No post “Anti-vírus prometem, mas não cumprem” que você pode encontrar aí em baixo, escrevi sobre minha decepção com as ferramentas anti-vírus encontradas no mercado e como os seus desenvolvedores aproveitam-se de súbitas ondas de pânico. Dei o exemplo do Symantec Antibot, uma “nova” ferramenta para atuar junto com o anti-vírus e que promete livrar sua rede de bots e outros malwares. Só para deixar claro para alguns que me escreveram que acredito ser uma boa ferramenta, só acho um golpe de marketing já que o Norton Antivirus, pela descrição de suas funcionalidades, já deveria livrar seus usuários de tais malwares, incluindo-se aí bots. Por isso minha bronca.
Mas a comunidade open-source, sempre nos brinda com lançamentos realmente úteis. O Internet Storm Center publicou uma nota sobre o lançamento de uma nova ferramenta, chamada botHunter, que é digna de atenção. No meio de tantos lançamentos marketeiros, esta ferramenta gratuita monitora a sua rede em busca de botnets e tráfego característicos de outros malwares. Basicamente, o botHunter é um IDS Snort tradicional, mas ele acrescenta alguma assinaturas e plugins (pré-processadores) especificamente desenvolvidos com algoritmos que irão traçar o comportamento de tráfego característico de uma botnet. E aqueles que acreditam que bloqueando IRC o problema está resolvido, já que tradicionalmente os canais de C&C (command and control) dos bots usa este protocolo, irão ter uma grande surpresa. A nova geração de botnets já está migrando para protocolos mais avançados, no melhor esquema P2P (peer-to-peer) que são muito difíceis de detectar e bloquear (acaba a figura do servidor de controle).
Como as botnets estão evoluindo rapidamente, é importante ter no seu arsenal uma ferramenta capaz de detectá-las. É certo que uma boa rede de processos não vai permitir tráfego corporativo como email, web e outras, mas como os vetores de ataque estão muito avançados e estes sistemas carecem de recursos de proteção a nível de host, temos que reforçar as defesas a nível de rede, principalmente no que se refere a monitoração de segurança. Para conhecer o botHunter e baixar uma cópia, acesso o seu site em http://www.cyber-ta.org/releases/botHunter/.
