As ferramentas da tecnologia avançada: dezembro 2009

sábado, 5 de dezembro de 2009

Saiba como funcionam os programas antivírus

Uma “assinatura” é:

Uma informação usada para detectar pragas.Assim como a assinatura do nome identifica a identidade da pessoa, a assinatura de um vírus é o que o antivírus usa para identificar que uma praga digital está presente em um arquivo. A assinatura é geralmente um trecho único do código do vírus. Procurando por esse trecho, o antivírus pode detectar o vírus sem precisar analisar o arquivo inteiro.

O que é a quarentena?

É o local onde o antivírus armazena arquivos identificados como vírus. As assinaturas nem sempre são 100% confiáveis e podem detectar vírus em arquivos inofensivos. Ao deixar os arquivos suspeitos em um local isolado e seguro, o antivírus permite que os mesmos sejam recuperados mais tarde, se isso for necessário, e impede que as pragas realizem qualquer atividade maliciosa. Idealmente, os arquivos na quarentena são criptografados ou alterados de alguma forma para que outros antivírus não os identifiquem como vírus. Isso nem sempre acontece, e a quarentena acaba gerando conflitos caso dois softwares antivírus estejam em um mesmo PC – o que não é recomendado.

Às vezes, antivírus cometem o erro de detectar infecção em programas legítimos, sem vírus. A isso se dá o nome de...

Falso positivo. Quando um antivírus examina um arquivo, ele responde uma pergunta implícita – “esse arquivo é um vírus?” A resposta pode ser positiva (“sim, é”) ou negativa (“não, não é”). Quando um antivírus dá uma resposta positiva incorretamente, diz-se que ocorreu um “falso positivo”. Quando o antivírus deixa escapar um vírus, o termo é “falso negativo”.

O correto a se fazer com um vírus que o antivírus não detecta é...

Enviar o arquivo para a empresa antivírus. Se você sabe que o arquivo é um vírus e o antivírus não o está detectando, enviá-lo para análise é a atitude mais correta a se tomar. Muitos programas possuem opções em seus menus para realizar esse procedimento. Em outros casos, os sites das empresas disponibilizam um e-mail. Enviar os arquivos ao também funciona, porque ele redistribui a amostra para mais de 40 empresas antivírus.

Algumas empresas não facilitam nada o envio de arquivos suspeitos, exigindo o preenchimento de extensos formulários, mas é o correto a se fazer. (Foto: Reprodução )

Heurística é...

Um conjunto de técnicas para identificar vírus desconhecidos. Muitos programas inclusive possuem nomes de vírus específicos para o que é detectado pela heurística. Um usuário que conhece bem o seu antivírus pode saber quando a heurística está agindo para enviar os arquivos suspeitos à companhia antivírus. O Norton AntiVirus, por exemplo, chama de “Bloodhound” o que é detectado com essa tecnologia; o NOD32, “NewHeur”. Uma detecção heurística, por ser genérica, também tem mais chance de ser um falso positivo.

Não é um uso válido da quarentena...

Isolar arquivos importantes contra infecção. A quarentena apenas serve para isolar as pragas digitais e não tem a finalidade de proteger arquivos legítimos contra infecção.

Analisa o comportamento dos programas em execução. É às vezes também chamada de “behavior blocking”. Usando essa tecnologia, os antivírus verificam se um programa realiza atividades suspeitas, como por exemplo envio de e-mails em massa, download de muitos arquivos, entre outros comportamentos que indicam a possibilidade de ser uma praga digital. É diferente da heurística porque só funciona com programas em execução, enquanto a heurística analise o próprio arquivo.

Atualmente, não se considera tarefa do antivírus a detecção de...

Nada. O antivírus tem o dever de detectar qualquer programa malicioso ou mesmo apenas indesejado. Até alguns anos atrás, os usuários precisavam instalar softwares separados para cada função. Ao antivírus era reservada a função de detectar apenas pragas digitais; antispywares e antitrojans se encarregavam de remover ou detectar softwares suspeitos ou de comportamento duvidoso. Hoje, tudo isso foi integrado ao antivírus. Aplicativos anti-spywares dedicados estão sumindo por não serem mais necessários.

Seu computador está infectado. O antivírus remove algumas pragas, mas não resolve o problema. Você instala outro programa, ou usa um antivírus on-line. Ele detecta mais pragas e o problema é resolvido. É correto afirmar...

