domingo, 3 de janeiro de 2016

A falsa sensação de segurança dos softwares antivírus

Você acabou de pagar uma boa quantia pela renovação da licença do seu software antivírus, antispyware, antimalware, ou seja qual for o nome que estejam usando hoje em dia. Se você for um usuário mais exigente e bem informado, é possível que tenha adotado um antivírus de uma determinada marca após extensa pesquisa em sites de fabricantes, críticas de revistas especializadas e testes independentes, além de uma cuidadosa análise da relação benefício/custo.
O malware se instala nas "frestas" que o seu sistema de segurança deixa abertas. 
Imagem: “Malware Internet Represents World Wide Web”  por
Stuart Miles, cortesia de Freedigitalphotos.net
E então, está se sentindo mais seguro? Pois leia este trecho de notícia do G1:
"O pesquisador do Google Tavis Ormandy está analisando a segurança de programas antivírus e anunciou na semana passada que enviará um relatório para a fabricante de antivírus Avast. A empresa é a terceira a receber um comunicado sobre brechas de Ormandy este ano: as outras duas foram a Eset e a Kaspersky Lab e, em ambos os casos, os antivírus tinham brechas críticas.

(...)

Ormandy destacou que os programas antivírus possuem falhas de projeto ao interferirem com componentes do sistema e realizar a leitura de todos os arquivos automaticamente sem utilizar tecnologias que reduzem o impacto de brechas no software. Ele também citou que falhas em antivírus são vendidas no mercado negro de vulnerabilidades."
Nada disso é novidade para quem se interessa a sério por segurança de dados: não existe sistema de segurança que, ele próprio, não contenha vulnerabilidades que precisam ser corrigidas. Mais: não existe sistema de segurança capaz de proteger o usuário contra o próprio comportamento descuidado.

De fato, na melhor das hipóteses, esses programas reduzem a "superfície de ataque", isto é, fecham os pontos vulneráveis mais óbvios de um sistema, evitando os ataques automatizados mais conhecidos. Mas eles pouco ou nada podem fazer contra adversários tão determinados que estejam dispostos a pagar por tecnologias que explorem as vulnerabilidades do próprio sistema de segurança.

Reduzindo a superfície de ataque em sistemas corporativos: infográfico da Kaspersky Labs.

A melhor política de proteção digital pode ser resumida numa simples paráfrase de um famoso aforismo do Templo de Apolo, em Delfos: "Conhece o teu sistema". Quanto melhor você entender o funcionamento do seu computador, quanto mais você souber sobre o que fazem e para que servem os programas instalados em seus dispositivos, mais seguro você estará.

O problema que se coloca para quem usa sistemas Windows é: como, afinal, entender como funciona o sistema operacional Windows se ele tem o seu código-fonte "fechado"? Na verdade essa é, exatamente, a principal falha de segurança do Windows: profissionais de segurança independentes não podem examiná-lo em profundidade, de modo que você precisa confiar cegamente na "maravilhosa equipe de profissionais de segurança" da Microsoft.

O mesmo princípio que vale para o sistema operacional também é válido para todos os programas de código fechado que rodam sobre o Windows, inclusive os softwares antivírus. Quem confiou cegamente na "maravilhosa equipe de profissionais de segurança" da Avast, da ESET e da Kaspersky esteve vulnerável durante um período de tempo impossível de estimar.

Qual será a solução? Mudar para antivírus de outro fabricante? Ora, ao fazer isso, você estará apenas trocando uma vulnerabilidade conhecida por um conjunto de vulnerabilidades desconhecidas!

