Por Cade Metz e Henrique Martin
Uma das mais novas tendências dos hackers e vírus é atacar o antivírus, que na maioria das vezes é tão vulnerável quanto qualquer outro aplicativo. Mesmo se você pertence aos 20% dos usuários que mantém todas as precauções de segurança em dia, ainda há risco para o seu PC.
A cena é recorrente. Pode ser no distante estado norte-americano da Virgínia, com uma mulher reclamando de ícones pornográficos pulando descontroladamente na tela de seu computador. Os ícones pornográficos logo se amontoaram aos links de jogatina online e a incontáveis pop-ups, um mais rápido que o outro, impedindo que a mulher pudesse fechá-los a tempo. Pode ser aqui no Brasil, com um executivo da área de TV a cabo apresentando um projeto a um novo cliente e sofrendo com a mesma situação: pop-ups brotando sobre sua apresentação em Power Point.
A mulher da Virgínia pediu ajuda a um consultor especializado que vive resgatando computadores domésticos do caos dos vírus, spyware e pragas em geral. Quando a ajuda chegou, eram mais de 80 códigos mal-intencionados instalados na máquina. Detalhe: não havia firewall ou anti-spyware instalados no PC. Antivírus, sim, estava lá, mas a vitima acreditou que, por estar lá, a proteção estaria funcionando. Grande erro, já que o antivírus nunca havia sido ativado. Sua máquina estava completamente desprotegida e totalmente exposta aos vírus, worms, trojans e todos os nefastos spywares que rondam a internet. O executivo brasileiro passou pelo mesmo processo. Era cliente de uma empresa de segurança, pediu ajuda para a concorrente F-Secure. Resultado final? Eram tantos vírus, spyware e cavalos-de-Tróia que a máquina precisou ser formatada. E, claro, o cliente assustado com a pornografia durante a apresentação, não fechou o negócio. Basta dar uma olhada no atual estado de segurança da internet para termos a sensação de um déjà-vu. Vivemos o mesmo pesadelo dia após dia.
Não importa quantas vezes sofremos as conseqüências dos ataques online como redução da velocidade dos sistemas, instabilidades, perda de conectividade e até o roubo de dados pessoais , sempre caímos na mesma armadilha. Nem mesmo os conselhos dos especialistas e os programas de segurança conseguem mudar isso. Após mais de dez anos nesse pesadelo repetitivo, chegamos à conclusão que existe apenas uma explicação para tudo: ingenuidade (para não dizer, em muitos casos, estupidez).
Quem é ingênuo? Para começar, você. É isso aí: você mesmo. Depois anos usando a internet, você ainda insiste em navegar sem as proteções adequadas. Quer saber mais? Quando a F-Secure foi verificar o parque instalado de uma empresa de transportes aéreos, encontrou computadores com licenças de antivírus vencidas há mais de quatro meses. Encontramos PCs com mais de 2.000 arquivos infectados. Em alguns casos, o Microsoft Excel não funcionava, os templates do Word haviam desaparecido. Levamos duas semanas para arrumar tudo, explica André Ferreira, diretor técnico da F-Secure. A ingenuidade vem da dificuldade em aprender a usar o programa de segurança à simples falta de atenção. Falta o usuário aprender a atualizar o antivírus. Falta malícia para descobrir que o arquivo anexo de um e-mail pode ser um vírus. É um misto de ingenuidade com falta de informação, conta Lucio Costa, analista de suporte da Symantec no Brasil.
Mas os usuários finais representam apenas uma parte do problema. Embora muitos tenham se esforçado para mudar a situação, os fabricantes de hardware e software ao redor do mundo também carregam suas parcelas de culpa. Afinal de contas, os usuários não teriam que se preocupar com a segurança se os fabricantes dos PCs e provedores de internet fornecessem a proteção adequada. E os software mal-intencionados não seriam nem a metade do que são hoje nem seriam tão destrutivos se os fabricantes não fossem tão descuidados em relação às brechas na segurança que enfraquecem seus sistemas operacionais e aplicativos.
