Arquivo

Archive for the ‘Tecnologia’ Category

Vírus em PC’s: o que são, como agem e como se proteger

25/11/2012 1 comentário

Marcos Portnoi

RESUMO

Os vírus de computador são uma fantástica ameaça à segurança de qualquer computador doméstico, podendo causar destruição e prejuízos. O que são os vírus, como eles agem e de que maneira pode-se combatê-los e diminuir o risco de ser atacado por eles, é o procura abordar este artigo.

 

Já uma ferramenta imprescindível para qualquer empresa, o computador cada vez mais torna-se também objeto indispensável no mobiliário doméstico, como um liqüidificador ou um refrigerador. Da mesma maneira, a sua falta repentina causa sérias dores de cabeça.

O avanço dos computadores trouxe consigo também suas doenças. De longe, o vírus de computador é a maior praga que aflige os usuários, dentre domésticos e empresas. Com a expansão da Internet, novos vírus conheceram um poder destrutivo antes apenas cogitado em filmes. De meros boatos, vírus como Chernobyl, Melissa e ILOVEYOU atingiram cifras de bilhões de dólares em prejuízos em questão de horas ou poucos dias. Para poder se proteger contra essa ameaça, é preciso entender o que são os vírus, como eles agem e quais as armas disponíveis para combatê-los.

 

Vírus, Worms, Cavalos de Tróia, Exploits: O que são?

Vírus é uma denominação genérica para programas que agem no computador sem conhecimento do usuário, com objetivos destrutivos e maliciosos, como apagar arquivos ou afetar o desempenho do computador. Tipicamente, o vírus também é assim denominado por ter a capacidade de se copiar para outros arquivos, dotando-o portanto da capacidade de disseminação. Ou, mais apropriadamente, infecção.

O vírus age anexando-se a um arquivo executável ou mesmo substituindo-o pelo código executável do vírus, de forma que toda vez que o arquivo for acessado, o vírus seja executado. Nesse momento, o vírus perfaz aquilo que foi programado, dependendo do tipo de vírus: infectar outros arquivos do computador, apagar arquivos, formatar os discos do computador, prejudicar-lhe o desempenho, mostrar mensagens ou desenhos no monitor e, proeza conseguido por alguns tipos, rescrever ou apagar a BIOS do computador, deixando-o completamente não-funcional e necessitando de intervenção técnica. Os vírus podem agir indetectáveis por longo tempo, sem dar qualquer sinal de sua existência, infectando lentamente outros arquivos para um determinado dia desencadear seu poder destrutivo, exatamente como fazem os vírus causadores de doenças, que têm períodos de incubação até que a doença se manifeste. Por definição, um vírus propaga-se quando um arquivo infectado é transferido de um computador com vírus para outro, sem vírus. Nesse novo computador, o arquivo, se executado, acabará por infectá-lo e o ciclo continua.

O worm age da mesma forma que o vírus, prejudicando o desempenho ou destruindo arquivos. A diferença do worm para o vírus, por definição, é que o worm também é dotado da capacidade de se enviar para outros computadores, sem intervenção do usuário. Isso é feito tipicamente por e-mail, quando o worm toma posse da lista de endereços de e-mail do usuário e envia-se para estes. Se estes destinatários executarem o arquivo com vírus em seus computadores, ficarão infectados. Sob algumas circunstâncias, a simples visualização de uma mensagem pode desencadear a infecção pelo worm, aproveitando-se de falhas de segurança e propriedades de funcionamento do programa leitor de e-mail. Os worms ou vírus mais famosos e destrutivos não usam deste estratagema, entretanto.

