O GLOBO - Informática Etc.
Carlos Alberto Teixeira - C@T

De olho no mau comportamento

Artigo: 534

Abordagem proativa complementa atuação de antivírus

Publicado em:  2002-02-04
Escrito em:  2002-01-29

 

Mais de mil novos vírus de computador foram identificados em 2001, causando prejuízos de bilhões de dólares gastos na tarefa de erradicá-los e nas perdas de produtividade que estes malditos provocaram. Para combatê-los, os antivírus convencionais vasculham arquivos e áreas de memória em busca das chamadas "assinaturas", ou seja, porções de código que servem para identificar inequivocamente um vírus. Assim, quando uma nova praga dessas pinta na parada, é preciso que o usuário já tenha a assinatura carregada em seu antivírus, de modo que possa se proteger do contágio. Para tanto, é necessário que vá periodicamente ao site do fabricante para baixar as novas definições viróticas. Mas o que será que acontece no lapso de algumas horas entre o surgimento de um vírus e a adição dessas novas "impressões digitais" à lista particular de vírus conhecidos que cada usuário tem em casa ou no trabalho? É justamente nesta janela temporal que as infecções se alastram. Enquanto a leitora ainda não está protegida, poderá muito bem já ter sido contaminada e estar espalhando o vírus sem saber.

Considerando que já se conhecem mais de 70 mil vírus e que este número não pára de crescer, alguns estudiosos trataram de achar uma solução proativa que, apesar de não substituir a forma reativa convencional de atuação dos antivírus, serve de proteção complementar. Trata-se da técnica de bloqueio comportamental, ou behavior-blocking, como se diz lá em cima. Em vez de ficar continuamente analisando assinaturas, o software de bloqueio fica atento a porções de código potencialmente problemático em execução no computador. Uma conduta suspeita típica seria a tentativa de um programa varrer a lista particular de emails para capturar destinatários e em seguida preparar mensagens para envio automático a todos os endereços coletados. Outra atitude que pode causar desconfiança é um programa não autorizado escarafunchando o registro do Windows e tentando aplicar alterações em suas chaves. Quando reconhece algum comportamento inaceitável por parte de um ou outro programa, o software de bloqueio dispara um alarme. Um dos precursores nesta abordagem foi a Seagate, em 1996, com o módulo Behavior Blocker de seu software Seagate Virus Control, que aparentemente não colou porque fazia o sistema ficar lento demais.

Para que um esquema assim funcione, é preciso que, de antemão, o administrador de sistemas estabeleça critérios e políticas internas de comportamento para os programas que vão executar nos computadores de uma rede. Depois de implantar estas políticas nos servidores e nas máquinas desktop, é ativado o software de bloqueio comportamental. Quando esta ferramenta desconfia das "atitudes" de algum programa, ela interrompe sua execução e o põe em quarentena. O administrador recebe um aviso de que algo suspeito foi encontrado e, assim que puder, vai investigar se as instruções perigosas são ou não nocivas ao sistema, à rede, ou apenas a um computador específico.

Uma das grandes vantagens desta abordagem é poder identificar worms híbridos, como o Code Red, o Nimda e outros programas que se aproveitam de vulnerabilidades em softwares, destroem arquivos, deixam buracos abertos para que hackers depois os explorem e em seguida vasculham o sistema hospedeiro em busca de novas vítimas a quem possam se auto-enviar, expandindo o contágio ao máximo. Vírus como estes já superaram a capacidade de alguns antivírus tradicionais e de outros sistemas de detecção de intrusões.

Bloqueadores como o da Entercept, rodando em servidores Windows NT, conseguiram fazer com que aplicações online em alguns grandes bancos americanos não fossem afetadas pelo Nimda nem pelo Code Red, isso bem antes que fossem divulgadas as assinaturas de ambos.

Por enquanto ainda não são muitas as soluções prontas usando bloqueio comportamental, como por exemplo as de firmas pequenas como Okena e Pelican Security, ou as de empresas mais parrudas como Aladdin Knowledge Systems, Finjan, Harris e a Sandbox Security, com seu notável produto, o Secure4U. Os grandes fabricantes de antivírus ainda não se pronunciaram, alegando (ou fingindo) desinteresse, pelo menos enquanto não arranjam uma solução decente para a excessiva lentidão que acomete um sistema rodando simultaneamente um antivírus e um bloqueador comportamental.

[ Voltar para o índice de 2002 ]

[ O Globo | Informática Etc. | coluna mais recente | enviar email
página pessoal C@T
| assinar lista InfoEtc | assinar GoldenList do C@T ]


powered by FreeFind