Até mesmo os fabricantes de produtos de segurança falham quando falamos de segurança de verdade. Uma das mais novas tendências dos hackers e vírus é atacar o software de antivírus, que, na maioria das vezes, é tão vulnerável quanto qualquer outro aplicativo da área de trabalho. A mídia também colabora para piorar tudo quando divulga artigos lunáticos sobre as ameaças online, causando pânico nos usuários sem oferecer nenhuma solução relevante vide as reportagens sobre segurança exibidas em qualquer jornal das 20h no Brasil: até sua avó vai acreditar que nada presta nessa internet. Todos nós causamos problemas. Chegou a hora de virarmos a mesa.
Vocês têm problemas
Todos os meses, o fornecedor de ferramentas de segurança Sophos divulga uma lista dos dez vírus mais bem-sucedidos da internet. Em dezembro de 2004, um worm especialmente terrível conhecido como Zafi-D estava no topo da lista, representando cerca de 40% de todos os ataques de vírus ao redor do mundo. Após horas de sua primeira detecção, todos os grandes fabricantes de antivírus ofereceram atualizações capazes de identificar e deter o worm. Contudo, após um ano do ocorrido, quando a Sophos revelou sua lista em novembro de 2005, o Zafi-D ainda estava entre os dez vírus mais eficazes.
Isso quer dizer que ou as pessoas não possuem software de antivírus instalados ou então elas simplesmente não atualizam os que possuem, explica Gregg Mastoras, analista sênior de segurança da Sophos. Os usuários demoram meses para atualizar seus antivírus. De fato, um estudo recente da America Online e da National Cyber Security Alliance (www.staysafeonline.info) mostrou que mais da metade de todos os usuários da internet deixa suas máquinas expostas aos vírus mais novos: ou porque não atualiza seus antivírus ou porque não possui nenhum antivírus instalado. No caso dos brasileiros, a mania de aplicar a famosa Lei de Gérson vale, e muito, para o software instalado em seus computadores. Vale usar versões piratas que não funcionam direito, baixar o primeiro software gratuito sem referência (mesmo que em inglês e que nem sempre sai de graça). Já recebi reclamação de usuários que instalaram um antivírus em alemão só porque era gratuito, conta Mathias XXX, do suporte da McAfee brasileria. Um programa que não se tem conhecimento de seu fabricante pode ser uma brecha enorme para spyware: o usuário baixa um software desses, ignora o contrato de uso que prevê o envio de informações pessoais pela web e pronto, ele concordou em ser atacado!, diz Mathias. É um problema cultural.
Hoje em dia, todos os grandes fabricantes de PCs incluem pelo menos um aplicativo de antivírus em cada máquina nova que sai da linha de produção. Quando o usuário assina o serviço pela internet, a maioria dos provedores oferece software de antivírus, quase sempre gratuitos. Mesmo assim você o usuário final continua a entrar na rede sem nenhuma proteção contra vírus da estirpe do Zafi-D.
Ou talvez você seja um dos poucos que de fato ativam o antivírus e o atualizam com freqüência. Nesse caso, existe uma grande chance de que você ainda esteja fazendo algo errado. Os programas de antivírus não são auto-sustentáveis e nem são os melhores sistemas de segurança. Nem todas as ferramentas de um antivírus são capazes de proteger contra spyware, uma raça diferente de códigos mal-intencionados que silenciosamente rastreia suas rotinas e rouba dados importantes. Os patches de software, anti-spyware e firewalls dos software e hardware são essenciais, assim como a criptografia do tráfego em sua rede local sem fios, que serve para cuidar de cada pacote trocado entre seu computador e a internet.
Muitas empresas, sobretudo a Symantec, fizeram grandes esforços para informar a maioria dos consumidores que eles precisam de um antivírus, diz Alex Walker, autor do livro The Absolute Beginners Guide to Security, Spam, Spyware and Viruses. Isso criou uma falsa sensação de segurança. O consumidor comum acredita que o antivírus proporciona toda a proteção necessária.
