[SECURITY-L] Especialistas questionam ataque do Blaster ao site da MS

[Security Team - UNICAMP]

----- Forwarded message from Caio Souza Mendes <caio_sm em yahoo.com.br> -----

From: Caio Souza Mendes <caio_sm em yahoo.com.br>
Subject: Especialistas questionam ataque do Blaster ao site da MS
To: security em unicamp.br
Date: Thu, 14 Aug 2003 19:22:41 -0300 (ART)

Especialistas questionam ataque do Blaster ao site da
MS

Quinta-feira, 14 de Agosto de 2003 - 18h39

IDG Now!

http://idgnow.terra.com.br/idgnow/pcnews/2003/08/0030

Enquanto corporações e internautas se apressam para
consertar os estragos causados pelos worm MS_Blaster,
especialistas em segurança estão se indagando se o
ataque massivo das máquinas infectadas, que tentarão
causar um Denial of Service (DoS) no web site da
Microsoft no próximo sábado (16/08), realmente
acontecerá.

Até quinta-feira (14/08), o worm Blaster infectou
entre 250 mil e 1 milhão de PCs, de acordo com Vincent
Gullotto, vice-presidente da AVERT, equipe da Networks
Associates que monitora a trajetória dos vírus em todo
o mundo. Apesar do grande número de ataques, ao que
parece, o pior ainda está a caminho.

Além de ser programado para procurar e infectar
computadores com o Windows vulnerável, o Blaster está
pronto para gerar um ataque do tipo Denial of Service
(DoS) contra o website da Microsoft no próximo sábado
(16/08). As máquinas infectadas em todo o mundo
começarão a enviar pedidos de conexão ao domínio
windowsupdate.com, usado pela empresa para distribuir
as correções de software aos usuários de Windows.

Se tudo ocorrer como programado, as máquinas começarão
o ataque às 12 horas de cada sistema existente nos PCs
infectados. Essa operação criará um ataque em cascata,
que cruzará o mundo enquanto os relógios de cada país
atingem o horário preestabelecido, segundo informações
de Mikko Hyppönen, diretor de pesquisas de antivírus
na empresa finlandesa F-Secure Corp. Uma vez acionado,
o ataque continuará até o final de dezembro,
recomeçando depois em 16/01/04.

Se for bem-sucedido, a Microsoft terá dificuldades
para interromper a ação, segundo afirmam os
especialistas. Mais de 100 mil máquinas poderão estar
envolvidas no ataque, o que criará um volume massivo
de tráfego. Como o tráfego virá de PCs com milhares de
endereços IP diferentes, é quase impossível criar uma
lista para bloquear os ataques. Além disso, o ataque
chegará pela porta 80, uma entrada vital de
comunicação, usada para acessar a internet.

Mesmo com o cenário negro, os especialistas concordam
que nem tudo está perdido. Por engano ou
desconhecimento, o criador do worm forneceu o endereço
de domínio incorreto para o windowsupdate. O endereço
especificado simplesmente redireciona os usuários para
o atual website, o windowsupdate.microsoft.com. Dessa
forma, a Microsoft poderá mudar a configuração do
domínio para conseguir parar o tráfego direcionado
para o web site atual.

A Microsoft mantém sigilo sobre os planos para conter
o ataque deste fim de semana. Por enquanto, a empresa
assume que espera um alto volume de tráfego no próximo
sábado (16/08) e que está tomando as medidas
necessárias para assegurar que seus clientes continuem
recebendo as atualizações de software.

A empresa de Bill Gates também está publicando as
correções em vários lugares de seu web site para que
os clientes consigam acessar as atualizações se o
domínio windowsupdate.com ficar fora do ar. Além do
endereço windowsupdate.microsoft.com, usuários também
poderão baixar as correções diretamente do web site
download.microsoft.com. Mais informações sobre o
Blaster podem ser obtidas em
www.microsoft.com/security.

[ Paul Roberts - IDG News Service (EUA) ]


----- End forwarded message -----