Para oferecer um testemunho pessoal, estou usando, atualmente, o antivírus ESET em um sistema com Windows 8.1 e posso afirmar que, neste ano de experiência, ele ofereceu uma proteção bastante decente, fazendo o que se espera dele de forma exemplar, de modo que pretendo renovar a licença quando expirar. Porque o ponto mais vulnerável em qualquer sistema, digo e repito, é o comportamento do usuário. Nas ocasiões em que adotei comportamento de risco na internet, não houve antivírus de fabricante nenhum que fosse capaz de impedir a infecção de meu computador. Para ficar num exemplo recente, há pouco mais de dois meses um velho notebook ficou infectado por malware menos de um minuto após a reinstalação do Windows, antes que eu tivesse tempo de baixar um programa antivírus, simplesmente porque cliquei em um resultado de pesquisa Google que levava a um site de malware! Em um sistema Windows, basta um momento de descuido para que um programa malicioso assuma o controle!

Há muitas opções de sistemas operacionais livres, seguros e éticos.
Na imagem acima você vê, em ordem alfabética,  as recomendações do site "Prism-break",
que avalia softwares com base em sua ética,segurança e respeito à privacidade.
Por tudo isso, é que recomendo novamente a todos os leitores deste blog: mantenha um computador alternativo com Debian GNU/Linux* para o seu trabalho sério, reservando sua máquina Windows para games e visitas a redes sociais, de modo a minimizar o dano em caso de infecção por malware. Use esse computador alternativo o máximo que puder e aproveite para estudar o sistema e entender como ele funciona. Você rapidamente descobrirá que:

1 - Segurança é uma filosofia de trabalho que deve fazer parte do projeto do sistema. Um sistema concebido para ser seguro revela esse traço do projeto a cada programa que você usa. Não, os sistemas Debian GNU/Linux não são menos vulneráveis do que os sistemas Windows só porque são "menos usados". Os sistemas Debian GNU/Linux são mais seguros do que os sistemas Windows porque são projetados para ser mais seguros.

2 - Comodidade e Segurança caminham em direções opostas. Um sistema mais seguro tenderá a ser mais "chato" de usar do que um sistema inseguro, envolvendo mais passos, mais confirmações de segurança, mais procedimentos extras do que um sistema cheio de buracos como o Windows. Para entender o motivo, basta pensar nas portas e janelas de sua casa: quanto maior o número de trancas, cadeados e fechaduras que você instalar, mais segura ficará sua casa, porém, você terá muito mais trabalho para entrar e sair.

3 - Não existe substituto para a inteligência. A principal característica de segurança de um sistema Debian GNU/Linux é que ele permite que o usuário tenha tempo para pensar nos riscos que está correndo, para ponderar se realmente "precisa desesperadamente" instalar aquele programa inseguro no próprio computador ou se pode muito bem continuar vivendo sem ele. Enquanto o Windows funciona como um grande "shopping center digital", estimulando a aquisição impulsiva de aplicativos e, portanto, um comportamento digital inseguro, um sistema Debian GNU/Linux o estimula a entender o que está fazendo, a perguntar a si mesmo se realmente precisa daquela solução específica.

4 - Nenhum sistema é seguro apenas por ser Linux. Eu costumo brincar dizendo que o Android é um "sistema operacional Windows baseado em Linux". Como os sistemas que rodam em celulares e tablets precisam ser, obrigatoriamente, muito fáceis de usar, eles são obrigados a incorporar um grande número de vulnerabilidades do Windows em seu projeto. Além disso, a viabilidade econômica dos sistemas Android envolve o estímulo à compra e instalação impulsiva de "apps", transformando-os em "shopping centers digitais" em tudo semelhantes ao Windows, inclusive no grande número de brechas de segurança. De modo análogo, o extremamente popular sistema operacional Ubuntu Linux, embora desenvolvido a partir do Debian GNU/Linux, apresenta diversos inconvenientes de privacidade e falhas de segurança.

