http://www.cic.unb.br/~rezende/sd.htm > Virus e malware: spam

Combatendo o Spam e outras pragas digitais

Entrevista à Jornalista Mariana Ceratti,
Para publicação no Correio Braziliense

Prof. Pedro Antonio Dourado de Rezende
Departamento de Ciência da Computação
Universidade de Brasília
18 de Janeiro de 2005
 


Maiana Ceratti: 1- Como os spammers usam o HTML e o CSS para elaborar mensagens capazes de burlar os softwares de segurança?


Pedro Rezende: O conteúdo que representa risco não é propriamente o HTML ou CSS, mas código executável que podem ser nele imersos, como scripts na linguagem  VBscript, ou active scripts, por exemplo. Há várias técnicas. Dentre as mais usadas estão a que possibilita o cross scripting, onde a ação do script ocorre na janela de uma outra página, e os desvios de função, que possibilitam acessar recursos do sistema, como o caderno de endereços do outlook express, para propagação de vírus no windows ou para espionagem.

A primeira defesa pode ser a configuração do programa de correio eletrônico, para que não execute scripts ou exiba imagens externas em mensagens de email. Entretanto, nem sempre esta barreira funciona, mesmo com softwares de segurança. Temos um problema com a maioria dos usuários, que aprendem a usar o que vem instalado junto com  um sistema operacinal de má qualidade, e não quer mudar seus hábitos.

O navegador Internet Explorer, que vem com o Windows, tem estrutura que parece levar mais em conta a segurança do negócio do fornecedor do que a segurança do usuário. É o único navegador que aceita scripts em VBscript, um dialeto da linguagem de controle de processos do Windows, fato que torna a combinação de ambos praticamente indefensável na internet.

Nos últimos 5 anos, os progrmas espiões e os virus mais nefastos que agem no Windows são scripts VBscript que executam quase sem ou sem interferência do usuário, explorando velhas ou novas brechas.

Vários especialistas, inclusive a agência do governo norte-americano responsável pelo combate ao ciberterrorismo, recomendam que não se use mais este navegador, devido a suas vulnerabilidades intrínsecas. Mas os fornecedores de software de segurança, que ganham dinheiro com essas vulnerabilidades, e a grande mídia, desdenham a recomendação.

MC: 2-Os softwares atuais já estão preparados para perceber esse artifício e bloquear emails assim?

PR: Nenhum software é capaz de perceber artifícios maliciosos em conteúdos informacionais. O programador do software está limitado a descrever a malícia alheia através de regras sintáticas, o que não é suficiente na prática. Assim que tais softwares ganham largo uso, os artistas do cibercrime aprendem a burlar essas regras.

O usuário é quem precisa tomar as decisões mais importantes em relação ao que eventualmente roda em seu computador. Enquanto ele acreditar que deve delegar essas decisões finais a softwares, ou a fornecedores de softwares inauditáveis, estará refém desta situação. Principalmente se aceitar softwares cuja lógica é secreta, que não podem ser analisados e criticados livremente, sob o pretexto do fornecedor precisar proteger sua propriedade intelectual.

O usuário poderia escolher um programa de correio eletronico que pode ser configurado para não aceitar html, como por exemplo o pine. Mas parece que a maioria prefere a conveniência. E, além disso, prefere também softwares que são praticamente improtegíveis. Jogado dessa forma, os abusados terão sempre vantagem nesse jogo. Como no crime organizado, no mundo da vida, onde estão sempre burlando as fragilidades dos códigos legais e dos valores culturais.

MC: 3- E as falsas mensagens de erro (como aquelas que recebemos quando um email volta), já podem ser detectadas pelos softwares de segurança?

O problema é muito mais elementar. Nem mesmo as verdadeiras mensagens de erro conseguem informar adequadamente o usuário sobre os riscos que ele corre. Na medida em que softwares se tornam complexos, o problema se agrava. Os exemplos mais gritantes podem ser vistos, por exemplo, com quem precisa usar certificados digitais no Internet Explorer ou no Outlook Express.

O internauta pode seguir acreditando na propaganda dos vendedores de software proprietário, de que estamos progredindo em direção a uma 'solução final' para a segurança do usuário. Ou podem perceber que sua segurança digital é cada vez mais precária, e que o modelo de negócio prevalente para a inclusão digital, o do software proprietário, nãoserá capaz de reverter esta degradação. Pelo visto, a 'solução final',que este modelo oferece se parece cada vez mais com um regime totalitarista, orwelliano, onde o cidadão abdica da sua privacidade e liberdade de conhecimento.

MC: 4- Quais as outras novidades que os especialistas em informática estão vendo na forma de agir dos spammers?

Uma iniciativa promissora parecia ser a escolha de um protocolo de autenticação de remententes, para ser usado como padrão, pela nova geração de servidores de correio eletrônico. Isto facilitaria a aplicação de legislação anti-spam. Mas a guerra pela propriedade intelectual do padrão, que amarraria o direito de implementá-lo, travou as negociações, pois o monopólio dos sistemas operacionais de desktop quer também monopolizar a propriedade e os direitos de uso desse padrão.

MC: 5- Que dicas o sr. dá para evitar o spam?