O cavalo de Tróia é assim denominado porque vem disfarçado em algum arquivo de aparência inocente ou inócua. Quando executado, o cavalo de Tróia instala no computador um pequeno programa (chamado cliente) de forma sub-reptícia. Este pequeno programa pode ter várias utilidades. Pode cuidar de infectar com o cavalo de Tróia outros computadores ou programas e, tipicamente, pode assumir o controle do computador e permitir que o criador ou disseminador do cavalo de Tróia possa ter acesso a este computador e seus arquivos, localmente ou à distância, pela Internet. Representante mais famoso desta categoria, o Netbus é um cavalo de Tróia que instala seu programa cliente, que entra em operação toda vez que o computador está sendo usado. Este programa cliente permite que a outra parte do Netbus, um programa de controle, tenha acesso a este computador através da Internet, sem que o usuário saiba. O programa de controle permite realizar várias operações no computador infectado, desde reproduzir exatamente o que está sendo mostrado no monitor, até tomar para si o controle do mouse, do teclado ou abrir arquivos. Os criadores do Netbus alegam que o objetivo original do programa era simplesmente ser uma poderosa ferramenta de controle à distância, e nisso ele é de eficiência notória. Mas a forma como o programa opera, sem dar qualquer sinal de sua existência e de poder instalar-se no computador sem que o usuário saiba ou permita, obviamente não é indicativo de boa-fé.

O exploit, que vem de exploração, em inglês, trata-se da técnica de explorar falhas ou problemas de funcionamento intrínsecos (denominados bugs) de alguns programas. Quando exploradas, essas falhas podem abrir brechas na segurança de um computador e permitir que o invasor ganhe status de usuário privilegiado, que apague arquivos ou veja seu conteúdo. Enquanto tiver acesso privilegiado ao sistema, o invasor pode instalar os chamados backdoors ou portas de fundo. Backdoors são pequenos programas ou simples configurações que permitem que o invasor tenha novamente acesso privilegiado ao sistema em qualquer outra hora em que este resolva conectar-se a ele. Exatamente como o ladrão que deixa uma janela ou porta destrancada na casa, para que volte na noite seguinte e possa entrar sem problemas ou arrombamento. Os ataques a computadores são geralmente feitos usando-se outros computadores, conectados a outros computadores, e assim por diante, para que se torne difícil traçar a conexão ou ataque a sua origem verdadeira. Nesses computadores intermediários, o invasor tem acesso privilegiado, possivelmente por já ter instalado um backdoor anteriormente.

Tecnicamente pode-se dizer que os vírus atuais são uma combinação de todos esses formatos. São programas que exploram bugs de modo a instalar um programa cliente, e que ainda enviam-se automaticamente por e-mail, como os worms, e que perfazem destruição no computador, como o vírus básico. O último vírus mais famoso a atacar, o ILOVEYOU, usou da técnica de exploração de uma falha de segurança no leitor de e-mail Outlook da Microsoft para que pudesse se enviar para todo endereço de e-mail armazenado no próprio programa, enquanto espalhava-se pelo computador do usuário e destruía arquivos. O vírus foi escrito em linguagem VBS, ou Visual Basic Script, e vinha anexado a uma mensagem inocente de e-mail com o título Love Letter to You (carta de amor para você). Uma tática inerente aos cavalos de Tróia, portanto.

Ainda assim, o vírus só entrava em ação se fosse efetivamente executado pelo usuário. Para isso, ele explorava outra característica do sistema operacional Windows9x, da Microsoft, que, por default, oculta as extensões dos nomes de arquivo, extensões essas que caracterizam o tipo de arquivo. Arquivos executáveis, por exemplo, sempre terminam em “.exe”, enquanto os arquivos tipo VBS, também executáveis, terminam em “.vbs”. Um arquivo contendo somente texto, inofensivo portanto, tem a extensão “.txt”. Apropriadamente, o arquivo anexado com o vírus ILOVEYOU tinha o nome “LoveLetterToYou.txt.vbs”. Com a última extensão oculta, o arquivo parecia um inócuo texto, levando então o usuário de boa-fé a abri-lo.

Este vírus espalhou-se de forma absurdamente rápida, atingindo números planetários de contaminação em apenas poucos dias e causando bilhões de dólares em prejuízos. A combinação de Internet e vírus deu a estes últimos poderes antes limitados pela própria não-conectividade dos computadores. Hoje, com praticamente todo PC conectado à Internet, os vírus podem espalhar-se com velocidade espantosa. Esta situação é similar aos vírus biológicos, que são naturalmente limitados e controlados geograficamente. Quando os povos adquirem facilidade de locomoção, como carros, aviões e navios, carregam consigo os vírus e estes podem então contaminar outros povos.

