quinta-feira, 25 de dezembro de 2008

Industrias de Antivirus lutam p/ Sobreviver



Antivírus se reinventam para tentar sobreviver


Softwares buscam novas saídas para identificar pragas virtuais.
Técnica da 'análise de comportamento' é uma das alternativas.


"Instale um antivírus e mantenha-o atualizado". Essa ainda é a sugestão mais comum para usuários quando o assunto é segurança da informação. Mas os antivírus atualmente estão continuamente perdendo terreno para outras soluções e medidas de segurança. Isso acontece não apenas porque as ameaças estão mudando, mas porque os antivírus não estão conseguindo manter os vírus sob controle, como uma vez conseguiam. Embora nada deva mudar no curto prazo, os antivírus precisarão se reinventar para continuar no mercado.



A imagem acima, criada pela relativamente pequena empresa de antivírus austríaca Ikarus, ilustra o declínio da força da indústria. Se em 1998 os vírus eram fracos e incapazes de burlar os programas de segurança, hoje a situação se inverteu: quem manda são os vermes digitais. Mesmo assim, ninguém esquece de recomendar a instalação de programas antivírus.

Seria possível dizer que eles são menos necessários hoje do que eram em 1998? Naquele ano, quase todos os vírus se espalhavam por disquetes ou macros do Microsoft Word. Era difícil saber se um arquivo estava infectado ou não. Hoje, essas pragas não existem mais e quase todos os vírus se espalham por meio de e-mails e mensagens (de MSN, Orkut) maliciosas ou por brechas de segurança – ambos podem ser evitados por um usuário experiente.



Mas a situação só chegou no ponto que está hoje justamente porque a maioria das pessoas usa um antivírus. O que aconteceria se todos resolvessem abandonar os softwares é difícil de prever, mas não seria errado pensar que algumas táticas antigas voltariam a ser usadas. Táticas que atualmente não valem a mais a pena quando considerada a ação (mesmo que tardia) dos antivírus.

A resposta dos antivírus às ameaças é lenta porque as pragas virtuais não são identificadas imediatamente. Demora um pouco até que uma cópia do vírus chegue em um laboratório. Depois é necessário um período de análise, em que o programa é examinado. Se funções maliciosas forem encontradas, é então criada uma “vacina” (assinatura). Há ainda mais algum tempo até que a atualização seja testada – para evitar falsos positivos – e disponibilizada.

Esse modelo tradicional está falhando. Com a internet cada vez mais rápida e seus usuários cada vez mais conectados em redes sociais e mensageiros instantâneos, pragas digitais podem espalhar-se pela rede rapidamente. Muitos usuários são infectados antes mesmo de o antivírus ser atualizado e, uma vez dentro do sistema, os códigos maliciosos se encarregam de inutilizar os produtos de segurança.

Uma solução para esse problema está chegando na forma de “análise de comportamento”. Nesse modelo, o antivírus monitora continuamente todos os programas em execução no computador. Cada atividade dos softwares é considerada maliciosa ou inofensiva. Se várias tarefas suspeitas forem realizadas por um mesmo aplicativo, o antivírus irá considerá-lo malicioso. Desde que o vírus se comporte de forma semelhante a pragas conhecidas, ele será reconhecido como malicioso sem a necessidade de uma vacina específica.

A análise de comportamento ainda precisa de muitas melhorias. Em vários casos, ela simplesmente não funciona e deixa o cavalo de tróia ou vírus agir livremente. É por isso que ela só está sendo usada como complemento à solução clássica de assinaturas. Não são poucos os antivírus que incorporam algum tipo de análise de comportamento, chamada às vezes de HIPS (Host Intrusion Prevention System).

Outra saída para o problema é o uso de uma “lista branca” (whitelist). Os antivírus de hoje trabalham com uma “lista negra” (blacklist), pois consideram tudo legítimo, exceto o que for previamente identificado como malicioso. Um programa que protege o computador com base em uma lista branca considera absolutamente tudo prejudicial, com exceção dos softwares permitidos.

A idéia de substituir a lista negra por uma lista branca é atraente porque o número de pragas virtuaisestá ficando maior do que o de aplicativos legítimos. Ao contrário dos softwares seguros, os códigos maliciosos alteram a si mesmos para evitar os antivírus, o que facilita a identificação dos programas desejáveis.

Em ambientes fechados, como empresas – maior faturamento do setor de software -, o número de aplicativos usados é ainda menor, o que favorece as listas brancas.

O Norton AntiVirus 2009, da Symantec, utiliza uma lista branca para acelerar a velocidade do exame antivírus. Segundo a empresa, existe um banco de dados contendo informações sobre diversos programas inofensivos. O software consulta esse banco de dados e dispensa a análise de softwares conhecidos.

Mudanças como essas mostram que a indústria antivírus está procurando caminhos para sair do labirinto em que se encontra. Mas essas novidades vão criar outros desafios. Alguns deles já apareceram, por exemplo, nos testes antivírus. Testar um recurso de análise de comportamento é complicado, pois necessita que as pragas digitais estejam em execução. Por outro lado, um teste com uma ferramenta que aplica listas brancas passaria a necessitar uma coleção enorme de aplicativos verdadeiros, ao contrário do que se tem hoje (coleções de arquivos maliciosos).

O que sabe é que os antivírus deixaram de ser uma proteção totalmente adequados. Isso é reconhecido por empresas como a Ikarus com sua ilustração e pelo Eugene Kaspersky, da Kaspersky Lab, que no início de 2007 disse que “havia um tempo em que pensávamos que a tecnologia antivírus era suficiente, mas este tempo se foi”. Segundo Kaspersky, o combate aos vírus precisa de ajuda de desenvolvedores de sistemas operacionais e também da educação dos usuários.

O antivírus não está morto. Ele precisa reinventar algumas de suas tecnologias e reencontrar seu lugar em um mercado mutante. As novas soluções para o problema de código malicioso ainda precisam ser refinadas e, uma vez maduras, estará festejando aquele que apostar na tecnologia certa, pois não é garantido o espaço para todos.

Hoje é isso pessoal. Espero que tenham gostado. Na quarta-feira (3) volto com respostas a dúvidas de leitores e na sexta-feira (5) tem o resumo de notícias da semana. Por hora, deixe sua dúvida ou sugestão de pauta nos comentários!

* Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades. Na coluna “Segurança para o PC”, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários.

Nenhum comentário: