http://www.cic.unb.br/~rezende/sd.php > Riscos: entrevistas

Combatendo os Trojans, Troianos e similares

Entrevista à Jornalista Priscila Mendes,
Para publicação no Correio Braziliense

Prof. Pedro Antonio Dourado de Rezende
Departamento de Ciência da Computação
Universidade de Brasília
8 de agosto de 2007


Priscila Mendes: 1 - De acordo com os dados de uma recente pesquisa do Comitê Gestor da Internet no Brasil, a região Centro-Oeste é a que mais usa os serviços financeiros pela internet, consulta a conta bancária. É a região que tem maior ataque de vírus que resultou acesso não autorizado ou perda de informação ou tempo. Os problemas mais encontrados são abuso de informação pessoal ou enviada pela net. Outro dado mostra que é a região onde os usuários menos sabem sobre os problemas de segurança que enfrentam. Se são os mais atacados, os dados refletem que são os que mais usam antivírus, firewall pessoal, software antispyware e fazem atualização diária. Se a população do Centro-Oeste é a que mais usa os serviços financeiros, podemos dizer que estão mais suscetíveis aos ataques dos Trojans?


Pedro Rezende: Sim, porque esse maior uso torna seus sistemas mais atraentes às quadrilhas que operam no ramo das fraudes eletrônicas, e porque o mercado subterrâneo do cibercrime se sofistica, com diferentes bandos atuando em nichos cada vez mais especializados. A divisão de tarefas visa a tornar a especialização criminal mais produtiva, e a investigação policial mais onerosa.

Alguns fazem varredura a esmo na internet, para disseminar troianos e instalar grampos de teclado que capturam senhas. Quando uma senha capturada é para acesso a serviços sem valor para o cibercrime, ela é desprezada, mas quando é valiosa, como as usadas para serviços financeiros, ela é vendida, geralmente em lote e por encomenda, a bandos especializados em fraudes eletrônicas.

Nesse caso a vítima do grampo terá chances de se tornar também vítima de fraude, e conseqüentemente, mais chances de aparecer nas estatísticas. Enquanto os que usam senha só para email e sites de relacionamento talvez nem fiquem sabendo que estão sendo espionados.

PM: 2- Há diferentes tipos de Trojan? Como funcionam?


PR: Temos que entender melhor todo o processo. Troianos são programas feitos com intuito de trapacear usuários. Em princípio, existem tantos tipos de trapaça digital quanto permitem, num sistema em rede, a complexidade de suas arquiteturas, os critérios destas visando a segurança do usuário, as aplicações dos programas nele instalados, e a imaginação de interlocutores mal intencionados.

O problema é que todos esses fatores mudam com o tempo, e os truques para defesa requerem conhecimento dos truques para ataque. Mesmo que a defesa seja delegada a softwares de segurança, cujos programadores sejam dotados de indiscutível competência, mesmo que todos os truques para defesa hoje conhecidos sejam programados e instalados, esses truques de defesa podem ser sobrepujados amanhã, ou naufragar em circunstâncias não-técnicas.

Automatizar a atualização desses programas de segurança não será solução mágica, pois apenas a relativiza, restringindo essa defesa à competência e à latência do fornecedor para reagir a novos truques, ambos limitados por fatores que nem sempre dele dependem. Fatores tais como prioridades, conhecimento suficiente do ataque e do sistema a ser protegido. Para entender a importância dessas limitações, basta ler a licença de uso desses softwares de segurança.

Essa latência, isto é, o tempo entre a descoberta de um novo tipo de ataque, sua dissecação, criação de vacina e sua distribuição, encontra um limite prático que tem se mostrado superior a cinco dias. Enquanto novos truques vem sendo descobertos por gangues especializadas, que os vendem a outras gangues para ataques-surpresa, os chamados "zero-day exploits", que atingem a maioria dos seus alvos em um só dia, e que vem aumentando muito, na plataforma Windows, desde 2006 (vide http://www.eweek.com/article2/0,1895,1913633,00.asp, http://www.eweek.com/article2/0,1759,2105340,00.asp).

