Alexandre Freire - Como Blindar Seu Pc - Colaborações com Imprensa

Introdução

Phishings, cavalos-de-tróia, spywares, worms em geral fazem parte do cotidiano de qualquer internauta, leigo ou safo, desde que a internet ganhou o mundo. Mas com a chegada de uma nova leva de usuários à rede mundial de computadores, principalmente em países do terceiro mundo, o ciberespaço torna-se, a cada dia, um território mais perigoso.

Há anos, a mídia tem feitos campanhas tentando conscientizar os usuários dos riscos que correm na internet; as fabricantes de antivírus, as organizações de defesa dos direitos do ciberespaço, os bancos e instituições financeiras, além das softwarehouses, gastam tempo e dinheiro em campanhas que ensinam como se proteger e como evitar as pragas que infestam os emails e invadem os sistemas.

Infelizmente, as campanhas quase sempre são ineficazes e as portas de milhões e milhões de internautas continuam abertas às invasões. Foi pensando justamente nos usuários iniciantes que o jornalista André Machado e o consultor de segurança da informação Alexandre Freire lançaram o livro “Como blindar seu PC – aprenda a transformar seu computador numa fortaleza digital” (Editora Campus/Elsevier, R$ 49,90).

O livro nasceu de uma reportagem publicada no Jornal O Globo, intitulada “Seu PC, uma fortaleza”, na qual André Machado usava dicas de Alexandre Freire para que o usuário doméstico usasse seu sistema operacional de forma mais segura. A reportagem teve grande repercussão e logo surgiu a idéia do livro.

- Escrevi uma matéria para o caderno Info Etc, do Globo, chamada "Seu PC, a fortaleza" há alguns anos e houve uma boa repercussão. O Freire foi a principal fonte da matéria e sugeriu que escrevêssemos um livro nessa linha, dando dicas para usuários protegerem melhor o computador de vírus, phishing, cavalos-de-tróia, e conseguirem aquela sintonia fina no sistema operacional para evitar problemas. A Campus topou o projeto e começamos a trabalhar em dezembro passado – conta André Machado ao Fórum PCs.

Definido o foco da obra, a dupla partiu para meses e meses de testes, downloads e configurações das versões mais atuais dos sistemas operacionais. O esforço resultou até num capítulo especial sobre a segurança no próximo sistema operacional da Microsoft, o Windows Vista, que será lançado no começo de 2007. Dentre outras novidades, o Vista promete ser mais seguro.

- Acredito que os usuários podem ficar mais seguros em relação à segurança no desktop. A Microsoft atingiu um excepcional nível de maturidade com diversas inovações de proteção do kernel do sistema operacional, serviços e aplicações agregadas (novo IE, Phishing Filter, novos requerimentos de privilégios para execução de aplicações, separação de drivers de Kernel mode e user mode, Parental Controls, tecnologia de BitLocker entre outras diversas inovações). Tudo isso reflete o comprometimento da empresa com a questão da prevenção e melhor experiência do usuário durante o uso do desktop, não só para a Internet, mas para suas diferentes funcionalidades – explica Alexandre Freire, que já trabalhou na Microsoft e hoje é gerente de soluções da DISEC Security Services.

Definindo os tipos de ataques

Dentre as tarefas da dupla, a construção de uma espécie de “glossário” que separasse o joio do trigo e explicasse ao usuário a diferença – e as características – de cada tipo de ataque. De todos os recentes, diz Freire, o mais perigoso é o cavalo-de-tróia instalado a partir de emails falsos (phishing) e escondido em sistemas P2P como Kazaa e Emule (e outros do gênero), além dos clássicos worms.

- Os principais fabricantes de antivírus conseguem desenvolver vacinas após a descoberta do comportamento de um determinado vírus e proteger os usuários dentro de um período aceitável. A linha de tempo em relação à divulgação de um novo vírus e sua correção não é muito extensa. Porém, observamos uma mudança em relação aos códigos que podemos classificar como códigos maliciosos inteligentes (worms e cavalos-de-tróia) – diz Freire.

