Quando o antivírus não é suficiente

Hoje, trago parte do material do Roger Thompson, especialista em segurança contra ataques via web  que trabalhou durante muitos anos na XPL labs nos EUA. Atualmente, ele é responsável pelo AVG LinkScanner. Sou contra a pirataria, claro, e esse artigo foi liberado pelo próprio Roger para ser usado aqui no Superdownloads :-)

"Muitas vezes me perguntam o que as pessoas precisam para estar seguras nos dias de hoje. Um firewall é suficiente? Um antivírus é o suficiente? Preciso de antispyware, antimalware e tudo o mais? As pessoas estão bastante confusas, o que é natural.

Segue,  então, é uma explicação básica sobre essas ameaças...

Firewalls são desenhados para bloquear intrusos, tais como worms e hackers, que forçam seu caminho de fora para dentro da sua máquina. Os vírus são pedaços de códigos maliciosos que se espalham por si sós, e ainda existem, mas não há muitos deles porque eles não ajudam os 'Bad Guys' a ganhar dinheiro.

Em outras palavras, eles ainda podem escrever vírus, mas não tantos como antes, porque os vírus não tendem a ajudar a roubar informações com valores para serem revendidos. Em vez disso, os 'Bad Guys' tendem a escrever keyloggers e backdoors de controle remoto, o que permite a eles roubar login de contas bancárias, números e senhas de cartões de crédito e identificações pessoais importantes, como números de segurança social e os IDs fiscais.  No Brasil, esse é o principal tipo de malware encontrado, principalmente para copiar dados de contas bancárias.

Portanto, os antivírus, antispywares e antimalwares estão fundidos no mesmo conjunto de produtos; não há produtos separados e especializados em somente uma espécie de ataque que valham a pena ser usados.

A coisa mais importante a compreender é que 99% dos ataques originam-se a partir da web. Quando você inicia um navegador, ele parte de um lugar confiável dentro de uma rede com firewall, criando assim um "túnel" que vai, através do firewall, ao site remoto. Se a vítima visita tiver sido a um site intencionalmente hostil, carregado de malwares, o código de ataque pode entrar no túnel e tem grandes chances de ser executado no PC, enganando o firewall.

Para o usuário final, é importante que a sua suíte antivírus inclua um scanner web dedicado, evitando situações como acima relatadas. No AVG, temos o LinkScanner, que protege exatamente disso (inclusive na versão gratuita).  O próximo item a ser entendido é que um conjunto antimalware que se preze deve ter um monitor de bom comportamento, como o AVG Identity Protection (Deletado definitivamente).

O problema é que antivírus tradicionais trabalham por varredura de malwares conhecidos (leia minhas últimas matérias a respeito), que funcionam muito bem enquanto você está lidando com malwares conhecidos; mas, se ele é novo, conseguirá passar pelo scanner até a lista  de ameaças que seja atualizada. Os bandidos sabem disso e conseguem produzir (usando ferramentas automatizadas) 20.000 a 30.000 novas variantes de vírus de cada dia, mas eles realmente só liberarão de 400 a 500 na Internet por período; os outros são produzidos para tornar difícil a detecção para as empresas de antivírus e fica difícil saber quais são os 400 ou 500 que realmente contam. Um monitor de comportamento, no entanto, não usa base de assinaturas, mas os ponteiros de comportamento mal-intencionado. Por exemplo, um novo programa que instala-se de modo a sobreviver a um reboot total do PC é muito suspeito, o que é percebido facilmente por um monitor de comportamento.

A melhor maneira de fazer segurança é por camadas. Pense  em uma fatia de queijo suíço: qualquer fatia individual está cheia de buracos, mas, se você tirar duas fatias e colocá-las uma em cima da outra, elas cobrirão a maior parte de cada um dos outros buracos. Obtenha uma fatia de terceiros e não há buracos deixados.

A segurança do computador funciona da mesma maneira... Se você tiver camadas suficientes, não há buracos deixados. Quanto mais você tenta atingir 100%, com qualquer camada isoladamente, maior o potencial de conflitos e problemas. É o material 80/20 clássico... Você pode resolver cerca de 80% de qualquer problema com o esforço de apenas 20%.

O que o usuário final precisa é:

1. Uma camada especializada de web-digitalização para bloquear a maioria dos ataques imediatamente;
2. Um scanner tradicional, que incide sobre o malware real que está "in the wild";
3. Uma camada de comportamento para pegar qualquer coisa que tenha um comportamento estranho.

Uma solução completa pode não ganhar muitos destaques em testes ou em revistas/jornais, mesmo porque são extremamente difíceis de testar, mas o benefício real para o usuário final é que eles têm um produto leve e ágil, o que deixa a segurança muito próxima da total."