Para que o programa de segurança possa varrer uma tal plataforma e seu tráfego, em busca de algum sinal que identifique mais de doze mil programas maliciosos conhecidos do programador, sem atrapalhar significativamente a performance, ou mesmo para detectar sinais subjetivos de conduta maliciosa, alguma simplificação heurística se faz necessária, o que dá margem a falsos positivos e falsos negativos.

Por outro lado, a competência para fazer tais programas é limitada por prioridades e conhecimento suficiente do ataque e do sistema a ser protegido. Conforme o modelo negocial de fornecedor do sistema, este conhecimento pode estar cercado por conflitos de interesse, cada vez mais difíceis de se ocultar do público, como tem sido ventilado no caso do Windows Vista, ou por estratégias que menosprezam os efeitos de falhas pouco conhecidas ou difundidas, comum entre fornecedores monopolistas de software proprietário, a exemplo das portas de fundo no WMF e do RSAkey no Windows. Estratégias que prevalecem pela concomitante imposição de altos custos para a troca de fornecedor, através da dependência do usuário a formatos e padrões fechados que seus softwares utilizam.

A lógica econômica nos mercados de TI, onde o "efeito rede" favorece a formação de monopólios, premia o fornecedor que, sendo já monopolista no modelo proprietário, protege antes o seu modelo de negócio e trata a segurança do usuário, já dependente dos seus formatos e padrões fechados, como questão de confiança na marca e, portanto, assunto de marketing. Bem mais do que se esse fornecedor agisse como pequeno competidor, que precisa, para alavancar seu negócio, ganhar a confiança do usuário com sua conduta.

Por fim, há o nível de conforto da percepção de risco do usuário, que o modelo proprietário induz à passividade. Afinal, ele é usuário de softwares cujas "correções", pelo fornecedor, muitas vezes demoram horrores, inclusive pela falha não ser admitida como risco, outras vezes não funcionam na primeira versão, outras vezes não corrigem completamente, e outras vezes são depois anuladas por subseqüentes correções a mais falhas.

Por essas e outras razões, talvez até mais graves, muitos usuários desse sistema, especialmente indivíduos, preferem não atualizá-los, ou não numa freqüência que lhes seria prudente, mesmo com a atualização de antivírus automatizada. Depois da nova versão do WGA, que há mais de ano passou, à guisa de checar o status da licença, a espionar usuários do XP e mais ainda os do Vista, atualizações de segurança requerem que a instalação do sistema seja considerada legítima pelo WGA, e muitos preferem continuar com cópias piratas desatualizadas. Por outro lado, para automatizar a atualização de segurança de instalações legítimas, via WGA, o usuário do Windows é obrigado a habilitar o recurso "Active Scripting" (VBScript) em modo de execução automática, configuração responsável pelas mais populares e massivas formas de invasão a essa plataforma.

A grande maioria dos ataques ainda é feita com programas escritos em VBScript, que exploram, em mensagens de correio eletrônico ou páginas web, falhas já conhecidas do sistema Windows ou em aplicativos a ele "integrados". Qual o motivo da linguagem Visual Basic ter sido adaptada para conteúdo ativo na internet, como VBScript, decisão que deu margem a que conteúdos maliciosos externos controlem processos internos dessa plataforma? Esse motivo tem sido camuflado, por quem assim decidiu, com uma gritaria de caça às bruxas, aos hackers que querem participar ativamente no seu próprio processo de segurança. Esse quadro nos convida a uma reflexão mais cuidadosa sobre o panorama da segurança de usuários desta plataforma.

Diante desse quadro, não me parece que o instinto de ceder cada vez mais direitos de intrusão, qualquer que seja a justificativa, aos quem se dispõem a vender proteção, sejam eles fornecedores diretos ou indiretos no mercado, sejam eles órgãos do Estado, é um bom caminho. É só uma aposta de risco, porém cega, do usuário no benefício intrínseco da lógica de mercado e na competência, lisura e alinhamento de interesses entre os envolvidos. É uma reação irracional, que podemos chamar de "Síndrome de Estocolmo digital". Uma reação alternativa sadia não descartaria questionar o papel do modelo negocial hoje prevalente, o proprietário, na acumulação de vícios e ineficiências nesse processo de segurança.

PM: 3- Quais os programas mais eficazes para combatê-los?