 

Quais sistemas são vulneráveis a vírus?

Virtualmente todo sistema computacional, se permite a entrada de programas para execução ou mesmo seqüências de dados para controlar a operação, é vulnerável a ataque de vírus e suas variantes, como os exploits. Isso inclui desde computadores de mesa até computadores de mão, como os PIM’s ou palms, e ainda telefones celular, pagers ou dispositivos específicos para acesso à Internet, como os WebTV.

Já existem dois vírus específicos para a plataforma Palm, que promovem a destruição de dados. Estes, felizmente, ainda podem ser recuperados com certa facilidade dos backups armazenados no PC. No início do ano, detectou-se uma falha em um certo modelo de telefone celular Nokia. Ao receber uma seqüência específica de caracteres de texto, enviados como mensagem de texto (ou SMS), o telefone simplesmente travava, não aceitando a operação de qualquer tecla. O usuário era obrigado a retirar a bateria para que o telefone fosse desligado e assim religado, voltando a funcionar normalmente. Essa falha foi percebida por uma companhia telefônica, ao fazer testes de envio de mensagens de texto, e foi reconhecida pela Nokia, que porém considerou a possibilidade de ocorrência deste fenômeno como “extremamente remota”. É possível, entretanto, mandar mensagens de texto para esses telefones através da Internet. Um indivíduo, de posse da seqüência de códigos danosa, pode desenvolver uma aplicação que envie essa seqüência a diversos aparelhos, através da página própria na Internet, resultando em milhares de aparelhos travados. Com efeito, meses antes, na Espanha, vários telefones celulares foram abarrotados de mensagens de texto recebidas através do sistema SMS, originadas da Internet, usando o mesmo dispositivo comentado acima.

Telefones celulares de geração recente podem navegar na Internet, receber e enviar mensagens de e-mail, e alguns podem inclusive receber dados de agenda de outros telefones, ou ainda receber tipos de sons de campainha diferentes. Todas essas capacidades encerram também a vulnerabilidade a falhas, falhas estas que podem ser exploradas de modo maléfico e causar prejuízos.

 

Vírus são exclusividade de um sistema operacional?

Com o ataque do vírus ILOVEYOU, iniciou-se uma discussão em listas na Internet, creditando a facilidade de disseminação dos vírus especificamente à Microsoft e seus programas. Essa idéia defendia que o sistema operacional Windows, usado por mais de 95% dos computadores pessoais em todo o mundo e os demais programas produzidos pela Microsoft tinham falhas graves de segurança, fruto de descaso ou má programação. Essas falhas seriam facilmente exploradas pelos criadores de vírus, permitindo sua rápida disseminação. Outros sistemas operacionais, como Linux, Unix e MacOS não são atacados tão freqüentemente por vírus, e quando o são, estes não se disseminariam tão facilmente.

Esse argumento tosco tem evidentes limitações. Primeiro, se o objetivo de um criador de vírus é provocar caos e destruição, este vai preferir o formato que proporcione o maior caos possível. Logicamente o Windows será o preferido para servir de base de construção dos vírus, uma vez que simplesmente mais de 95% dos computadores pessoais funcionam sob ele. Outros sistemas operacionais requereriam programação diversificada, e ainda máquinas de tecnologia diferente podem rodar sob o mesmo sistema operacional. O vírus, geralmente escrito em código de máquina, tem de ser escrito especificamente para uma tecnologia ou plataforma de computador. (Aqui, a analogia com o vírus biológico também é verídica. Um vírus em geral só age em uma determinada espécie, ou um DNA. O vírus da AIDS de macacos, por exemplo, é inócuo para o ser humano, e vice-versa.)

Similarmente, a Microsoft é detentora de maioria em vários tipos de software, como pacotes de escritório (Microsoft Office), clientes de e-mail (Outlook e Outlook Express) e browsers (Microsoft Internet Explorer). Isso tornará esses programas os mais visados para exploits de suas falhas de segurança, ou mesmo para servir de base de disseminação. Se um vírus puder manusear o Outlook de modo a se enviar para outros usuários, certamente ele poderá atingir milhões de pessoas usuárias deste aplicativo. Se o vírus puder somente manusear um outro programa menos popular, seu poder será diminuído, o que não é a intenção de seu criador.

