estar associados a um programa instalado no computador atacado. Eles vasculham a internet aleatoriamente, em busca de pontos frágeis para invadir.
Ness Shroff, professor da Universidade do estado de Ohio, e colegas descrevem em artigo na edição atual da revista IEEE Transactions on Dependable and Secure Computing um método que, afirmam, ajudará os administradores de rede a identificar e isolar máquinas infectadas, mantendo-as em quarentena para reparos, sem que afetem outros terminais.
‘Os worms espalham-se muito rapidamente. Eles aumentam o tráfego da internet espalhando lixo ou sobrecarregam redes, fazendo com que elas caiam’, diz Shroff.
Um dos mais nocivos worms foi o Code Red, que, em 2001, causou prejuízos estimados em US$ 2,6 bilhões em perda de produtividade de empresas de todo o mundo. Foram infectados mais de 350 mil computadores em menos de 14 horas. Nos Estados Unidos, o programa também derrubou sistemas de controle de trânsito e até o call center 911, usado para emergência.
Colocar em quarentena
Em busca de maneiras para barrar a infecção digital ainda em seus estágios iniciais, antes que provoquem muitos danos, os pesquisadores desenvolveram um modelo matemático para avaliar a proliferação. O modelo calcula a probabilidade e a intensidade de um worm se espalhar, de acordo com o número máximo de varreduras (interações com a rede) que uma determinada máquina realizou antes de cair.
Em simulações computacionais contra o Code Red, o método foi capaz de fazer com que o worm se limitasse a atingir menos de 150 máquinas em toda a internet. O modelo também foi experimentado com sucesso contra o SQL Slammer, que surgiu em 2003.
O método inclui colocar em quarentena qualquer máquina que realizar mais de 10 mil varreduras em uma rede, número muito superior à média mensal de interação de um terminal com a rede na qual se encontra conectado.
Limitar a capacidade de danos
‘A questão é que uma máquina infectada atinge esse número muito rapidamente. Um worm precisa atingir muitos endereços IP [de cada máquina] para que possa se proliferar’, disse Shroff.
Para utilizar o método, administradores de sistemas precisam instalar softwares que monitorem o número de varreduras efetuado em suas redes. Devem também prever eventuais quedas na performance após colocarem terminais ou partes da rede em quarentena.
‘É uma boa alternativa, mas, infelizmente, não se trata de uma solução completamente à prova de falhas. O ponto principal é que precisamos continuar a desenvolver constantemente técnicas que limitem a capacidade de danos de vírus, worms ou outros programas malignos’, diz Shroff.
O artigo ‘Modeling and automated containment of worms’, de Ness Shroff e outros, publicado no vol. 5, nº 2 da IEEE Transactions on Dependable and Secure Computing, pode ser lido por assinantes aqui.