Tag Archives: mcafee

Informações que auxiliam usuários também colaboram com criminosos

Criminosos usam informações divulgadas para proteção dos cidadãos. Pesquisador revelou brecha que permitiu criação de código malicioso.

Informar ou não informar, eis a questão que muitos pesquisadores de segurança precisam responder sempre que alguma nova ameaça aparece – seja digital ou não. Criminosos podem usar as informações veiculadas para que cidadãos possam se proteger para aplicar novos golpes, obter mais informações sobre uma fraude e, no caso de segurança da informação, desenvolver novos códigos maliciosos.

Na semana passada, por exemplo, um pesquisador de segurança da McAfee divulgou dados técnicos sobre um vírus que usava uma nova brecha no Internet Explorer 7. Administradores de sistema puderam usar esses dados para proteger suas redes. Mas, também, outro especialista foi capaz de obter e dissecar o código, permitindo que a vulnerabilidade no navegador – antes restrita ao grupo criminoso que a estava utilizando – se transformasse numa falha que qualquer pessoa pode usar, mesmo que não tenha conhecimento técnico. E isso tudo com uma brecha que ainda não tem correção.

É esse “uso duplo” da informação que a coluna Segurança para o PC de hoje discute, mostrando os pontos de vista e as diferentes maneiras que a informação é trazida nos sites de internet.

Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.), vá até o fim da reportagem e deixe-a na seção de comentários. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.

>>>O caso McAfee-Metasploit-Microsoft

Ampliar FotoFoto: Reprodução

Especialistas divergem quanto à liberdade de informar. Metasploit divulga códigos de falhas. (Foto: Reprodução)

Na semana passada, a Microsoft confirmou a existência de um ataque na web que usava uma brecha ainda sem correção capaz de infectar usuários das versões 6 e 7 do Internet Explorer. Em seguida, a fabricante de antivírus McAfee publicou o que ela sabia sobre o assunto, o que incluía alguns dados técnicos do vírus – bem mais do que a Microsoft revelou. O intuito da McAfee era dar mais informações a interessados e permitir que administradores pudessem bloquear o site malicioso e proteger suas redes.

Mas, em posse da mesma informação, um programador israelita foi capaz de obter cópias do vírus. Para a indústria de antivírus, a distribuição direta de códigos maliciosos é considerada antiética. A McAfee não fez isso diretamente, mas deu informações suficientes para que o especialista pudesse deduzir a localização da praga. Ao analisar o vírus, o programador conseguiu desenvolver o código para explorar a brecha.

O código logo foi adicionado ao Metasploit, um kit destinado a especialistas em segurança que realizam os chamados “testes de penetração” – um ataque feito com autorização para verificar a segurança de um sistema. A partir do código no Metasploit, que é aberto, criminosos com um mínimo de sofisticação já conseguem lançar ataques via web, como o original.

Quem trabalha em ferramentas como o Metasploit e desenvolve esse tipo de código, que pode ser usado tanto por criminosos como profissionais, adota uma postura distinta daquela encontrada na maioria dos pesquisadores antivírus.

A indústria antivírus é uma das mais secretas no ramo de segurança. Muita informação não sai do círculo de pesquisadores “credenciados” e, como é um campo onde operam apenas empresas privadas, muita coisa nem sequer é compartilhada entre elas mesmas. A revista “oficial” da indústria, a Virus Bulletin, localiza-se no mesmo prédio da fabricante britânica de antivírus Sophos, o que demonstra a ligação dessas empresas com a circulação da informação relevante para elas mesmas.

Muitas soluções, ferramentas, descrições técnicas e cópias de pragas digitais encontram-se restritas em portais acessíveis apenas a pesquisadores e técnicos credenciados – essencialmente um “clube”. Os motivos para esse fechamento são os mais diversos: medo de que a informação seja má utilizada ou que usuários acabem se infectando sem querer.

Especialistas que lidam com brechas de segurança, por sua vez, costumam divulgar detalhes em locais como a Full-Disclosure, a Bugtraq e revistas eletrônicas (e-zines) – boa parte delas abertas ao público geral.

É por isso que o caso da McAfee é interessante – foi “informação demais” até para um segmento da indústria que costuma revelar tão pouco. No site Viruslist, mantido pela fabricante de antivírus russa Kaspersky Lab, um especialista da empresa pediu mais cuidado cominformações sobre ameaças ainda em curso. Para a o especialista, as informações como as reveladas pela McAfee não devem ser divulgadas em público, mas apenas entre outros especialistas.

