|
Considerando que já se conhecem mais de 70 mil
vírus e que este número não pára de crescer, alguns estudiosos
trataram de achar uma solução proativa que, apesar de não substituir
a forma reativa convencional de atuação dos antivírus, serve de
proteção complementar. Trata-se da técnica de bloqueio
comportamental, ou behavior-blocking, como se diz lá em cima. Em
vez de ficar continuamente analisando assinaturas, o software de
bloqueio fica atento a porções de código potencialmente problemático
em execução no computador. Uma conduta suspeita típica seria a
tentativa de um programa varrer a lista particular de emails para
capturar destinatários e em seguida preparar mensagens para envio
automático a todos os endereços coletados. Outra atitude que pode
causar desconfiança é um programa não autorizado escarafunchando o
registro do Windows e tentando aplicar alterações em suas chaves. Para que um esquema assim funcione, é preciso que, de antemão, o administrador de sistemas estabeleça critérios e políticas internas de comportamento para os programas que vão executar nos computadores de uma rede. Depois de implantar estas políticas nos servidores e nas máquinas desktop, é ativado o software de bloqueio comportamental. Quando esta ferramenta desconfia das "atitudes" de algum programa, ela interrompe sua execução e o põe em quarentena. O administrador recebe um aviso de que algo suspeito foi encontrado e, assim que puder, vai investigar se as instruções perigosas são ou não nocivas ao sistema, à rede, ou apenas a um computador específico. Uma das grandes vantagens desta abordagem é poder identificar worms híbridos, como o Code Red, o Nimda e outros programas que se aproveitam de vulnerabilidades em softwares, destroem arquivos, deixam buracos abertos para que hackers depois os explorem e em seguida vasculham o sistema hospedeiro em busca de novas vítimas a quem possam se auto-enviar, expandindo o contágio ao máximo. Vírus como estes já superaram a capacidade de alguns antivírus tradicionais e de outros sistemas de detecção de intrusões.
Por enquanto ainda não são muitas as soluções prontas usando bloqueio comportamental, como por exemplo as de firmas pequenas como Okena e Pelican Security, ou as de empresas mais parrudas como Aladdin Knowledge Systems, Finjan, Harris e a Sandbox Security, com seu notável produto, o Secure4U. Os grandes fabricantes de antivírus ainda não se pronunciaram, alegando (ou fingindo) desinteresse, pelo menos enquanto não arranjam uma solução decente para a excessiva lentidão que acomete um sistema rodando simultaneamente um antivírus e um bloqueador comportamental. |
Mais
de mil novos vírus de computador foram identificados em 2001, causando
prejuízos de bilhões de dólares gastos na tarefa de erradicá-los e
nas perdas de produtividade que estes malditos provocaram. Para
combatê-los, os antivírus convencionais vasculham arquivos e áreas de
memória em busca das chamadas "assinaturas", ou seja,
porções de código que servem para identificar inequivocamente um
vírus. Assim, quando uma nova praga dessas pinta na parada, é preciso
que o usuário já tenha a assinatura carregada em seu antivírus, de
modo que possa se proteger do contágio. Para tanto, é necessário que
vá periodicamente ao site do fabricante para baixar as novas
definições viróticas. Mas o que será que acontece no lapso de
algumas horas entre o surgimento de um vírus e a adição dessas novas
"impressões digitais" à lista particular de vírus
conhecidos que cada usuário tem em casa ou no trabalho? É justamente
nesta janela temporal que as infecções se alastram. Enquanto a leitora
ainda não está protegida, poderá muito bem já ter sido contaminada e
estar espalhando o vírus sem saber.
Quando
reconhece algum comportamento inaceitável por parte de um ou outro
programa, o software de bloqueio dispara um alarme. Um dos precursores
nesta abordagem foi a 
Bloqueadores
como o da