terça-feira, 14 de dezembro de 2010

Pacotão: quarentena, antivírus de hardware e correção de falhas

Fonte: G1


Saiba para que serve a quarentena de um antivírus.
Deixe suas dúvidas ou sugestões na área de comentários.

Como funciona e para que serve a quarentena de um antivírus? Os antivírus estão preparados para lidar com vírus em hardware? O tempo de resposta para falhas de segurança da Microsoft é bom? Confira!
Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.
Quarentena no antivírus da Microsoft, Security Essentials. Recurso bloqueia arquivos sem apagá-los, permitindo sua recuperação.  
Quarentena no antivírus da Microsoft, 'Security
Essentials'. Recurso bloqueia arquivos sem
apagá-los, permitindo sua recuperação.
(Foto: Reprodução)
>>> Quarentena
Gostaria de saber o que acontece com os vírus e demais que são capturados pelos antivírus que ficam em quarentena, e se é possível visualizar o código dos mesmos pelo próprio antivírus.
Edson Luiz Caldardo
O procedimento exato depende do antivírus usado. Mas a quarentena tem um único objetivo: isolar o arquivo do sistema operacional para garantir que ele não possa ser executado e nem seja novamente detectado pelo antivírus.
Para isso, o antivírus normalmente modifica o arquivo do vírus de alguma forma – normalmente “embaralhando” os bits do arquivo – para que o vírus armazenado na quarentena não seja detectado pelo antivírus e também não seja compreensível para o sistema operacional.
Em outras palavras, a quarentena isola um arquivo malicioso e permite que você mantenha ele lá indefinidamente, sem qualquer prejuízo para a segurança do sistema. Isso é muito útil: os antivírus podem detectar vírus em arquivos que contêm dados importantes, e a remoção imediata destes tornaria a recuperação da informação difícil ou até impossível.
Além disso, os antivírus sofrem com alguma frequência de problemas com falsos positivos (detecção errônea). O AVG teve um falso positivo grave recentemente, mas ele não é o único a sofrer com esse problema. Falsos positivos em menor escala ocorrem com bastante frequência e é normal que arquivos acabem sendo detectados sem merecer. Se você não usar a quarentena, poderá perder o arquivo de vez.
Quanto à segunda pergunta, Edson, o “código” do vírus só pode ser recuperado com ferramentas específicas, e mesmo assim há uma série de restrições. Em vários casos, o único código que você vai conseguir é o chamado "Assembly". "Assembly" nada mais é do que o código de máquina transformado em comandos legíveis por ser humano, portanto é muito diferente das linguagens que hoje são usadas para desenvolvimento.
O conjunto de técnicas que permite acessar ou compreender o funcionamento de um programa (e, portanto, dos vírus) é chamado de engenharia reversa – e a engenharia reversa não tem ligação alguma com a quarentena!
Mesmo que antivírus verifiquem o hardware por vírus, ainda não seria muito útil hoje em dia. 
Mesmo que antivírus verifiquem o hardware
por vírus, ainda não seria muito útil hoje em dia.
(Foto: Divulgação)
>>> Vírus em Hardware
A coluna recentemente comentou sobre a possibilidade de vírus infectarem chips de hardware. Um leitor questionou:
Os antivírus estão preparados para
esse tipo de praga?