PR: A internet é tão segura quanto a sociedade, resta saber como a segurança da sociedade é afetada pela internet. Estelionato será sempre o mesmo jogo, entre espertezas, com ou sem bits. Tal qual no mundo da vida, também no digital não há policiamento ostensivo mais eficaz do que cautela adequada. Portanto, os programas mais eficazes para combater a transposição das mazelas humanas ao meio digital se instalam na cultura, e não no computador do usuário.

São programas que só rodam na cabeça de cada pessoa, e não estão à venda. Programados pela própria, com valores que afetam o equilíbrio numa sociedade cada vez mais informatizada. Com valores que conjugam senso moral e conhecimento do mundo. Não só de como operam hoje o mundo da vida e o mundo do crime, sobre desejos, necessidades, medos e limitações pessoais, mas também das formas de dominação e manipulação que a TI neles empodera. São programas, enfim, para processar o que está em jogo numa sociedade do conhecimento.

Quem delega sua escolha de software a um conveniente sentimento de manada, quem não lê, nem procura conhecer, o que diz a licença do software que instala em seu computador, quem acha que já sabe o suficiente para se virar no mundo com a informática, preso ao palpite psicológico de que sua segurança nele não depende do que dizem tais licenças, quem não se importa se uma tal licença o transformar em mero inquilino de sua própria máquina, está para ser surpreendido por esse programa que roda em sua cabeça.

Quem se conforma com o aprisionamento de seu acervo digital em formatos e padrões fechados, seja na representação digital ou em serviços de acesso (web 2.0), quem encara o custo de fuga desse aprisionamento como barreira que não compensa, como bloqueio prático à escolha de softwares equivalentes e livres, com licenças permissivas que impedem a formação de monopólios entre seus fornecedores, que se prepare para surpresas cada vez mais desagradáveis. Surpresas que não desaparecerão atirando-se no mensageiro.

Coletivamente, esse conformismo é alinhamento servil ao fundamentalismo de mercado, cujos efeitos colaterais provocaram no passado reações insculpidas em severas leis anticoncorrenciais, aí negligenciadas. É um aval à lógica de mercado que premia o monopolismo proprietário, social e economicamente obsoleto, cuja sobrevida depende da progressiva renúncia de autonomia do consumidor, fantasiada de proteção e escolha. Resta processar, e entender: proteção a quê, e escolha do quê?

PM: 4- O Trojan realmente tem sido a aposta dos criminosos ou os phishings competem de igual para igual?


PR: O phishing é uma instrumento para a prática de estelionato onde a trapaça é executada por software agindo fora do computador do usuário. Do ponto de vista das técnicas de ataque e defesa, o phishing emprega formas de abordagem e de camuflagem menos sofisticadas que os troianos, com resultados mais esparsos, com detecção mais subjetiva e, portanto, de alcance menos técnico.

Por isso os phishings são mais difíceis de serem neutralizados por softwares de segurança, mesmo depois de descoberto seu truque, mais fáceis de inovar, em suas técnicas de propagação, porém, menos eficazes como ferramentas de ataque. Ao contrário dos troianos. Phishings e troianos se adequam ao perfil e ao modus operandi de cada gangue, e acredito que seus efeitos, ao final, como instrumentos de captura de senhas talvez se equiparem.

PM: 5- Tem algum motivo aparente para tantos ataques ao Centro-Oeste, já que a região é a que mais se protege?


PR: Depende das lentes pelas quais se examina o problema. Pelas do neo-liberalismo, motivo aparente não há: a competição no mercado de segurança digital deveria selecionar os fornecedores mais eficazes. Quão eficazes? Pelos indícios, no Brasil parece que nem tanto. E não me surpreenderia se resultado equivalente surgisse em outros países, pois o mercado de TI já está bem globalizado.

Ocorre que essa visão está imersa num pressuposto que se torna invisível a seus fundamentalistas: a de que mercados são perfeitos, ou quase. Doutro lado, os mercados de TI são os que, na história do capitalismo, mais distorções (relativas a teorias econômicas "clássicas") apresentam, devido a peculiaridades tais como o "efeito rede", o fato dos seus bens serem simbólicos, e combinações destes.

