Scott Wasson, do The Tech Report, observa que dois de seus familiares foram vítimas do exploit de e-mail eCard que tem circulado ultimamente:
Acabei de entregar um pacote com o laptop do meu pai na loja da FedEx hoje à tarde. Passei parte de vários dias desta semana recuperando seus dados, limpando a unidade e reinstalando o sistema operacional e os principais aplicativos. Meu pai é um cara experiente em tecnologia, mas em um momento de fraqueza, ele abriu o uma dessas mensagens de spam de cartão de felicitações recentemente e seu computador foi infectado por um trojan. O trojan instalou um proxy para o IE7 e redirecionou todas as consultas de DNS para um servidor comprometido e, em seguida, cobriu a maior parte de seus rastros por meio de um rootkit. Limpei a unidade e comecei tudo de novo porque achei que não poderia ter certeza de que o cavalo de Troia seria totalmente removido do sistema dele.
Passei pela mesma situação com o PC da minha esposa há pouco tempo. Ela também sabe que não deve abrir anexos, mas o caso do cartão de felicitações a pegou desprevenida de alguma forma. Ela demorou um pouco para admitir que havia passado pelas etapas de abrir o e-mail, clicar no link, fazer o download do payload e executar o executável. Perdi um dia de trabalho, pelo menos, para reconstruir a máquina do zero.
Se não fosse por ferramentas como a Rootkit Revealertalvez eu nem conseguisse detectar os cavalos de troia. Um deles parecia estar atacando nosso software antivírus e tentando até mesmo interromper o processo do Revealer.
Eu poderia ficar bravo com meus parentes por terem cometido um erro, mas é difícil ver o motivo. O que é realmente frustrante é que os dois tinham motivos para acreditar que um cartão de felicitações poderia estar chegando naquele momento e motivos para estarem um pouco agitados: meu pai passou por uma cirurgia no cérebro recentemente. Esses ataques baseados em e-mail atacam aqueles que podem não estar operando 100% por qualquer motivo. Isso me deixa muito irritado.
O que me faz pensar: se isso pode acontecer com algumas pessoas bastante experientes em tecnologia como essas, qual é o grau de disseminação desse problema? E o que acontece quando seu computador é infectado e o senhor não tem um parente próximo que seja especialista em PC? O trojan no PC da minha esposa não foi detectado pelo Windows Defender, Avast! antivírusou o Ferramenta de remoção de software malicioso do Windows.
Sinto sua dor. Recentemente, passei por uma experiência semelhante em uma de minhas máquinas, que documentei no Como limpar uma infestação de spyware no Windows. Tenho certeza de que ficaria ainda mais irritado se isso tivesse acontecido com alguém mais vulnerável, como minha esposa ou meu pai. Mas há algumas lições difíceis a serem aprendidas aqui:
- Pare de executar como administrador
Para responder à pergunta que Scott fez no final de sua postagem, o problema é que incrivelmente muito difundido; é um Epidemia de segurança do Windows. A única solução real de longo prazo para a epidemia de segurança do Windows é parar de executar como Administrador. O UAC do Vista é, na melhor das hipóteses, uma meia etapa marginalmente eficaz. Por que não emular os sistemas operacionais UNIX, que parecem ser imunes à maioria das infecções até o momento? Quando foi a última vez que o senhor ouviu falar de um usuário de Linux ou FreeBSD que executava um software antivírus? Ou um usuário de Mac OS X? Existem alguns programas antivírus para o Mac, mas o senhor não tem certeza. eles são, em grande parte, óleo de cobra, pois têm pouca proteção contra.
Se o senhor seguir o conselho de executar como não-administrador, talvez descubra que a rota de usuário padrão também é dolorosa. Recebi um e-mail de James Boswell que descreve essa dificuldade:
O senhor e muitos outros têm defendido o uso de usuários administradores e usuários padrão no Windows. Também sou um desenvolvedor experiente do Windows e monto máquinas regularmente, mas sempre tive acesso de administrador para um único usuário. Desta vez, estou montando uma máquina Vista Home Premium de 64 bits para meu filho e pensei em seguir o conselho do senhor, mas tive muita dificuldade com vários usuários.