A linha de raciocínio sustentada na discussão sobre a culpa da Microsoft na disseminação de vírus é do mesmo nível de ingenuidade de uma pesquisa hipotética que afirmasse que os indivíduos canhotos seriam inferiores em destreza e que teriam mais problemas de coluna simplesmente por serem canhotos, como uma limitação genética. Tal conclusão absurda certamente atrairia muitos admiradores, que não se incomodariam em usar o bom-senso para compreender que se indivíduos canhotos têm dificuldade em destreza, talvez seja porque a maioria dos equipamentos e dispositivos são desenhados tendo em vista a ergonomia do destro, ou seja, controles e botões à direita, visores à esquerda. E os problemas de coluna talvez sejam causados porque indivíduos canhotos tenham que sentar-se em cadeiras munidas de uma pequena mesinha para escrita, sempre afixada à parte direta da cadeira, e portanto são obrigados a curvar-se e fazer outros contorcionismos para poder escrever.

A verdade é que a Microsoft é vítima de uma má vontade generalizada, má vontade esta que sempre existe quando determinada empresa ou mesmo instituição ou pessoa é muito grande, ou muito rica, ou detém maioria. Esse é um comportamento que começou ainda na Bíblia, com a famosa história de David e Golias. Ao grande e poderoso é sempre associada a imagem de mau, e ao pequeno, o heroísmo, amor, coragem e moral.

Por fim, outros sistemas operacionais, como Unix e Linux, também têm seus vírus e falhas. Aliás, Unix é o sistema mais usado por hackers para operar seus ataques, por ter exploits bem conhecidos e por dar grandes poderes a um usuário, que pode agir sem que os outros notem (são sistemas multiusuário). Por uma mera questão estatística, é no Windows que se encontrará o maior número de vírus (por volta de 47.000 vírus e variantes conhecidos).

 

Como se proteger: as armas

Os Antivírus

Assim como há os vírus, há as vacinas. Em computadores, eles são conhecidos como antivírus.

Os antivírus agem de forma a detectar os vírus já existentes no computador e removê-los. Isso pode significar a simples remoção do vírus, ou a remoção também dos arquivos infectados, com conseqüente perda de dados. Os antivírus podem também detectar a tentativa de infecção por um vírus, interceptando-os antes que afetem outros arquivos ou disseminem-se.

A detecção é feita de dois modos. O primeiro é pelo método da assinatura. Todo vírus, sendo um código de programa, tem uma seqüência específica de dados que o caracterizam, exatamente como um vírus biológico tem uma seqüência específica de DNA. Os antivírus permanecem ativos, lendo todo tipo de dado que entra em execução no computador e comparando-os com uma tabela interna de assinaturas. Se houver uma similaridade, o antivírus impede que o programa seja executado, bloqueando o vírus invasor.

A outra forma é pelo método heurístico. Nesse modo, o antivírus monitora o comportamento dos programas em execução no computador, em busca de alguma atitude “suspeita”. Por exemplo, tentativa de acessar os endereços de e-mail da agenda, tentativa de apagar vários arquivos ao mesmo tempo ou sobregravá-los, manuseio de arquivos ou áreas sensíveis do sistema, instalação de programas filhotes ou modificação de configuração do computador. Considerando alguma dessas tentativas como suspeitas, o antivírus impede a ação e denuncia o programa originador, para que o usuário tome alguma providência.

A eficiência do método de detecção por assinatura depende de quão atual é a base de assinaturas internas do antivírus. Como a criação de novos vírus é bastante rápida, todos os meses vislumbram a introdução de centenas de novos vírus ou variantes de um mesmo. Essas assinaturas precisam estar incorporadas ao antivírus, sob pena de um vírus ser interpretado como programa normal. Todos os antivírus provêm ferramentas para que sejam atualizados, e os fabricantes usualmente divulgam atualizações praticamente toda semana.