Segundo as pesquisas da America Online, cerca de 80% dos usuários estão expostos às ameaças comuns na web não somente os vírus, mas também spywares, downloads drive-by, hackers e muito mais. Caso você seja um dos desprotegidos, saiba que suas chances de evitar uma infecção são baixas ou nulas. Se você entrar com um computador na internet e deixá-lo desprotegido, há uma chance de 90% de que ele seja infectado em menos de uma hora, explica Mastoras, da Sophos, que passa a maior parte de seus dias rastreando as mais novas ameaças online.
A parte triste é que se você pertence aos 20% dos usuários que possuem todas as precauções de segurança em dia, muitas coisas desagradáveis ainda podem acontecer com o seu PC. Nem todos os sistemas de segurança do mundo são capazes de proteger um usuário quando ele se depara com aqueles poderosos e-mails de phising que imitam os sites de bancos ou lojas virtuais, apenas para roubar os dados do seu cartão de crédito. Quem nunca recebeu um e-mail falso dizendo que seu CPF será cancelado em 48 horas se não verificar o problema em um link misterioso. Isso também vale para os arquivos que são baixados e executados sem cautela. Também tome muito cuidado quando se aventurar em busca de pornografia gratuita na internet principalmente se você tiver filhos que usem seu PC sem monitoramento. As crianças são muito mais suscetíveis a todos esses erros e a muitos outros.
A verdade é que a maioria dos indivíduos atrai os ataques. Se você é mais uma das pessoas que não se preocupa com onde e como navegar pela web, seja bem-vindo ao clube dos problemáticos.
Fabricantes de tecnologia? Hmm.
Não é nada pessoal. Você não é o único cara ingênuo no planeta Terra. Na verdade, muitos especialistas acreditam que o problema está nas empresas que comercializam os PCs, software e acesso à internet. Muitos problemas de segurança podem ser rastreados até usuários finais desinformados, mas a culpa não é necessariamente desses usuários, explica o Dr. Clifford Newman, diretor do Centro de Sistemas de Segurança para Computadores da Universidade do Sul da Califórnia. Precisamos desenvolver sistemas que protejam os usuários finais de forma mais eficaz. Não podemos esperar que o consumidor comum adote o comportamento de um administrador de segurança.
A indústria de informática deu alguns passos à frente nos últimos anos, mas muitos assuntos sérios ainda precisam ser corrigidos. Para começar, os fabricantes de PCs e os provedores de internet não podem simplesmente oferecer um software de antivírus e sair de cena. Eles são os vendedores do produto e têm a responsabilidade de garantir que ele seja bem protegido. A segurança completa antivírus, anti-spyware, firewall e atualizações para o sistema operacional em uso deve sempre fazer parte da compra inicial e deve também ser automática. Por saber que os usuários finais são ingênuos, os fabricantes são duplamente ingênuos quando acreditam que esses usuários vão comprar, instalar e ativar todos os aplicativos por conta própria. Software de segurança: sem perdão
Ao mesmo tempo, os fabricantes de sistemas de segurança precisam perceber que seus produtos são excepcionalmente deficientes. Esses produtos comprometem demais a maioria dos PCs, deixando os computadores muito lentos. Além disso, alguns são extremamente difíceis de usar. E outros nem sequer oferecem a segurança necessária.
As ferramentas anti-spyware são bastante imaturas. Elas deveriam bloquear todo tipo de spyware encontrado nada menos que isso , mas nos testes feitos por PC Magazine nunca encontramos um que realize a tarefa com êxito. No caso dos antivírus, não existe um programa de certificação independente para garantir que os aplicativos anti-spyware funcionem bem. E eles demandam muitas intervenções por parte dos usuários no caso de alguns, o ônus de iniciar uma varredura ou atualizar o sistema fica por conta do usuário.