Quem mais gasta com proteção digital é quem mais precisa dela, e quem mais precisa dela é, justamente, quem mais atrai o interesse de cibercriminosos. A questão que sua pergunta evoca é: onde está o equilíbrio? Da parte dos criminosos, um importante fator a determinar alocação de recursos, com ou sem bits, é a eficácia dos meios de defesa do alvo, medida em termos de risco de fracasso do ataque. Assim, qualquer deficiência estrutural em desfavor da defesa se reflete em escalada no custo da proteção ou em perdas por vitimação.

Enquanto um software retém, em sua arquitetura, deficiências para proteção ao usuário, o que é provável quando o modelo negocial do fornecedor lhe permite priorizar, em sua produção, proteção a esse modelo, o que é o caso no modelo proprietário, e ainda, caso premiado pela lógica de mercado quando o fornecedor já é monopolista, a relação custo/benefício para proteção do usuário sofrerá gradual erosão. Seja essa proteção fornecida pelo próprio monopolista, seja por terceiros em parcerias, simbióticas (p.ex.: XP) ou competitivas (Vista).

Quando o jogo está melado para usuários, com o baralho dos interesses marcado, não será a lógica do mercado que irá deter essa erosão. O contrário, é o que me parece. Num mercado de software monopolizado, a relação custo/benefício de proteção ao consumidor seguirá subindo, num ritmo que permita sustentar, ou aumentar, a rentabilidade dos fornecedores encastelados, sem riscos adicionais aos seus negócios. E a segurança do cliente seguirá adiante, como cenoura pendurada numa vara presa a seu lombo.

Pelo menos enquanto consumidores aceitarem continuar clientes nesse modelo. Para mim, os números do Centro-Oeste descrevem o movimento em direção à cenoura. Essas condições levam a estratégia monopolista proprietária, diante de alternativas que iluminam sua crescente obsolescência social e ineficiência econômica, a priorizar e a propagar a fantasia coletiva de sua inevitabilidade. O que é muito perigoso, pois torna essa fantasia conversível em moeda política, para legisladores sequiosos de fluxos financeiros capazes de irrigar com abundância suas campanhas eleitorais.

PM: 6- O motivo apontado pelas empresas entrevistadas para tantos ataques é a falta de medidas de segurança por parte de usuários, mas esse não é o caso do Centro-Oeste. Por que ainda boa parte dos usuários não adotam medidas de segurança?


PR: Depende das medidas. Para fornecedores entrevistados, com seus produtos e serviços no mercado, o que significa uma medida de segurança por parte do usuário? Para um professor de segurança na informática como eu, com seus interesses na academia e na cidadania, medidas de segurança podem significar outra coisa. Principalmente as que valem a pena.

Junte-se à cena usuários comuns, com suas crenças, palpites e temores em lugar de conhecimento técnico, estatístico e prático sobre segurança digital, e tem-se o esboço de uma resposta. Quais são os critérios para se recomendar medidas de segurança? Lembro Nelson Rodrigues, para quem toda unanimidade é burra.

Meu palpite é que os entrevistados partem do pressuposto de que todos que buscam proteção digital têm o mesmo fornecedor de sistema operacional. Desdenhar o papel desse pressuposto, tratar como birra ou preciosismo a compreensão desse papel, já que nove entre dez usuários têm, sim, o mesmo fornecedor, é sofisma que distorce, perigosa e completamente, a compreensão do que está em jogo na segurança digital.

Se usuários de Windows não tiverem contra o que medir, e parâmetros confiáveis para comparar, as condições de sua segurança digital, como saber se estão bem servidos? Como avaliar promessas e resultados? Que incentivo teria o fornecedor, sem competição conhecida dos consumidores, para atender as expectativas dos mesmos com respeito à qualidade do que "consomem"? Por que omitir, ou confundir com desinformação e falácias, as condições dos que não estão entre os nove, e por que não estão?

Boa parte dos nove-entre-dez, no meu entender, não adota as medidas recomendadas, recomendadas por quem omite ou despista a situação dos um-entre-dez, porque não sentem firmeza. Seja na eficácia, seja na relação custo/benefício dessas medidas, seja nas promessas dessas, seja na sua percepção de nível de risco aceitável. Do risco de virem a ser vítimas de abusos digitais, além do que já são: tratados como bandidos em potencial (pirataria!), vigiados como crianças num parque digital.