Ainda segundo o especialista, os fabricantes ainda têm problemas em lidar com o surgimento destes vermes, que utilizam o fundamento de desvio comportamental em vez de seguir uma determinada linha de ação já prevista e pré-definida na base de reconhecimento do antivírus.

- É o chamado comportamento anômalo. Por isso, a importância de ter não somente um bom antivírus atualizado na máquina, mas também contar com um sistema de detecção de intrusos eficiente que possa depurar o código e analisar o comportamento do tráfego optando, ou não, pelo seu bloqueio total ou parcial – diz.

Ganhou um capítulo cada um dos diversos tipos de ataques: são nomes como vírus de boot e vírus de macro; hoaxes; sniffing; shoulder surfing; “envenenamento do cache”; sites falsos; exploits; ataques de buffer overlow; spyware e adwares; malwares e rootkits; roubo de dados e por aí vai.

A segunda parte do livro aborda como as ameaças chegam ao computador do usuário. A idéia é mostrar que programas inocentes podem estar contaminados e que redes de compartilhamento de arquivos (P2P) por mais confortáveis e úteis que sejam, trazem, de quebra, possibilidades múltiplas de contágio.

Isso sem falar em programas de mensagens instantâneas e, claro, Voz sobre IP (Voip), além do uso de tecnologias sem fio como Bluetooth, redes wireless caseiras, além dos inocentes pen drives USB.

- A juventude hoje praticamente já nasce sabendo tecnologia. Muitas vezes minhas filhas descobrem coisas mais rapidamente que eu. E o jovem acha que nada vai acontecer com ele. Isso vale também para o plano virtual, para o ciberespaço. É preciso conscientizar: "tudo que vier de outro computador tem que ser passado no antivírus antes"; "não instale nada sem mim por perto"; "sempre reexamine seus pen drives toda vez que eles se conectarem a outras máquinas", etc – diz André Machado.

Antivírus, firewall, detector de intrusos, adianta usar toda uma parafernália em software se o sistema operacional ainda sai de fábrica cheio de brechas? Segundo Freire, a resposta é sim.

- Não só adianta como é vital para a manutenção da segurança, pois essas tecnologias caracterizam a primeira linha de defesa no perímetro do usuário. E o usuário, inserido em contexto doméstico ou corporativo, é a última linha (perímetro) de atuação das pragas – diz.

- Citemos o seguinte exemplo: imagine uma vulnerabilidade descoberta no underground que não tenha vazado ainda para as empresas de segurança. Por inúmeras vezes, hackers desenvolveram exploits para executar a prova de conceito de uma determinada vulnerabilidade. Muitos, após a confirmação da prova de conceito, começam a explorar a vulnerabilidade recém-descoberta e a comprometerem máquinas de usuários finais e/ou servidores corporativos. Após algum período, quando a notícia vaza, os fabricantes se movimentam numa corrida frenética contra o tempo para criar os patches e fixes da vida e entopem o email dos usuários com toneladas de boletins de segurança (advisors) – explica. - Usuários e empresas ficam vulneráveis sem ter a mínima noção de que são alvos em potencial a partir da descoberta (e não divulgação) de uma vulnerabilidade.

E como fica o usuário nesta guerra, qual é o comportamento sugerido? Segundo Freire, ter um IDS (Sistema de detecção de intrusos) instalado na máquina significa ter a oportunidade de bloquear um ataque que fará um estrago no sistema operacional, mesmo que a correção para a vulnerabilidade do SO não esteja pronta.