Quando conectado como usuário padrão, as instalações de software são imprevisíveis. Por exemplo, o 3DMark06, o Shockwave 10 e o Gamespot Download Manager não foram instalados corretamente como usuário padrão (com privilégio de administrador quando solicitada a senha). Todas as três instalações com falha exigiram que eu mudasse o usuário para o administrador e repetisse as instalações. Além disso, muitas instalações exigem que eu digite minha senha várias vezes, não apenas durante a instalação, mas quando o programa é executado pela primeira vez (geralmente para acesso ao firewall ou atualizações).
Tudo isso é muito inútil, porque meu filho, sem dúvida, vai querer instalar software durante o uso do computador e, portanto, virá até mim dizendo “Pai, quero instalar {Counter Strike | algum plugin da Web | um protetor de tela} e o Vista está me incomodando de novo”, então eu verei o que ele está instalando e digitarei minha senha para aprovar o acesso e, em seguida, voltarei ao que estava fazendo. Mas agora estarei aguardando a resposta “PAI!!! … isso não funciona” porque a instalação falhou.
Em seguida, terei que mudar de usuário para administrador, repetir as ações do meu filho para acessar o programa de instalação, aguardar a conclusão da instalação, executar o aplicativo para aprovar qualquer firewall ou outras permissões e, em seguida, fazer logoff. Definitivamente, sou a favor do controle responsável dos PCs pelos pais, mas essa é uma perda de tempo monumental e totalmente desnecessária.
Isso é parcialmente culpa dos desenvolvedores de software do Windows que não testam como usuário padrão. É decepcionante, mas compreensível, já que o a execução como Administrador foi institucionalizada há muito tempo no Windows. Isso também é um problema específico para usuários que precisam instalar muitos softwares por qualquer motivo. Por outro lado, minha esposa funciona bem como usuário limitado, mas quase nunca instala nenhum tipo de software. Espero que mais desenvolvedores do Windows estejam testando seus softwares quando executados como usuário padrão e, com o tempo, a execução como usuário padrão se tornará tão fácil quanto em um sistema operacional baseado em Unix.
- O antivírus tradicional não funciona mais
A abordagem de lista negra usada pelos fornecedores de antivírus simplesmente não se adapta ao ambiente de ameaças atual. As listas negras nunca são particularmente eficazes. Mas está chegando ao ponto em que a ilusão de proteção proporcionada por uma solução antivírus tradicional é pior do que não ter proteção alguma:
Vamos supor que alguém que esteja envolvido com a resposta a incidentes em uma típica universidade pública dos EUA tenha coletado algumas amostras recentes de malware das máquinas comprometidas e, em seguida, enviado todas as amostras ao VirusTotal para verificação em todos os produtos antivírus e similares atuais. Qual o senhor acha que é a taxa média de detecção?
Vou lhe dar a resposta: é 33%. Em outras palavras, a taxa média de detecção de malware dessas “soluções” foi de 33%, com o máximo em 50% e o mínimo em 2%. Tenha esse número em mente: aquele produto antivírus brilhante que o senhor acabou de comprar pode estar protegendo-o de apenas 2% dos malwares comuns e ativos no momento (e não de algumas coisas esotéricas e personalizadas do uber-haxor)!
Tenho que concluir o que muitos especialistas em segurança estavam falando há anos: O antivírus “convencional” está finalmente MORTO. É uma desculpa fraca para a defesa em profundidade, mais ou menos no mesmo sentido em que usar uma camisa extra fornece “outra camada de segurança” em um tiroteio.
Não só o antivírus prejudica o desempenho de sua máquina, ele nem mesmo protege o senhor adequadamente! Mesmo que sua solução antivírus ou antimalware esteja capturando 90% das ameaças de forma incrivelmente otimista, basta uma nova ameaça não detectada para passar e sua máquina é completamente 0wned.
