Na cyber guerra entre FBI e bonet Coreflood, quem pagou o pato foram os usuários infectados

Uma das botnets mais antigas e consistentes ainda em atividade hoje é a Coreflood.

Composta por milhões de computadores rodando Windows em todo o mundo, a Coreflood tem sido ao mesmo tempo o principal alvo do FBI e também o maior combustível para todo o hype ao redor das últimas empreitadas contra ela.

Com um punhado de medidas judiciais e um único comando, a Coreflood levou uma machadada nas pernas e caiu de joelhos. Mas, por incrível que pareça, para nós, isso não foi algo exatamente bom. Como?

No último mês o FBI rastreou quedas substanciais de pings provenientes da botnet que despencaram de +800 mil para menos de 100 mil em apenas uma única semana. Segundo as últimas informações, os pings de máquinas infectadas fora dos Estados Unidos caíram 75%.

Então você se pergunta: eles sabem mesmo máquina-a-máquina quem está infectado ou não? Sim.

A Coreflood é uma das botnets mais antigas da rede. Começou como um serviço de proxy mercenário para quem quisesse bancar um ataque DDoS decente. Segundo as autoridades, em 2000 ela passou a financiar atividades ligadas ao crime organizado e atuar no roubo de identidade e ataques a sistemas vulneráveis do mercado financeiro.

Ela tem sido encontrada em simplesmente qualquer lugar, como redes em hospitais, campi de faculdades, pequenas empresas e até mesmo em computadores de orfanatos. Ninguém ainda foi capaz de calcular o quão rentável ela tem sido via os milhões de máquinas sob o seu "comando". É um exército e tanto...

O FBI então conseguiu uma ordem judicial para acessar todos os registradores de domínios envolvidos e modificar seus DNS. Quando uma máquina infectada era "acordada" para executar algum trabalho sujo, ao invés de se comunicar com a botnet, comunicava-se diretamente com os servidores do FBI que enviavam um commando não crítico de kill e eram neutralizadas. Foi assim que parte da gigantesca cabeça da Coreflood foi cortada (tirando todos os exageros que têm sido publicados por aí, Ó Santo FBI).

Essa ação do FBI em si é benigna segundo a maioria dos comentaristas de segurança da informação. O que não é nada benigno é o modo com que a jurisdição pode ser acionada (e ultrapassada) em casos como esse, uma vez que milhões de máquinas contaminadas passaram a se comunicar diretamente com o Centro de Comando no FBI para que toda a ação pudesse ser efetivada.

Você acredita que o FBI simplesmente fechou todas as portas e queimou todos os dados depois da operação? Nem eu... Isso sem mencionar o fato de que aproximadamente 35% das máquinas infectadas, muitas de cidadãos comuns e totalmente inconscientes do que se passava dentro delas, ficava FORA dos Estados Unidos. Ou seja, o tribunal norte-americano deu carta branca para uma agência americana tratar do assunto dentro do território americano e... de tabela, fora dele também.

Se a China ou a Rússia autorizassem a si próprias rastrear e derrubar uma botnet com o mesmo método, pode acreditar que isso seria um "problema de segurança nacional" para os Estados Unidos e o panelão ia começar a ferver.

A Microsoft, modesta, ambígua e obtusamente, interagiu com toda a cena de maneira que suas ações não passassem de incluir a Coreflood na lista de "softwares maliciosos" em sua Ferramenta de Remoção de Software Malicioso e pronto. Não publicou uma nova sílaba sequer sobre o assunto.

Então, fica a questão: qualquer um pode autorizar a si próprio sob o argumento de tombar o vilão e, para isso, meter o pé na porta de quem quer que seja, sem avisar?

Do outro lado mais díficil da pergunta: O que deve ser proposto para que todos os governos ajam juntos e de comum acordo (sem trairagem pelo backdrop) para operações como essa?

E mais uma: Não seria bom você saber que sua máquina está no meio do bololô?

Todos os documentos legais da corte norte-americana aprovando a operação estão aqui.