- Hoje os principais fabricantes de IDS transportam para o sistema operacional de desktop dos usuários o conceito corporativo de "Virtual Patch". Estas empresas possuem espiões infiltrados no undergroud e desenvolvem proteções para os sistemas operacionais e aplicações muito antes dos próprios fabricantes. Garantem o bloqueio dos ataques mesmo com o sistema operacional vulnerável. Interessante, não? – diz. - De qualquer maneira, as empresas como Microsoft trabalham continuamente para dificultar cada vez mais a atuação de códigos maliciosos. O Windows Vista contará com mecanismos de defesa sem precedentes para diminuir a superfície de exposição a possíveis ataques e comprometimentos do sistema operacional por pragas como spywares, malwares (rootkits ou cavalos-de-tróia), por exemplo. As empresas que fabricam antivírus estão cientes deste esforço e começam a criar diferenciais para seus produtos (ex: análise de vulnerabilidades da máquina do usuário, proteção de redes sem fio, proteção contra P2P, dentre outros produtos).

Na terceira parte de “Como blindar seu PC”, os autores procuraram alertar para sintomas básicos de infecção. Sempre que atacam uma vítima, os bandidos virtuais deixam rastros que podem ser reconhecidos. São marcas como bagunça nos diretórios, exclusão de arquivos, arquivos novos, loggs em excesso, logons errados, portas escancaradas, pop-ups, lentidão no micro e na conexão, novos usuários fantasmas e muitos outros. Mas ficar atento aos sintomas exige do usuário, no mínimo, que ele conheça seu computador, que saiba o que baixa e que costume, pelo menos de vez em quando, dar uma “varredura” em busca de “novidades” em seu disco rígido. Passa, portanto, pela velha questão cultural.

- Acho que o usuário médio simplesmente não consegue processar a enorme quantidade de informação que passamos a ter diariamente com a chegada da internet. Ele não tem só que aprender a usar o computador - o que por si só não é simples para os iniciantes - mas precisa saber atualizar o sistema, saber o que é vírus, antivírus, aprender a mexer nos programas de segurança, ficar de olho nos patches e por aí vai. Chega uma hora, especialmente em casa, em que a cabeça da gente desconecta e nos distraímos. Essa é a hora fatal, a hora de que os spammers, phishers e crackers aproveitam – diz André Machado. – E desenvolver software está cada vez mais complicado, porque tanto programas quanto sistemas operacionais estão inchados, repletos de funcionalidades extras. Cada programa agora é um canivete suíço, assobia, chupa cana e ainda fuma um cigarrinho, se deixar. É fácil culpar os desenvolvedores, mas a verdade é que não há cabeça que programador que comporte tantos detalhes. Mesmo com as ferramentas de programação orientadas a objeto que existem hoje em dia.

O que fazer, assim, para manter uma proteção pelo menos “razoável”? Segundo André, um bom começo seria o usuário comum ter sua identidade separada no computador, com senha; um sistema atualizado e antivírus, firewall e anti-spyware também atualizados; e se possível, usar criptografia nos emails de trabalho (usando programas de criptografia como o PGP). Os pais também precisam ficar de olho na navegação e nos deslizes de segurança dos filhos.

- Um pai responsável deve tratar a navegação web exatamente como trata uma saída do filho na noite de sábado para uma festança na casa de alguém num bairro longínquo. Precisa conversar com o filho, saber onde ele vai, quem são seus amigos na web, dar uma olhada nos seus perfis de Orkut e Multiply, entrar no MSN e conversar com o filho junto com a galera, etc. Se ele reclamar de privacidade, azar. Quem está na internet já perdeu pelo menos 70% de sua privacidade. É como diz o John Perry Barlow, criador da Declaração dos Direitos do Ciberespaço: se você é cioso de sua privacidade, não entre na web. A internet é o mundo lá fora, com tudo de bom e de mau que ele tem. A rede não é culpada, é o ser humano que a faz assim – diz André Machado.

Perguntas que não querem calar

Diante de uma indústria tão movimentada como é a de criação e combate a pragas virtuais, não há usuário que não se pegue vez ou outra conjeturando, afinal, de onde vem tanto código malicioso. Das próprias fabricantes de antivírus?