E eu quero dizer “próprio”. Estes não são os do seu pai happy99.exe trojans. As ameaças atuais evoluíram para feras muito sofisticadas. Senti um arrepio quando Scott mencionou tão casualmente que o payload do trojan eCard é um rootkit que redireciona todas as consultas de DNS para um servidor DNS comprometido. Esse é o pior cenário possível, que está se tornando cada vez mais comum. Boa sorte na detecção de uma ameaça que subverte o próprio kernel do sistema operacional. As técnicas tradicionais de programação não funcionam; o senhor precisa combater fogo com fogo e contratar seus próprios hackers do kernel para enfrentá-los. Isso leva a um tipo de armagedom de software que ninguém pode realmente “vencer”: o senhor fica com um rastro de sistemas operacionais destruídos e usuários completamente derrotados.
- A generalização dos sandboxes de máquinas virtuais
A execução como não-administrador deve ser absolutamente padrão, pois é uma das poucas técnicas de segurança com histórico comprovado. Mas, com desejo e iniciativa suficientes, usuários ingênuos ou mal-intencionados ainda podem subverter a conta de usuário limitada. Se os usuários quiserem muito ver os coelhinhos dançantes — ou, no caso de Scott, quiserem ver o cartão eletrônico que alguém lhes “enviou”, eles digitarão a senha do administrador e farão o escalonamento. Esqueça a proteção dos usuários contra ameaças mal-intencionadas. Agora o senhor precisa lidar com um problema muito mais difícil: Como o senhor protege os usuários de si mesmos? Acho que a virtualização é a única maneira racional de proteger os usuários de si mesmos— e é por isso que a virtualização é a próxima grande fronteira da segurança de computadores.
Virtualização total da máquina, como visto em Virtual PC 2007 e VMWare é uma maneira de conseguir isso, e é um uso completamente natural para a quantidade obscena de poder de processamento local que temos em nossos desktops. Mas há também a virtualização de software, que isola todo o acesso ao disco de aplicativos individuais. No início deste ano, O Google adquiriu a GreenBorder Technologiesque usava virtualização de software para isolar o navegador do disco e impedir completamente qualquer ataque de malware. O produto deles não é mais distribuído enquanto eles fazem o que quer que estejam fazendo como parte do Google, mas para contextualizar, o senhor pode ler uma análise de seu produto original, o GreenBorder Pro, na PC Magazine. Observe a anotação “não precisa de atualizações de assinatura” na análise. Com a virtualização, o senhor deixa de se preocupar com listas negras e atualizações de assinaturas; está protegido contra qualquer ameaça possível, agora ou no futuro.
Bem, com exceção do raro ameaças que têm como alvo a camada de virtualização, mas esse é um osso muito mais duro de roer.
Acima de tudo, Não gosto da cultura do medo que permeia o marketing do software de segurança do Windows. Não acho que seja ético assustar os usuários para que comprem seu produto de software de segurança – e isso também cria um enorme conflito de interesses entre os fornecedores de software de segurança e os criadores de vírus, malware e cavalos de troia. Afinal de contas, por que compraríamos um software antivírus se, como os usuários do Mac OS X, tivéssemos quase nenhum risco de ser infectado por um vírus, malware ou trojan? Os fornecedores de software de segurança do Windows precisam das ameaças – e quanto mais confiáveis e temíveis forem as ameaças, melhor – para ganhar dinheiro. Eles não têm incentivo econômico para apoiar um ambiente em que as ameaças sejam ineficazes. O status quo de segurança fraca do Windows lhes convém muito bem. Ele vende seus produtos.
Acredito que podemos resolver a epidemia de segurança do Windows sem usar o medo como tática de marketing. Precisamos parar confiar na proteção ilusória e cara das listas negras de antivírus e iniciar implementar soluções melhores. Hoje, já temos a capacidade de executar como uma conta de usuário limitada. É uma pena que os poderes da Microsoft não tenham tido a coragem de ativar as contas de usuário limitadas como uma configuração padrão no Vista. Mas isso não deve nos impedir. Devemos ter a coragem de puxar o gatilho nós mesmos. E se adicionarmos um pouco de virtualização à mistura, acho que podemos eliminar quase completamente a maioria das ameaças à segurança. Atualmente, o software antivírus do Windows é considerado obrigatório. Mas eu adoraria ver um dia em que, como no OS X e em todas as outras variantes do sistema operacional Unix, o software antivírus fosse visto como desnecessário, até mesmo supérfluo.