Instalar e treinar filtros de spam, que conseguem barrar cerca de 98% dos spams quando bem treinados. Evitar usar software proprietário na medida do possível. Instalar e usar software livre para navegar, como por exemplo, o navegador, editor, chat e programa de correio eletrônico mozilla, o navegador firefox ou o correio thunderbird, disponíveis também para o Windows. E finalmente, se tiver alguém de confiança que lhe possa dar suporte, migrar para alguma distribuição amigável do sistema operacional GNU/Linux.

MC: 6- QPor que o Sr considera esses softwares mais seguros?

Porque estes, sendo softwares livres e de sucesso, tem modelo de desenvolvimento bem diferente dos software proprietários, e essa diferença tem importantes cosequências para a segurança do usuário.

Softwares livres de sucesso são projetados e evoluem sob orientação das verdadeiras necessidades dos usuários, e não das necessidades do negócio da empresa cujo filão é a venda de licenças de uso, confundidas com aquelas pelo marketing.

Se a liderança do projeto mozilla, por exemplo, desviar-se das demandas dos contribuintes do projeto, a maioria deles usuários comuns que pedem novos recursos e correção de falhas, o projeto corre o risco de bifurcar, diluindo as contribuições para o seu desenvolvimento, aumentando o risco do projeto definhar, perdendo a competição evolutiva para o fork concorrente.

Como exemplo, podemos citar o fork recente com o software de biblioteca gráfica Xfree, na qual se baseiam as interfaces gráficas de sistemas operacionais livres, como as distribuições GNU/Linux, por divergências em relação a questões de liberdade no licenciamento. O projeto bifurcou em Xfree86 e Xorg, como o Xorg mantendo as características de liberdade da licença original. O próprio mozilla é um fork do Netscape, que já dominou o mercado de navegadores nos primórdios da web.

Não só no caso do software de navegação web e correio, mas principalmente nesses, as demandas apontam cada vez mais para as necessidades do usuário poder controlar o que acontece em seu computador. O mozilla, por exemplo, já vem com filtro de spam baseado em inteligencia artifical e controle de bloqueio de pop-up embutidos. Além de possibilitar o bloqueio de qualquer tipo de script em mensagens, e um melhor controle sobre o que cada script de página visitada pode fazer.

Além disso, como os projetos de software livre são independentes, o do navegador não foge ao caso. Sendo independente do sistema operacional, a ligação entre ambos é apenas através de padrões abertos, para a interoperabilidade, e não de dependência forçada ou integração artificial. Essa característica de indepenência impede que os efeitos ecológicos nefastos da monocultura digital se manifestem.

Doutra parte, as vulnerabilidades intrínsecas do internet explorer decorrem de decisões de projeto adequadas à alavancagem da posição monopolista da empresa no mercado de sistemas operacionais de desktop, através da evolução da informática em direção às chamadas web aplications.

O VBscript, que mencionei anteriormente, por exemplo, é o maior responsável pelas incompatibilidades das páginas desenvolvidas com ferramentas da Microsoft em outros navegadores. E o efeito colateral aparece na facilidade de se fazer vírus contra a plataforma, independentemente de quantos patches se instalem.

Sendo o Internet Explorer um software proprietário, e tendo atingido uma posição hegemônica pela ação truculenta do monopólio do windows na guerra dos browsers, fartamente demonstrada na ação judicial que condenou a Microsoft, em última instância nos EUA em 2001, a empresa não se sente mais incentivada a faze-lo evoluir.

Ela trata a segurança do usuário antes como uma questão de marketing, e como oportunidade de negócio com 'parceiros' do mercado de softwares de segurança. Basta ver o alarde que ela faz sobre a necessidade de não se divulgar as vulnerabilidades do sistema, "pois isso ajuda os criminosos".

O resultado é o agravamento do caos digital em que estamos metidos. Na minha opinião, enquanto não reconhecermos que o modelo de negócio do software proprietário esgotou seu ciclo de eficácia social, e deve ser substituido, não teremos chance de sair deste atoleiro. Se quisermos preservar a todo custo este modelo obsoleto, a única solução que vejo é a radicalização do direito informático, em direção ao totalitarismo digital. Será o fim da privacidade e da liberdade de conhecimento.

MC: 7- É porque ainda não há vírus, scripts e softwares maliciosos escritos para eles?

Mais importante, é porque é muitissimo mais difícil se fazer virus para esses softwares com a mesma potência maléfica dos virus feitos em VBscript, pelos motivos que afirmei antes.

A desculpa do marketing da empresa, de que o navegador dela é mais visado porque é o mais popular, é uma explicação falaciosa que não se pode desprovar enquanto a situação monopolista perdurar. Mas se pode compará-la com a explicação alternativa que os especialistas sugerem, e que apresentei nesta entrevista, se obervarmos o que acontece na outra ponta, no mercado dos servidores web.

O mercado de servidores web é dominado pelo servidor Apache, que é software livre, e portanto, tem modelo de desenvolvimento orientado pelas verdadeiras necessidades dos usuários. O Apache detém cerca de 67% do mercado, enquanto o equivalente da Microsoft, o IIS, detém cerca de 24%.

No mercado de servidores, portanto, o IIS está longe de ser o mais popular: enquanto as estatísticas dos centros de resposta a incidentes na internet mostram que quatro de cada cinco invasões em sites ocorrem em servidores Microsft, em versões do IIS.