- Os fabricantes negam veementemente esse tipo de coisa, sem dúvida. É inegável que segurança é um mercado, e dos mais florescentes no mundo, entretanto, não creio nessas teorias conspiratórias. O que acontece é que a informação se espalha mais rápido do que se pode reagir a ela. E quem é mal-intencionado sabe do valor da velocidade de um ataque. Por outro lado, mesmo que a tecnologia fosse perfeita (e está longe de ser), ainda temos a questão do comportamento humano, que será sempre imprevisível – diz André Machado.

Outra pergunta que nunca se cala: é ou não, afinal, o Linux mais seguro que o Windows? Quem responde é Alexandre Freire:

- É preciso desmistificar esta questão. Sabe qual é o sistema operacional mais seguro do mundo? É aquele que o usuário tem conforto e domínio para garantir boas práticas tecnológicas e humanas para manutenção dos requerimentos de segurança e melhor utilização de todo o recurso e potencial computacional existente. Todos os sistemas operacionais possuem vulnerabilidades que são exploradas por diversos códigos maliciosos – diz Freire.

Comparando os dois, Freire afirma que o Windows apresenta incidência maior de worms. Em contrapartida, o Linux apresenta um número infinitamente superior de rootkits, que são os softwares que alteram os arquivos do sistema operacional, abrem portas não-autorizadas e monitoram tudo o que se passa dentro do sistema operacional.

- O próprio nome já diz: "rootkit", de natureza do Linux. Já no Windows temos os cavalos-de-tróia. Em todos os sistemas operacionais temos mecanismos de prevenção e de contramedidas após incidências de contaminações ou invasões. Cabe a cada um de nós avaliar o sistema operacional em que mais nos sentimos confortáveis para zelar pelo resguardo da confidencial idade e integridade, princípios básicos da segurança da informação – diz Freire.

A indústria que “defende” está, no entanto, sempre atrasada em relação àquela que “ataca”. Por que um patch ou uma vacina chegam a levar dias para ser desenvolvidos, enquanto as pragas se multiplicam e, pior, criam mutações de si mesmas?

- Muitas empresas têm se esforçado para a prevenção e bloqueio de novas ameaças em um curto período de tempo ou no momento em que essas pragas são descobertas. O desvio comportamental é uma técnica cada vez mais utilizada pelos laboratórios dos grandes fabricantes de antivírus e de sistemas de detecção de intrusos. Existem duas maneiras de se detectar códigos hostis: a primeira é através da análise da assinatura do pacote TCP que é interceptado pelos mecanismos de defesa – explica Freire. - Esses produtos inspecionam o campo de dados do pacote (payload) em busca de sinais de códigos hostis (assinaturas) que já estão previamente definidas e catalogadas dentro de suas respectivas bases de conhecimento. Podem inspecionar a camada TCP ou o comportamento pré-definido e catalogado de um vírus após sua infecção. Por isso, faz-se necessário não ter somente o antivírus residente, mas sempre atualizá-lo. A atualização faz com que o banco de dados do antivírus local receba as novas assinaturas e que o sistema esteja preparado para a chegada de novas pragas comparando assinaturas ou aguardando um comportamento previsível.

As pragas que se apresentam com desvios comportamentais seriam, ainda segundo o consultor, as mais perigosas. Uma mesma praga pode levar em seu código diversas formas de atuação para "enganar" os sistemas antivírus.

- Mas as empresas têm se esforçado bastante e melhorado continuamente a engine dos softwares de prevenção para a detecção destes desvios comportamentais – diz.

- O grande problema é o worm. Nenhum antivírus pode estar preparado para atuar no bloqueio da praga antes de saber seu real comportamento. O worm tem uma inteligência que explora, na maioria das vezes, alguma vulnerabilidade recém-descoberta pelo undergroud, mas que ainda não foi divulgada publicamente (ataque do tipo Zero Day).

Alexandre Freire colabora periodicamente com a midia digital e impressa em artigos em relação aos mais diferentes tópicos de Segurança da Informação. Por diversas oportunidades as matérias receberam destaque como matérias de capa de diversos jornais e sites especializados em tecnologia.

Reprodução Oficial - Fonte : Revista de Domingo - Jornal O Globo (impresso e digital)