Nada pode ser afirmado. Nenhum antivírus detecta 100% das pragas. No momento que um computador está infectado, é evidente que o antivírus falhou. No entanto, quantas outras pragas digitais foram detectadas, barradas ou eliminadas pelo antivírus que estava no computador até então? É muito comum esse cenário: o computador é infectado, o usuário instala outro programa, ele remove as pragas e conclui-se que o segundo software era melhor que o primeiro. É uma conclusão equivocada, no entanto, e é importante evitá-la.

Conheça quais são os riscos de desbloquear seus eletrônicos

Um vírus inofensivo para iPhone foi disseminado na Austrália. Detalhe: apenas aparelhos desbloqueados estavam vulneráveis. Além do iPhone, muitos outros eletrônicos, especialmente consoles de videogame e outros gadgets podem ser desbloqueados. Mas por que o desbloqueio torna esses dispositivos possíveis alvos de ataques? Entenda o motivo na coluna Segurança para o PC de hoje.

Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.

Os eletrônicos se assemelham cada vez mais a computadores. Possuem componentes genéricos que podem realizar uma infinidade de tarefas, como qualquer PC. No entanto, o fabricante do hardware geralmente deseja que o equipamento seja utilizado de um modo pré-determinado. O bloqueio é exatamente a tecnologia empregada para impedir que o aparelho realize tarefas para as quais ele não foi projetado.

O bloqueio é uma limitação que interessa ao fabricante ou fornecedor do dispositivo.

No caso do iPhone, o bloqueio serve para garantir que o celular da Apple seja usado apenas com operadoras de telefonia específicas. Essa capacidade é muito relevante na hora de negociar os contratos envolvidos na venda do produto.

Em videogames, o bloqueio serve para evitar o uso de jogos piratas. Como a fabricante do console recebe parte da receita de jogos, e hoje alguns consoles são vendidos até abaixo do preço de custo justamente com a expectativa dessa receita, é muito interessante que apenas games originais sejam comercializados. O bloqueio também impede que produtores independentes comercializem seus jogos sem autorização, garantindo o negócio permaneça sob o controle.

Bloqueio de chip em celulares tem como único objetivo impedir que aparelhos subsidiados sejam usados com uma operadora concorrente. (Foto: Divulgação)

As operadoras de telefonia realizam um bloqueio diferente nos celulares, que impede o funcionamento de chips de concorrentes. Novamente, o bloqueio interessa a alguma empresa, neste caso, à operadora. Os fabricantes enviam estes telefones para as operados sem nenhum bloqueio ou restrição, porém, por não contarem com os subsídios da operadora, custam mais caro. A ideia das operadoras é que a mensalidade e as chamadas feitas pelos clientes paguem a oferta do telefone a um preço reduzido, semelhante ao que acontece com os desenvolvedores de consoles que apostam na venda de jogos.

Além do bloqueio de operadora, como o de qualquer outro celular, o iPhone (e o iPod também) possuem um bloqueio como o dos consoles: somente aquilo que é autorizado pelo fabricante – no caso, a Apple – pode ser executado no aparelho. Porém, o iPhone e o iPod são capazes de muito mais que isso, o que levam usuários interessados a criarem mecanismos de burlar esta restrição e é isso que é o desbloqueio.

A liberdade tem seu preço

Linux para iPods é possível apenas com desbloqueio e também já foi alvo de um vírus-conceito. (Foto: Reprodução)

Exceto no caso de celulares com SIM lock (bloqueio de chip), onde não há risco nenhum de ter o aparelho desbloqueado, o destravamento permite que diversos “recursos” adicionais sejam habilitados. No caso dos consoles, é possível usar não apenas jogos piratas, mas também jogos “independentes”, emuladores e, em alguns casos, reproduzir DVDs de qualquer região, MP3 e outros utilitários que não são por si só ilegais.

Mas, ao ter essa liberdade, o número de possíveis problemas aumenta. Há um cavalo de troia que danifica os consoles portáteis PSP da Sony e o DS da Nintendo, por exemplo. Essas pragas só podem ser executadas por meio do uso de alguma técnica que retire a limitação imposta pelo fabricante.

No caso do iPhone, o desbloqueio, também chamado de jailbreak, permite a execução de aplicativos não-autorizados. Com isso, torna-se possível a criação de vírus – o que normalmente não é possível, exceto pelo uso de alguma brecha de segurança. Foi o que aconteceu no caso do primeiro “vírus” inofensivo criado para o aparelho.