Renato S. Rodrigues
Não, não estão. Mas aí vem outra informação interessante: eles não precisam estar.
Não existem números confirmados sobre ataques de vírus em chips de hardware. O caso recentemente com placas-mães da Dell foi o primeiro que veio a público – mas não há motivo para acreditar que foi, necessariamente, o único. Mas não importa se ataques semelhantes ocorreram no passado, porque se ocorreram, provavelmente foi um vírus criado especificamente para o ataque que ele buscava realizar.
Antivírus são completamente inúteis contra esse tipo de ataque. O antivírus detecta apenas comportamentos reconhecidos como maliciosos e analisa os arquivos do computador para encontrar sequências de código que o antivírus sabe serem parte de um software malicioso. Mesmo que um antivírus fizesse essa análise em componentes de hardware, ela não seria útil porque não existe uma massa de vírus em hardware que o antivírus poderia detectar.
Se você tem uma empresa e é alvo de um ataque desse tipo, o criminoso vai saber qual antivírus você usa na empresa (como também vai saber o hardware usado). Mesmo que o programa fosse capaz de buscar vírus no hardware, o vírus criado pelo invasor certamente não seria detectado.
Enquanto os vírus de hardware não se tornarem um problema comum e geral, eles não entram na lista de ameaças contra as quais o antivírus pode proteger o internauta. Contra ataques específicos a computadores ou organizações específicas, o antivírus não ajuda.
Atualizações da Microsoft não chegam mais rápido que outras. 
Atualizações da Microsoft não chegam mais rápido
que outras. (Foto: Reprodução)
>>> Tempo de resposta de vulnerabilidades do Windows
A coluna, após ponderar as questões da segurança do Windows e do Linux, recebeu o seguinte comentário:
Não há o que questionar: o Windows possui um tempo de resposta a vulnerabilidades ótimo!
João Grumo
A coluna não fez essa afirmação, mas o comentário torna necessário um esclarecimento. A Microsoft não é muito rápida para corrigir problemas de segurança. Normalmente, os problemas são corrigidos muito mais rápidos em softwares de código aberto, como no Linux ou no Firefox. Considerando a complexidade dos programas que desenvolve, o tempo de resposta da Microsoft seria, em comparação com o resto da indústria, no máximo aceitável. “Ótimo” não é a palavra, porém.
É claro que a Microsoft às vezes atrasa intencionalmente o lançamento de uma correção, a fim de agrupá-la junto com as demais na chamada “terça-feira das atualizações”, que acontece na segunda terça-feira útil de todos os meses. Esse é um procedimento desejável em empresas, porque significa que a equipe de informática precisa testar apenas um único grupo de mudanças no sistema, em vez de uma de cada vez em tempos esparsos e indefinidos. A estratégia da Microsoft facilita o planejamento em detrimento do imediatismo.
Isso é importante porque a publicação de uma atualização facilita a “engenharia reversa” do problema, ou seja, o desenvolvimento de um código de ataque. Se a Microsoft liberar uma atualização e ninguém aplicá-la imediatamente, essas pessoas estarão vulneráveis. A ideia de lançar em grupos permite que as atualizações sejam instaladas mais rapidamente, portanto.
No Linux, nenhuma dessas questões é relevante porque a correção torna-se pública no momento em que é feita no código fonte. O invasor pode facilmente verificar o que foi modificado e criar um programa que explore a falha. Até o usuário ou administrador aplicar a correção, existe uma “janela de vulnerabilidade”. Muitos ataques ocorrem nesse momento, o que exige dos administradores de sistemas Linux uma constante atenção e aplicação imediata das correções.
O Linux, por outro lado, não exige tantos testes. O fabricante da distribuição se encarrega de manter todos os softwares no repositório oficial funcionando, compatíveis entre si, e muitos servidores conseguem operar com esses softwares apenas. No ambiente Windows, o uso de programas de terceiros, que não podem ser alterados e corrigidos pela Microsoft, é comum. Fica a cargo dos técnicos a realização de testes e a criação de soluções para eventuais incompatibilidades.
De qualquer forma, são duas estratégias bem diferentes. Mas o “tempo de resposta” da Microsoft, na visão de quem pode aplicar correções imediatamente, é com certeza inferior.
Qual dessas estratégias é desejável, ou mesmo melhor, a coluna não pretende afirmar. São maneiras distintas de abordar o problema e que não são livremente comparáveis ou substituíveis uma pela outra.
A coluna Segurança para o PC de hoje fica por aqui, mas, como sempre, você pode deixar sua dúvida, crítica ou sugestão na área de comentários. Sua dúvida poderá ser respondida no próximo pacotão de segurança, na quarta-feira, e sua sugestão pode virar uma reportagem, que sai sempre às segundas-feiras. Não se esqueça de ficar atento para alertas e notícias de segurança aqui no G1. Até a próxima!
* Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades. Na coluna “Segurança para o PC”, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários. Acompanhe também o Twitter da coluna, na página http://twitter.com/g1seguranca

 

Nenhum comentário:

Postar um comentário

BlogBlogs.Com.Br