Esse pensamento, de limitar ao máximo qual informação está disponível, é chamado de “segurança por obscuridade” (security by obscurity). Com isso, o público geral fica às escuras a respeito do que acontece – e à mercê de empresas privadas, o que faz com que alguns discordem deste ponto de vista. A ideologia oposta é conhecida como “full disclosure”, ou “revelação completa”.

>>>Informação livre: Offensive Computing e VX Heavens

Ampliar FotoFoto: Reprodução

Site foi criado por descontentamento em relação a segredos da pesquisa antivírus. (Foto: Reprodução)

“Ao remover barreiras para a informação, nós acreditamos que a internet será um lugar mais seguro”. Assim é descrita a ideia por trás do siteOffensive Computing, criado pelo especialista em segurança Danny Quist.

O site segue sua ideologia à risca. Além de publicar análise técnicas detalhadas de diversos códigos maliciosos, ele também hospeda a maior coleção pública de pragas digitais. São mais de 1,1 milhão de pragas digitais armazenadas e livremente disponíveis para download, permitindo que qualquer um analise – seja para defender sua rede ou para desenvolver um novo código malicioso.

Tudo isso é muito diferente do que a indústria antivírus está acostumada – e o site tem “cara” de legítimo – diferente do “submundo” dos códigos maliciosos, onde se localizavam os únicos locais onde se podia obter informações desse tipo.
A percepção dos especialistas envolvidos nesse tipo de projeto é a de que, se a informação está acessível para todos, os bons usos irão, mais cedo ou mais tarde, superar os maus.

Ampliar FotoFoto: Reprodução

‘Céu dos Vírus: Os vírus não causam danos, a ignorância sim’ (Foto: Reprodução)

Esse submundo era antes representado por site como o VX Heavens, um ponto de encontro de pessoas interessadas em vírus. Além de disponibilizar uma coleção de pragas digitais, o site também possui artigos e informação sobre análise de vírus, além de colecionar trabalhos científicos sobre o tema.

Proteção de informação levada ao extremo: o caso de Robert Maley
Às vezes, a falta de transparência chega a tal ponto que uma brecha sequer pode ser mencionada. Com o que aconteceu com Robert Maley, que era chefe de segurança da informação do estado da Pensilvânia, nos Estados Unidos. Em uma palestra na conferência de segurança RSA, há duas semanas, Maley mencionou um problema no departamento de trânsito, que permitiu que uma escola de motoristas conseguisse adiantar as provas de seus alunos, favorecendo-os.

Simplesmente por mencionar um problema, já resolvido, e sem dar maiores detalhes, Maley foi demitido. O caso demonstra como alguns gestores – que no caso são do governo, mas poderiam ser também empresas privadas – ainda não lidam bem com qualquer informação que seja revelada. Embora seja um caso diferente, a situação não era muito diferente na década de 90, quando várias falhas de segurança não eram corrigidas para que as empresas não precisassem admitir sua existência.

Ainda hoje, a Microsoft elimina brechas “não reveladas” em suas atualizações, embora isso seja mais raro. São falhas, descobertas por pesquisadores da própria Microsoft, cuja existência a empresa prefere não divulgar. Especialistas argumentam que, por não saberem dessas vulnerabilidades, administradores e usuários podem não perceber a real importância de se instalar uma atualização, apesar de ela corrigir outros problemas.

Segurança da informação é, como o nome sugere, sobre informação. Não por menos, é o campo no qual a questão de publicar ou não uma determinada informação é mais complexa. É claro que na segurança física isso também é um problema; criminosos podem “copiar” crimes, se souberem de sua existência. Por outro lado, é necessário informar o público.

Quanto o assunto fica mais técnico, como no caso da informática, é mais difícil para o público geral (e leigo) analisar se uma determinada informação precisava mesmo ter sido publicada, porque é difícil perceber a utilidade de dados técnicos que não se compreende. Isso complica o debate e torna quase impossível sugerir qualquer tipo de regulamentação. Por enquanto, cada um faz o que acha certo, e, assim, fica difícil encontrar fontes seguras para se informar, enquanto criminosos encontram facilmente o que precisam.

Fonte: G1