Já os iPods podem até rodar Linux depois de destravados. Um vírus-conceito chamado Podloso foi criado para mostrar que o tocador de música digital também pode sofrer ataques.

Mejias destaca as vantagens de ter desbloqueado seu celular da Apple. “Posso usar o bluetooth com outros aparelhos, posso usar programas gerenciadores de arquivos, instalar aplicativos de terceiros que não estão na Apple Store... Antigamente, a Apple não liberava envio de MMS, então era necessário desbloquear o aparelho para poder enviar as mensagens. Com o firmware 3.0, no entanto, isso foi liberado. Posso usar meu iPhone como modem, posso instalar aplicativos para pode fazer gravações com a câmera [a câmera do iPhone nativamente só tira fotos] e carregar páginas em Flash”.

Ele diz não ter medo de vírus, pois “prefere correr o risco a ter um dos melhores aparelhos do mundo com todas as limitações impostas pela Apple” e opina que a companhia de Steve Jobs deveria conversar com os donos de iPhone para chegar a um consenso. “Espero que um dia Apple faça uma pesquisa de mercado com seus usuários para ver que o número deles que pedem o desbloqueio é grande, e estude soluções viáveis para agradar a todos os donos do iPhone e eles como empresa”.

De qualquer forma, as chances de ser infectado por um desses vírus é muito pequena. Os ataques costumam ser bem localizados e, para ser atingido, será necessária uma dose de azar. Os vírus para esses eletrônicos desbloqueados têm uma dificuldade muito grande de se espalhar, quando tentam. Por enquanto, desbloquear é uma prática segura, mas é necessário estar ciente dos riscos para evitar qualquer problema.

A coluna Segurança para o PC de hoje fica por aqui. Volto na quarta-feira (25) com o pacotão de respostas. Se você tem alguma dúvida, sugestão de pauta ou crítica deixe-a na área de comentários, logo abaixo. Até a próxima!

* Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades. Na coluna “Segurança para o PC”, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários. Acompanhe também o Twitter da coluna, na página

Conheça os golpes virtuais que ganham força no final do ano

Ainda falta um mês para o final do ano e, nesta época, os criminosos virtuais geralmente criam golpes envolvendo desejos de boas festas, cartões e promoções natalinas. A coluna Segurança para o PC de hoje mostra quais foram os golpes que circularam no ano passado envolvendo esse tema e faz uma recomendação: evite cartões on-line.

Datas especiais são sempre tema de golpes

É tradição: qualquer data especial vira tema de golpes. Desde a declaração do imposto de renda às datas comemorativas, como dia dos pais, das mães, Páscoa, Natal e Ano Novo. Eventos, inclusive noticiosos, como mortes de pessoas famosas, também são usados por criminosos. Eles precisam conseguir a atenção das vítimas para que os e-mails sejam lidos e os links ou anexos, abertos.

Abaixo você confere alguns dos golpes que circularam em 2008. As imagens foram cedidas pelo grupo . É possível perceber, pelas datas, que eles se estendem do início de dezembro até o início de janeiro. As marcas e nomes de empresas envolvidos foram retirados das imagens.

Se você receber um e-mail que suspeita ser malicioso, você pode encaminhá-lo para o Linha Defensiva. O e-mail será analisado e, caso contenha conteúdo malicioso, será feita uma tentativa de reduzir o número de vítimas, derrubando os links que levam aos sites.

Pacotão de segurança: ataques contra hardware e antivírus para MSN

Chegamos ao primeiro pacotão de segurança de dezembro, que traz respostas para mais dúvidas deixadas pelos leitores da coluna Segurança para o PC. São elas: pode um vírus causar explosão de um monitor ou outro componente do PC? Como funciona a identificação de origem no caso de IPs dinâmicos? Existe um antivírus específico para MSN? Como criar um ponto de recuperação do sistema? Veja abaixo.

>>> Dano a hardware

É possível, ainda que teoricamente, um vírus (ou qualquer tipo de ataque) causar a explosão do monitor ou de outro componente do PC? Não seria possível, através da alteração remota da distribuição de energia causar uma coisa dessas?
Marcelo

O hardware precisa ter mecanismos de segurança para protegê-lo contra possíveis erros de software. No caso, uma placa-mãe não deve permitir, por exemplo, que a distribuição de energia seja alterada. Não é algo que precisa ser ajustado e, portanto, não faz sentido permitir tal configuração. Mesmo quando for necessário permitir tal alteração, ela deve sempre permanecer em níveis seguros ou o computador precisa ter mecanismos que impeçam danos.