Mas isso não é nada comparado à dificuldade de se usar um firewall. Os firewalls disponíveis no mercado apresentam muitos avisos em pop-up que exigem que os usuários façam escolhas sobre aplicativos e processos que tentam realizar diversas funções. Isso tudo é, no mínimo, irritante. Para a maioria das pessoas, eles são também confusos. Não há desculpas para que os firewalls não contenham assinaturas para as dezenas de milhares de aplicativos conhecidos. Isso permitiria que elas ignorassem com inteligência as rotinas permissíveis sem exibir pop-ups irritantes e avisos confusos.
Quando os firewalls detectam uma movimentação em rede desconhecida (e no caso de não haver um correto ou errado óbvio), elas deveriam fornecer instruções claras e objetivas para os usuários sobre como proceder. Alguns firewalls, incluindo o Norton Personal Firewall e o ZoneAlarm, usam bases de dados amplas para as assinaturas, mas ainda não são muito adequadas sem contar que são duas exceções à regra.
Com o advento do Windows XP, a Microsoft finalmente adicionou um firewall ao seu sistema operacional, e graças às melhorias obtidas com o Service Pack 2, o firewall é simples e fácil de usar. Mas ele apenas oferece uma parcela de proteção quando comparada aos firewalls independentes, que são capazes de monitorar com cuidado todos os pacotes que entram e saem de seu PC.
Até as ferramentas antivírus precisam de melhorias. Os fabricantes de antivírus oferecem atualizações automáticas e são bons para bloquear as mais novas ameaças, mas o problema é que essas novas atualizações demoram a chegar até sua máquina, e as ferramentas dos antivírus não bastam para deter algumas ameaças desconhecidas. Muitos ataques atingem as máquinas antes de as devidas atualizações chegarem até elas. De acordo com o AV-Test (www.av-test.org), grupo de pesquisas sobre computadores da Otto-von-Guericke-University Magdeburg, na Alemanha, alguns fabricantes demoram dias para liberar determinadas atualizações. Milhares de máquinas supostamente protegidas podem ser infectadas em questão de horas.
Alguns fabricantes começaram a integrar ferramentas heurísticas capazes de identificar vírus desconhecidos, mas, novamente, elas são limitadas e pouco eficazes. Mesmo se os antivírus não forem tão falhos como os produtos de combate aos spyware, eles ainda não são tão inteligentes como as pessoas que atacam nossas máquinas.
De acordo com a IronPort, empresa que filtra e-mails e o tráfego da rede para oito dos maiores provedores do mundo, a maioria dos ataques hoje em dia envolve dinheiro. Tudo está mais organizado do que antes, diz Ambika Gadre, diretor sênior de gerenciamento de produtos da IronPort, e o lucro é a principal motivação. Os ofensores enxergam mais incentivos do que no passado.
Os programas de segurança não podem apenas oferecer uma interface intuitiva e proteger os usuários contra ameaças externas. Os produtos também devem proteger os usuários de seus próprios erros.
É muito fácil desativar a proteção acidentalmente ou cair nos truques da internet. O novo navegador da Microsoft, o Internet Explorer 7, vai ajudar a combater os problemas de phising nos e-mails, pois compara as URLs em uma base de dados online que contém phisings conhecidos e procura por características que são comuns nessas páginas criminosas (ferramentas parecidas estão disponíveis para os navegadores de hoje, mas não foram amplamente adotadas). Precisamos de proteção adicional nos clientes de mensagens instantâneas, como o AIM da AOL, o Yahoo! Messenger e o MSN Messenger, da Microsoft, que são responsáveis por disseminar as mais novas ameaças. Assim como nos e-mails fraudulentos, as pessoas precisam saber se uma mensagem instantânea foi ou não originada pelo remetente.
Há quem acredite que a indústria deve proteger os usuários por completo, oferecendo sistemas de segurança para cada computador e prevenindo que qualquer código mal-intencionado possa transpassá-los. Os usuários convidam os ataques maliciosos mesmo quando acham que estão melhorando a segurança de seus sistemas. Eles clicam em pop-ups que dizem Download Spyware Remover. Respondem os e-mails com informações para spammers. Automaticamente clicam em Permitir sempre que seus firewalls aparecem perguntando se um arquivo executável deve ou não ser acessado. No fim das contas, ensinar os usuários a melhorar seus hábitos de segurança pode ser fútil. A indústria talvez se saia melhor caso tente resolver o problema por conta própria.
