Um pesquisador brasileiro da multinacional de segurança da informação Trustwave está investigando a análise de cabeçalhos HTTP como alternativa para a detecção de tráfego malicioso na internet.

A pesquisa também envolve a comunicação de máquinas infectadas por sites baseados em servidores C&C (Command and Control Server).

Segundo o pesquisar e coordenador do projeto, Rodrigo Montoro, o método é muito mais simples que o convencional e abre, na prática, um novo capítulo na proteção contra o crime cibernético, por ampliar os níveis de automação na detecção das ameaças.

No momento, Montoro trabalha com uma equipe integrada por pesquisadores de várias partes do mundo. Ele explica as vantagens do método.

“Por ser um dos alicerces da Web, interligando computadores e sites, o protocolo HTTP está presente em toda parte. O exame dos cabeçalhos HTTP representa um passo à frente na área de segurança da informação e uma maneira muito mais eficaz e direta de se detectar ameaças que a tradicional análise de tráfego na Web”, diz.

Conforme Montoro, as conexões maliciosas tendem a ocasionar comportamentos diferentes no HTTP.

Elas costumam, por exemplo, reutilizar códigos compartilhados e, frequentemente, empregam tipos de cabeçalho de características incomuns ou claramente fraudulentas.

Em testes preliminares com tráfegos maliciosos conhecidos, a equipe da Trustwave analisou 6.127 canais de fluxo de dados (“streams”) e o sistema de scoring foi capaz de detectar precisamente 89,1% dos sites que estavam liberando algum tipo de tráfego infectante.

O sistema teve taxa de falso-positivo de cerca de 9%. O objetivo é reduzir o índice a menos de 2%.