Por exemplo, muitos computadores se desligam quando o processador fica muito quente, porque isso pode danificá-lo. Um vírus poderia, em tese, ficar consumindo o processador o tempo todo com o intuito de aquecê-lo. Com a proteção de desligamento, não há maneira de estragar o processador em si, já que o computador irá se desligar antes que isso aconteça.

No entanto, o hardware pode, sim, conter falhas que permitem a um software realizar operações que venham a causar estragos de verdade. Porém, o funcionamento do hardware varia bastante de um componente para o outro, e um vírus provavelmente ficaria limitada a uma linha de componentes ou talvez um fabricante, no máximo.

Um ataque teria de ser muito engenhoso e persistente para conseguir danificar qualquer equipamento.

De qualquer forma, um vírus com essa funcionalidade teria dificuldades para se espalhar – um computador quebrado não passa infecção adiante – e também seria muito fácil de ser notado. Os criminosos atualmente não têm interesse nesse tipo de ataque, porque precisam ganhar dinheiro. Exceto no caso de um possível golpe de extorsão, não seria possível ganhar dinheiro dessa forma e há outras maneiras muito mais simples.

>>> Investigação de crimes

Como é possível punir alguém por um crime cometido via internet se a maioria das conexões brasileiras usam IP dinâmico?
Leonardo Antonioli

Os investigadores geralmente não seguem o IP e sim o endereço MAC e mesmo assim se alguém conseguir mascarar o MAC tem como ser descoberto.
Thiago

O leitor Thiago respondeu ao Leonardo com uma afirmação interessante. Antes de responder à dúvida do Leonardo, é preciso definir conceitos.

O endereço IP é um endereço lógico (de software) dado a uma conexão. O endereço de Media Access Control (MAC) é um endereço físico dado a qualquer dispositivo de rede.

O endereço IP pode ser dinâmico, ou seja, um novo endereço pode ser dado a cada nova conexão. O endereço MAC, no entanto, raramente muda, ou não precisa mudar. Ele também precisa ser único em toda a internet, como o endereço IP precisa ser.

Isso porque o MAC é usado apenas na rede imediata, ou seja, da conexão do seu computador com o modem (e do modem com o roteador do provedor e assim por diante). O endereço MAC não chega até a outra ponta de uma conexão na internet. O endereço IP, por sua vez, chega.

Portanto, não há utilidade do endereço MAC em investigações de crimes praticados por meio da internet.

Sobre os IPs dinâmicos, os provedores registram qual IP foi usado por um determinado usuário num dia e hora. Assim, tendo o endereço IP e o horário, é possível saber qual usuário estava com ele alocado naquele momento. No entanto, essa informação só pode ser obtida com ordem judicial e não há no Brasil, ainda, uma lei que obrigue os provedores a armazenar essa informação, embora alguns já o façam, pois se trata de uma boa prática de rede.

>>> Antivírus para MSN

Existe algum antivírus específico para MSN?
Mirelle

Qualquer antivírus examina automaticamente os arquivos recebidos via MSN, pois a proteção em tempo real dos programas cumpre a tarefa de verificar todos os arquivos criados ou lidos antes de serem abertos.

Porém, há também ferramentas específicas para remover vírus que se espalham por MSN. faz isso e o também. Essas ferramentas removem vírus que usam o MSN para se espalhar. Use-as se, por exemplo, seu MSN está enviando mensagens infectadas automaticamente.

Restauração do sistema no Windows XP. (Foto: Reprodução )

>>> Restauração do sistema

Qual o caminho para eu criar uma ponte de restauração (como segurança)?
Eclair

Para criar um ponto de restauração para o qual você pode voltar no caso de problemas, clique com o botão direito em “Meu computador” e então em “Propriedades”. Na aba “Restauração do sistema”, certifique-se que “Desativar restauração do sistema” não está marcado.

Então, vá para Iniciar > (Todos os) Programas > Acessórios > Ferramentas de Sistema > Restauração do sistema. Marque a segunda opção para criar um ponto de restauração e então avance. Depois, você pode usar essa mesma tela, porém a primeira opção, para restaurar um ponto.