Fabricantes de software: os mais problemáticos
É claro que muitos usuários de PCs não querem renunciar ao controle de seus computadores. As medidas draconianas são pouco éticas. Os usuários são os donos de suas máquinas e devem fazer com elas o que bem entenderem, explica Newman, da USC. Mas todos concordam quando o assunto são as incontáveis vulnerabilidades que continuam a surgir nos aplicativos e sistemas operacionais mais populares. Chegou a hora de os fabricantes mudarem a maneira como criam os códigos dos programas.
Depois do desastre dos vírus em 2003, quando o Blaster e o Sasser aterrorizaram os PCs com Windows, a Microsoft melhorou de forma notável os seus esforços para acabar com os buracos na segurança de seu sistema operacional e outros aplicativos da área de trabalho. Os engenheiros da Microsoft realmente acreditam que a segurança é importantíssima, conta Brian Chess, cientista-chefe da Fortify, empresa que remove vulnerabilidades. Em termos de conhecimentos e uniformidade de interesse, eles estão bem à frente dos outros. Mas o Windows ainda é cheio de brechas na segurança confira as falhas do formato Windows Metafile que surgiram em dezembro do ano passado , e conforme a Microsoft melhora sua segurança, os hackers começam a focar suas atenções em todos os outros tipos de software.
Ninguém pode negar que os aplicativos de antivírus estão entre os programas mais vulneráveis dos PCs da atualidade. Os hackers atacam igualmente as empresas que tentam bloquear suas atividades e os aplicativos de antivírus abarrotados de falhas na segurança. Os criadores dos programas de segurança não estão levando em conta sua própria proteção, explica Chess. Eles somente pensam em assegurar as outras partes do computador. Caso as empresas de segurança não se concentrem nos códigos de proteção, estamos todos encrencados. De acordo com o SANS Institute, organização que monitora a segurança na web, algumas vulnerabilidades de fluxo múltiplo em buffer foram encontradas em antivírus vindos dos fabricantes mais populares, incluindo a Symantec, F-Secure, Trend Micro, McAfee, Computer Associates e Sophos. Isso proporciona aos atacantes o total controle do sistema, no qual a intervenção do usuário se torna baixa ou mesmo nula.
Até certo ponto, o seu comportamento infeliz pode ser perdoado. Mas Chess afirma que o dilema dos códigos inseguros é mais profundo do que pensamos. O problema não é somente que os fabricantes não sabem como criar um código seguro. Eles são, na verdade, instruídos a criar códigos ineficazes. Nós também somos culpados
Você acha que estamos olhando tudo de cima e somente disparando críticas contra todo o mundo? Justiça seja feita, não estamos livres de culpa. Nós, veículos da mídia, somos tão estúpidos como todo mundo. Sempre com medo de perder uma grande notícia, a mídia potencializa até as menores ameaças como se fossem a chegada do apocalipse e afirma que os programas de segurança são capazes de acabar com o problema.
Talvez nossa falha tenha sido não investigar as fraquezas dos programas de segurança. Ou talvez nunca tenhamos dito que você, usuário final, constitui grande parte do problema e que rodar uma suíte de segurança é apenas parte da solução é preciso mudar suas rotinas.
Devemos admitir: somos culpados também. Mas estamos tentando corrigir essa falha. Imploramos para que todos abram seus olhos para as ameaças dos programas mal-intencionados e para que a indústria ofereça mais proteção. É claro que a indústria está em evolução constante, e muitas melhorias já estão a caminho, incluindo as integrações com o próximo sistema operacional da Microsoft, o Windows Vista. Mas precisamos fazer muito mais. Talvez nos próximos meses todas as pessoas caiam na realidade. É isso que queremos. Caso contrário, podem esperar um déjà-vu coletivo.