Há casos de vírus mutantes, dotados do poder de alterar seu código de modo a passarem despercebidos pelos antivírus de assinatura. Felizmente, eles são raros, pois demandam uma programação extremamente habilidosa, e ainda estão sujeitos à detecção pelo método heurístico. Ainda, há certas partes que simplesmente não podem ser modificadas.

O método heurístico logicamente independe de atualizações para funcionar, já que trabalha com comportamentos. Entretanto, é mais sujeito a falhas, seja não detectar um vírus cuidadoso, seja acusar um programa correto de ser um vírus e tentar impedir sua execução.

 

Os Firewalls

Do inglês “porta corta-fogo”, os firewalls são programas ou ainda computadores especializados em controlar o acesso a um computador ou grupos de computadores. Os firewalls podem controlar de tudo, desde que usuários podem executar o quê, que dispositivos podem funcionar no computador, até que tipos de acesso o computador pode aceitar da rede ou Internet.

Os firewalls são portanto indicados para evitar tentativas de exploit ou que cavalos de Tróia usem o computador para ataques remotos. Os mecanismos de proteção dos firewalls permitem que um computador fique virtualmente invisível na Internet, impossibilitando que seja invadido. Isso, é claro, desde que o firewall funcione bem.

Tanto os antivírus como os firewalls estão disponíveis para PC’s domésticos, a exemplo do Network Associates Viruscan, Network Associates Personal Firewall, Symantec Norton Antivirus, Symantec Internet Security.

 

Como se proteger: o comportamento anti-risco

Há atitudes que podem ser tomadas de modo a minimizar as chances de contaminação por vírus, bem como evitar que, uma vez contaminado, estes provoquem mais destruição do que a já porventura causada.

A primeira atitude é adquirir um bom antivírus e deixá-lo permanentemente instalado no computador. Em adição, deve-se atualizar este antivírus habitualmente, pelo menos uma vez por semana. Sem a atualização constante, o antivírus é impotente contra vírus novos.

Todos os programas devem ser testados contra vírus antes que sejam executados ou instalados no computador. Com o antivírus ativo, isso em geral é feito automaticamente. Pode-se então relaxar quando o programa a ser executado vem de procedência oficial, como um fabricante.

Cuidado redobrado, entretanto, deve ser tomado quando a procedência de determinado programa é suspeita. Os meios mais utilizados para disseminação de vírus são o e-mail, os canais de IRC (onde arquivos são freqüentemente trocados), os canais ou listas de newsgroups, onde também há troca de arquivos, e as páginas ou sites (locais) de distribuição de programas piratas, os warez. Ao receber um arquivo de alguma dessas fontes, tal arquivo deve ser testado contra vírus, acionando o antivírus manualmente, como recurso de segurança. O antivírus deve estar absolutamente atualizado.

Mesmo assim, a atitude correta é a paranóia. Um arquivo recebido de um remetente desconhecido deve ser simplesmente eliminado. O risco raramente vale à pena, e desconhecidos de boa fé não costumam mandar arquivos no primeiro contato. Arquivos recebidos de pessoas conhecidas, sobretudo por e-mail, também podem ser suspeitos. Os worms contam com a confiança das pessoas em conhecidos enviando a si próprio para a lista de endereços do usuário, ou seja, para pessoas conhecidas e que confiam neste usuário. Por outro lado, o usuário pode não saber que está infectado, e acabar enviando vírus sem saber.

Se os arquivos recebidos forem do tipo texto (.txt) ou fotos (.jpg, .tif, .gif), a infecção é praticamente impossível. O sistema operacional deve ser configurado para que todas as extensões de arquivo fiquem visíveis, de modo que estes arquivos sejam prontamente identificados. Um vírus só age se for executado: se um programa infectado tiver seu nome mudado para uma extensão “.txt”, ele não será executado e o vírus estará desabilitado. Estes arquivos podem ser visualizados em grandes sustos.

Arquivos do tipo “.doc” podem conter pequenos programas dentro de si, os chamados macros ou scripts, e estes podem ser maliciosos. Os programas editores de texto, como o Microsoft Office, podem ter as opções de execução de macros ou scripts desabilitada, melhorando a segurança na visualização de arquivos “.doc”. Porém, se a fonte do arquivo não for confiável, um programa do tipo Wordpad, presente no Windows9x, pode abrir o arquivo com boa segurança, já que este programa é incapaz de executar qualquer macro ou script.