5 - Ninguém aprende nada sem estudar. Se você pretende usar um sistema Debian GNU/Linux com o mesmo nível de despreocupação com que usa o Windows, rapidamente desistirá. Para realmente extrair o máximo de um sistema Debian GNU/Linux, você precisará de alguma disposição para estudar e entender como as coisas funcionam. Por outro lado, quanto mais você estudar o Debian GNU/Linux, mais claras se tornarão para você as fraquezas, vulnerabilidades e inconsistências do sistemas Windows.

Em resumo, você não deve confiar nos softwares antivírus como substitutos para o seu conhecimento e sua inteligência. Use-os como um reforço extra destinado a reduzir a "superfície de ataque" ao seu sistemas, mas faça a si mesmo o favor de ignorar os apelos de marketing dos fabricantes de antivírus e cuide de aprimorar sempre a melhor defesa contra os ataques digitais: o seu próprio cérebro.

------------------------
NOTA:

* Neste artigo, menciono o Debian GNU/Linux apenas por ser o que conheço melhor, já que o uso em meu computador principal. O Debian GNU/Linux é um sistema operacional com ótima reputação em termos de facilidade de uso, segurança e ética, embora não se possa dizer o mesmo de todos os sistemas "baseados em Debian".

Duas outras distribuições Linux com excelente reputação que já usei em notebooks e que mantenho instaladas em máquinas virtuais para testes e aprendizado são a Fedora e a openSUSE, cada uma delas com seus próprios encantos e problemas, ambas muito seguras e relativamente fáceis de usar.

Uma distribuição que ainda não testei mas que se destaca pela soberba qualidade de sua documentação é a Arch Linux. Sempre recorro ao wikisite do Arch Linux para entender todos os detalhes importantes relativos à segurança de meu computador, mesmo me mantendo fiel ao Debian.

sexta-feira, 1 de janeiro de 2016

Os spams de dezembro de 2015

No último mês, decidi fazer uma estatística do número de spams que recebo em todas as minhas contas e compartilhar os resultados com os leitores deste blog.

Gráfico: número de spams recebidos por dia em dezembro de 2015.


Número de spams recebidos em Dez/2015: 2480
Média: 80,0 spams por dia
Valor máximo: 192 spams no dia 08/12/2015
Valor mínimo: 9 spams recebidos no dia 27/12/2015

Os spams deste estudo foram recebidos através de 5 diferentes contas de e-mail, sendo 2 no GMail, 1 no Yahoo! Mail e 2 em servidor particular..

A tendência geral do mês foi de ligeira queda conforme se aproximava o período das festas, com 1518 spams (61,2%) recebidos entre os dias 1 e 15, contra 962 (38,8%) nos 16 dias restantes.

É bom esclarecer que definimos como "spam" toda mensagem recebida por correio eletrônico de remetente cujo endereço de e-mail não esteja em meu catálogo de endereços e que se enquadre em pelo menos uma das seguintes categorias:

  1. Correspondência comercial não autorizada através de um sistema de duplo opt-in, isto é, em que a opção de receber correspondência comercial feita no website precisa ser confirmada clicando em um link recebido no endereço de correio eletrônico foi usado para fazer a solicitação. Nesse sistema, caso o usuário não confirme a intenção de receber a correspondência, ela não será enviada.
  2. Correspondência comercial enviada apesar do cancelamento da assinatura. Mesmo que o usuário tenha feito um dia a opção de receber mensagens comerciais, o seu desejo de cancelar o recebimento deve ser respeitado. Caso contrário, trata-se de spam.
  3. Correspondência cujo conteúdo se destine a provocar danos ao destinatário. Inclui correspondência contendo anexos ou links destinados a instalar vírus ou outro malware no computador; links para sites falsos de bancos, lojas ou outras empresas legítimas; falsa correspondência "pessoal" contendo histórias fantasiosas tendo em vista a aplicação de algum tipo de "golpe" na boa fé do destinatário; entre outras.
Não consideramos "spam" qualquer correspondência recebida de remetentes constantes em nosso catálogo de endereços, ainda que enquadráveis em um ou mais dos casos acima.