Muitos reagem a esta situação desenvolvendo a Síndrome de Estocolmo digital. Respondem à imposição de passividade com extravagância. Deixam como está, para ver como é que fica. Aceitam prontamente como fato a propaganda de quem virtualmente os domina. Mas não sem uma certa dose de hipocrisia, resistindo-a quando esta busca o seu bolso. Não querem saber do que ocorre fora da sua gaiola de bits. Porém, a menos de interesses que não convém deslindar, tal atitude não cabe a um professor de criptografia e segurança na informática.

De minha parte, eu não adoto as tais medidas recomendadas porque opto por outras. Que começam bem antes, na escolha de softwares. Escolho-os, antes de tudo, com base no modelo de desenvolvimento e licenciamento. Escolho softwares livres, e assumo a responsabilidade por minha escolha e uso. Mesmo que não exerça o direito de saber exatamente como funcionam, ou de opinar sobre como devem ser construídos, ou de contratar de quem queira garantias sobre seu uso, sinto-me seguro de que o desenvolvimento desses softwares é guiado por atenção à segurança de quem os usar, antes de sê-lo por estratégias negociais de quem queira com eles lucrar. Tudo é feito às claras, e para ser compartilhado.

Não estou preso a um único fornecedor, às suas estratégias e segredos de negócio, para escolher, configurar ou garantir a plataforma que vou usar. Prendo-me à minha autonomia cidadã. Os limites da minha proteção estão no meu senso de responsabilidade e competência, e nas de quem escolho para me fornecer e me orientar. Pois no modelo de minha escolha, conhecimento e código são de livre acesso. Nele, as competências se assentam antes no mérito do que na força duma marca ou do dinheiro. Na minha compreensão do que está em jogo na segurança digital, essa opção é a que me dá a mais firme sensação de segurança possível.

Para me proteger na internet eu não uso antivírus; preciso apenas configurar adequadamente o que escolho instalar. Vírus para GNU/Linux não se propagam pela internet. Não porque, sendo poucos os que usem esses sistemas, não haja quem queira fazer que se propaguem. E sim porque, devido às características de sua arquitetura, nesses sistemas as estratégias de invasão por propagação tendem sempre a fracassar. Neles, as invasões precisam ser cirúrgicas, explorando falhas individuais de instalação e configuração.

Assim, invasões em meu computador ficam menos atrativas para quem ataca a esmo e em massa, se eu fizer o dever de casa. E em cinco anos nessa opção, sem volta, até onde sei nunca fui invadido. Se isso contraria palavras de ordem, ou expectativas, de quem ganha dinheiro em simbiose com um monopólio que trata a segurança do usuário antes como assunto de marketing, paciência. Como professor do tema, devo ensinar antes pelo exemplo.

PM: 7- Apesar da Microsoft ter corrigido a vulnerabilidade em abril, por que ainda há tantos ataques?

PR: A Microsoft está sempre a afirmar que corrigiu, ou que vai corrigir, ou que desta vez corrigiu mesmo, vulnerabilidades em algum de seus softwares. Quando não as descarta como irrelevantes à segurança do usuário, especialmente em comunicações privadas antes destas virem a público. Antes com freqüência aleatória, recentemente a cada certo dia do mês. De sorte que não tenho como inferir, de sua pergunta e para respondê-la, qual a vulnerabilidade sobre a qual a empresa teria, em qual abril, afirmado o quê.

Dado o histórico da Microsoft relativo à divulgação de informações ambíguas, subjetivas, desencontradas, conflitantes ou cambiantes a respeito de temas relacionados à segurança dos usuários do seus softwares, e dado sua opção de tratar, independentemente do motivo alegado, como segredo de negócio código fonte dos remendos que distribui e dos trechos afetados, código cuja livre inspeção poderia dirimir tanta confusão, creio que seria imprudente, e irresponsável para um acadêmico da segurança sem vínculos com a empresa e com reputação a zelar, ir além do que já disse e tecer qualquer comentário sobre qualquer alegada mas indeterminada vulnerabilidade ou correção específica.

Pelas mesmas razões, também desqualifico como jornalismo o tomar-se por fato, e não por versão, qualquer afirmação oficial da empresa sobre o tema, principalmente com cortes editoriais, sem qualificá-la de material publicitário.