Agência Fapesp - 11/06/2008
Um grupo de pesquisadores nos Estados Unidos desenvolveu uma nova estratégia para combater uma das piores pragas da internet, os worms (vermes, em inglês).
Esses são programas com a capacidade de se multiplicar sozinhos por redes de computadores, infectando um grande número de máquinas. Diferentemente dos vírus, os worms não precisam estar associados a um programa instalado no computador atacado. Eles vasculham a internet aleatoriamente, em busca de pontos frágeis para invadir.
Máquinas em quarentena
Ness Shroff, professor da Universidade do Estado de Ohio, e colegas descrevem em artigo na edição atual da revista IEEE Transactions on Dependable and Secure Computing um método que, afirmam, ajudará os administradores de rede a identificar e isolar máquinas infectadas, mantendo-as em quarentena para reparos, sem que afetem outros terminais.
"Os worms se espalham muito rapidamente. Eles aumentam o tráfego da internet espalhando lixo ou sobrecarregam redes, fazendo com que elas caiam", disse Shroff.
Um dos mais nocivos worms foi o Code Red, que em 2001 causou prejuízos estimados em US$ 2,6 bilhões em perda de produtividade em empresas de todo o mundo. Foram infectados mais de 350 mil computadores em menos de 14 horas. Nos Estados Unidos, o programa também derrubou sistemas de controle de trânsito e até mesmo o call center 911, usado para emergência.
Infeccção digital
Em busca de maneiras de barrar a infecção digital ainda em seus estágios iniciais, antes que provoquem muitos danos, os pesquisadores desenvolveram um modelo matemático para avaliar a proliferação. O modelo calcula a probabilidade e a intensidade de um worm se espalhar, de acordo com o número máximo de varreduras (interações com a rede) que uma determinada máquina realizou antes de cair.
Em simulações computacionais contra o Code Red, os método foi capaz de fazer com que o worm se limitasse a atingir menos de 150 máquinas em toda a internet. O modelo também foi experimentado com sucesso contra o SQL Slammer, que surgiu em 2003.
Limitação nas varreduras
O método inclui colocar em quarentena qualquer máquina que realizar mais de 10 mil varreduras em uma rede, número muito superior à média mensal de interação de um terminal com a rede na qual se encontra conectado.
"A questão é que uma máquina infectada atinge esse número muito rapidamente. Um worm precisa atingir muitos endereços IP [de cada máquina] para que possa se proliferar", disse Shroff.
Programas de monitoração
Para utilizar o método, administradores de sistemas precisam instalar softwares que monitorem o número de varreduras efetuado em suas redes. Devem também prever eventuais queda na performance após colocarem terminais ou partes da rede em quarentena.
"É uma boa alternativa, mas, infelizmente, não se trata de uma solução completamente à prova de falhas. O ponto principal é que precisamos continuar a desenvolver constantemente técnicas que limitem a capacidade de danos de vírus, worms" ou outros programas maliciosos", disse Shroff.