Outra alternativa, caso o sistema nem inicie depois de algum problema, é pressionar F8 durante a inicialização e selecionar a opção “Última configuração válida”.

A coluna Segurança para o PC de hoje termina por aqui, mas volta na sexta-feira (4) com os principais fatos da semana. Deixe sua dúvida para o próximo pacotão na área de comentários, abaixo. Até lá!

Atualização faz antivírus detectar arquivos legítimos como vírus

Problema foi identificado com o avast!, popular no ambiente doméstico.

Colunista comenta esta e outras notícias de segurança da semana.

Segundo informações da fabricante de antivírus Alwil, desenvolvedora do avast!, um dos produtos mais populares no mercado doméstico, um erro em uma atualização divulgada nesta semana fez com que o programa detectasse “centenas” de arquivos legítimos como vírus. Entre os programas que viraram alvo do antivírus estão drivers de placa de som da Realtek, cuja remoção pode deixar o computador com problemas no áudio. Programas multimídia e softwares da Adobe também podem ter sido corrompidos.

Também nesta semana: site da usina nuclear Angra é pichado e vírus exige pagamento para liberar acesso à internet

>>> Erro do avast detecta vírus em arquivos da Adobe e drivers

Usuários do antivírus avast! podem ter de restaurar arquivos da quarentena do software (“Virus Chest”) devido a um grave problema de falso positivo ocorrido no final da quarta-feira (2). Uma atualização do programa passou a detectar vários arquivos inofensivos como Win32:Delf-MZG ou Win32:Zbot-MKK. Segundo a alwil, desenvolvedora do antivírus, arquivos da Adobe, de drivers de som da Realtek e vários programas multimídia estão entre os que foram possivelmente danificados pelo erro do programa.

Uma nova atualização eliminando o problema foi lançada cerca de cinco horas depois, na madrugada desta quinta-feira (3). Segundo a companhia, “centenas” de arquivos podem ter sido marcados incorretamente como vírus.

A Alwil possui uma de como restaurar o conteúdo da quarentena, mas em inglês. O artigo de suporte em que a empresa revela o erro também está apenas disponível em inglês.

Esse tipo de problema é chamado de “falso positivo” e ocorre com certa frequência. A função de quarentena dos programas antivírus serve para permitir que o computador seja desinfectado sem que os arquivos sejam imediatamente removidos, possibilitando a recuperação dos dados ou programas no caso de erros.

>>> Site da usina nuclear Angra é pichado foi pichado por uma foto de um olho com as cores da bandeira do Brasil e a inscrição “Lutando pelo Brasil!”. A mensagem deixada não parece ter sido criada especificamente para a desfiguração do site da usina. Os realizadores do ataque se identificaram como “F1R3H4CK3R”

O Zone-h, que contabiliza desfigurações de sites e tem mais de em seu banco de dados só neste ano, não registrou a invasão até o momento. Segundo o site, a página principal da Eletronuclear, estatal que gerencia a usina, foi invadido pela última vez em 2000.

Os criminosos também colocaram a mensagem “deface por protesto para um melhor Brasil possível”, mas não deixaram nenhuma mensagem específica. “Deface” é o jargão usado para se referir ao ato de pichar um site.

O site ficou inacessível durante parte da quinta-feira (3). entrou em contato com a assessoria de imprensa da Angra, mas até o momento não obteve retorno.

Sem inserir o código de desbloqueio, vítima fica sem acesso à internet. (Foto: Reprodução )

>>> Vírus exige pagamento para liberar acesso à internet

Um programa malicioso de origem russa acompanha um gerenciador de downloads. Uma vez instalado, o software “uFast Download Manager” exibe uma tela que ocupa boa parte da área de trabalho. Nela, o usuário é informado que precisa adquirir o aplicativo antes de seguir usando a internet.

O uFast Download Manager realmente realiza o gerenciamento de downloads. Mas ele não exige o registro informado pelo código malicioso que o acompanha e que trava o computador. Para “ativar” o programa é necessário enviar um código via SMS para um número premium. Com isso, a vítima irá pagar o criminoso por meio da conta telefônica.

Desinstalar o “uFast Download Manager” não remove a tela que pede pelo pagamento, nem restaura o acesso à internet, segundo informações da fabricante de antivírus CA.

O vírus é mais um exemplo da classe de pragas “ransomware”, que sequestram o computador ou os arquivos e exigem pagamento para “devolvê-los”

As ferramentas da tecnologia avançada