Arquivos com extensão “.exe”, “.com”, “.bat”, “.ocx”, “.vbs” são arquivos executáveis. Qualquer arquivo desses tipos devem ser testados pelo programa antivírus, e ainda assim abertos com cautela. Se a fonte não for confiável, simplesmente devem ser apagados. Arquivos desse tipo recebidos de desconhecidos por e-mail ou por IRC são suspeitíssimos, o mesmo que aceitar uma guloseima de um estranho na rua.

Os sites de warez encerram dois perigos: um deles é o fato de distribuírem programas pirateados, o que é contra a lei e pode gerar desde multas a prisão. O outro é que alguns programas pirateados podem ser cavalos de Tróia, escondendo dentro de si um programa danoso. Andar em sites de distribuição de warez é andar em terra sem lei.

Assim sendo, se o usuário costuma freqüentar canais de IRC e listas de discussão, deve ser bastante cuidadoso com os arquivos que se permite receber dos outros freqüentadores. Um comportamento de baixíssimo risco é aceitar somente o recebimento de fotos ou arquivos de texto tipo “.txt”.

Outra fonte de risco, e esta é modo básico de infecção por vírus, é a troca de arquivos em disquetes, CD-ROM’s ou por rede local. Um inofensivo disquete emprestado por um amigo pode representar a destruição de todos os arquivos. CD-ROM’s apresentam o mesmo risco, só que em número muito maior, devido a sua capacidade de armazenamento. Houve casos em que CD-ROM’s de instalação de programas de acesso, fornecidos gratuitamente, trazerem dentro de si vírus, sem conhecimento do fabricante. É comum empresas e escolas definirem regras para o manuseio de programas e disquetes externos em seus computadores. A maior causa de infecção por vírus nas empresas é justamente um funcionário que traz um disquete infectado, ou recebe algum vírus por e-mail.

Em uma rede local, arquivos armazenados em outros computadores podem ser visualizados e executados. Assim, se estes estiverem infectados na máquina de origem, infectarão a máquina que os está executando pela rede. A proteção aqui consiste em instalar antivírus em todas as máquinas na rede, e mantê-los atualizados.

Por fim, pelo menos a cada quinze ou vinte dias, com o antivírus atualizado, deve-se perfazer a busca por vírus em todos os arquivos armazenados no disco rígido do computador, para o caso de haver algum vírus não detectado ou inativo. E todas as medidas relacionadas acima devem ser aplicadas a todos que usam o computador. Se um computador é compartilhado por mais de um usuário, não adianta um deles ser extremamente cuidadoso, se um outro abarrota o computador de disquetes emprestados e arquivos baixados de sites suspeitos, jogando por terra todas as medidas de precaução.

 

Considerações Finais

Vírus são pragas que nasceram junto com os computadores e seu potencial destrutivo é imenso e comprovado. Vírus já foram tema de filmes e livros famosos, como o filme Independence Day, onde seres alienígenas tentam dominar o planeta e são destruídos com ajuda de um vírus instalado em seu sistema de computadores, e o livro 3001: The Final Odyssey, onde os monolitos negros, prestes a destruir a humanidade, são desativados quando obrigados a rodar programas que resultam em cálculos infinitos.

Com o advento da Internet, a velocidade e facilidade de disseminação dos vírus tornou-se questão de dias ou horas e um punhado de cliques no mouse. Os prejuízos causados por ataques de vírus atingem a casa dos bilhões de dólares e dimensões planetárias. Ninguém, nenhum país e nenhuma empresa está a salvo dos vírus, a não ser que não tenham computadores, ou que estes estejam desligados. É simples assim.

Lançar mão de ferramentas como antivírus e firewalls é imprescindível a fim de manter a segurança, a integridade dos dados e conter o poder destes pequenos programas que, a exemplo dos vírus biológicos, são diminutos e frágeis, mas com poder de dizimação insuperável.

 

Fonte

Anúncios
Categorias:Dicas Úteis, Tecnologia