O volume de spam espalhado pela botnet Rustock, com recurso a encriptação TLS, disparou nas últimas semanas, estabelecendo uma nova tendência no comportamento das redes criminosas, algo a que as principais companhias de segurança estão agora muito a
Há duas semanas, a divisão MessageLabs da Symantec reportou a detecção de grandes volumes de spam que utilizava TLS (Transport Layer Security), um protocolo de encriptação que veio suceder ao mais conhecido SSL (Secure Sockets Layer), e que constitui, normalmente, uma forma de proteger os conteúdos de um e-mail que viaje entre o servidor e o cliente.
Nessa altura, a percentagem de spam encriptado pela Rustockatravés de TLS era de cerca de 35 por cento, um número que a empresa de segurança garante, no seu último relatório “Intelligence Report”, que já chegou a atingir os 77 por cento da sua actividade durante o mês.
O desafio está no facto de o protocolo TLS impor requisitos de processamento mais elevados aos servidores de correio, comparativamente com o tráfego não-TLS, valor estimado em cerca de um kilobyte adicional por cada mensagem de spam. Tendo em conta que a maioria do e-mail é spam, o processamento extra sobre os servidores de correio será potencialmente elevado, quer as mensagens sejam consideradas e detectadas como spam ou não.
A Rustock é, actualmente, uma das três principais redes ilícitas do mundo, sendo responsável por gigantescas campanhas de spam desde que surgiu pela primeira vez em 2008. Terá sido uma das botnets mais afectadas pelo fecho da McColo no início de 2009, o que poderá ter despoletado a sua evolução com mecanismos de defesa mais agressivos.
TLS já não chega
A MessageLabs não foi o único serviço de segurança a detectar o uso de TLS por parte da Rustock. Na mesma altura em que a Symantec emitiu o seu alerta, também um blogue da autoria de Terry Zink, da divisão Forefront Online Security da Microsoft, mencionava esta evolução no comportamento da botnet.
Na prática, esta utilização do TLS significa que as empresas já não podem confiar neste método de encriptação para reduzir o spam. E, tal como acontece com todas as formas de encriptação, tem um impacto importante nos recursos do sistema.
Os motivos que levaram a Rustock a adoptar esta técnica ainda não são claros, até porque adicionar o protocolo TLS ao spam disseminado acaba por abrandar o ritmo de distribuição das mensagens, o que prejudica a intenção dos spammers de espalharem e-mail não solicitado o mais rápido e eficazmente possível. Também não pode ser considerada uma táctica de evasão à detecção por parte dos servidores, já que o e-mail encriptado por TLS já não é automaticamente confiável.
Peritos em segurança, como Terry Zink, especulam que esta evolução possa estar ligada ao recente desmantelamento de várias botnets importantes por parte das autoridades, incluindo a operação que levou a polícia espanhola a deter três homens acusados de gerir a botnet Mariposa. Uma infiltração na rede Mariposa – ou em qualquer outra botnet – envolve conseguir chegar os seus servidores de comando e controlo. A encriptação TLS pode, assim, ser uma defesa capaz de tornar este tipo de intercepção mais difícil.