Content
McAfee Security Insights - Fatos Relevantes
Opinião de Especialista: Bloqueando os Spywares
Os desktops dos usuários corporativos estão cheios de programas potencialmente indesejáveis, desde incômodos anúncios dirigidos em janelas instantâneas (pop-ups), que drenam recursos de processamento, até programas de captura de digitação (keyloggers) capazes de roubar os números de cartão de crédito dos funcionários e outras informações particulares. A maioria dos gerentes de TI das grandes empresas sempre subestimou muito a magnitude do problema. Qual é o tamanho do problema dos spywares e adwares – e, o que é mais importante, o que as grandes empresas podem fazer para impedir que eles se infiltrem nos desktops e laptops dos usuários? Conversamos com Joe Telafici, diretor de operações do McAfee® AVERT® Labs para compreender o estado do problema— e a sua solução.
Security Spotlight: Qual é o tamanho do problema do spyware? E por que ele está piorando?
Joe Telafici: É enorme. Já era uma situação ruim e piorou nos últimos anos. O spyware é consideravelmente pior que os vírus. Há mais computadores com programas potencialmente indesejáveis (PUPs), especialmente adwares, que qualquer outra coisa. Na maioria dos meses, entre dez e 15 dos 20 principais ataques de vírus consistem em adwares e spywares. Nos ambientes corporativos, já vimos relatórios nos quais é necessário até o duocentésimo evento para encontrar um vírus. O restante são spywares, adwares e outros programas indesejáveis.
Há dois motivos para essa proliferação. Primeiramente, esses programas têm fins legítimos. Algumas pessoas querem esses programas. Quando você baixa o Kazaa, por exemplo, baixa também dois ou três programas; se quiser o Kazaa, deve baixar os outros também. Se você for da área de TI, pode usar um programa "farejador" (sniffer) ou algum programa de controle remoto no seu trabalho. Quando o software chega a um local onde não deveria estar, então, há um problema.
Em segundo lugar, as ferramentas para identificar e eliminar os spywares não estão amplamente disponíveis, especialmente para as grandes empresas. Se os profissionais de TI não tiverem ferramentas amplamente distribuídas e gerenciadas de forma centralizada não conhecerão o problema e não poderão solucioná-lo.
A palavra ‘spyware’ tem uma conotação forte. Muitos dos programas realmente mal-intencionados são cavalos de Tróia, tais como programas de roubo de senhas, programas de captura de digitação e programas de controle remoto, que têm a intenção de roubar identidades.
Uma nova motivação: Dinheiro
Security Spotlight: Você pode perceber que a motivação para o spyware é basicamente financeira, como o roubo de identidade e fraude?
Telafici: Em 2003 e 2004, os malwares deixaram de ter uma função ideológica, o equivalente digital das pichações, passando a visar ao lucro. É difícil dizer se os autores dos malwares estão aprendendo com os fornecedores de adwares ou vice-versa.
Os spy-bots ("robôs espiões") e worms estão instalando adwares porque, presumivelmente, o autor do worm está ganhando dinheiro pelo número de adwares instalados. Alguns dos fornecedores menos idôneos de PUPs (Programas Potencialmente Indesejáveis) estão instalando-os através de explorações e usando os mesmos truques de engenharia social que os autores de malwares sempre utilizaram.
Se olharmos para essa parte mais perigosa, veremos uma mescla de técnicas. No lado bom do espectro, vários autores de adwares tentam com afinco desfazer os próprios erros. Alguns são financiados por capital de risco e tentam agradar aos investidores.
Security Spotlight: A mudança dos autores dos spywares facilita ou dificulta o seu bloqueio?
Telafici: Em alguns casos é melhor e, em outros, pior. As pessoas que criam PUPs são mais profissionais e meticulosas que há dois anos. Não se trata de um adolescente. O autor já programa há cerca de dez anos. Ele testa a sua criação. Ele ganha dinheiro com o seu trabalho.
A boa notícia é que ele é um pouco mais previsível. Muitos programas vêm com desinstaladores, entretanto, se as pessoas não souberem, em primeiro lugar, como receberam o software, um desinstalador não ajuda muito. Os autores são mais honestos na maneira como rotulam o software, inclusive indicando informações de versão e o verdadeiro nome da empresa.
Por outro lado, as pessoas que não se importam com sua reputação estão fazendo coisas bastante nebulosas e usando técnicas de ocultação para esconder sua presença nos sistemas.
Uma questão de política
Security Spotlight: Você tem alguma estimativa sobre quantos desktops em grandes empresas dos Estados Unidos estão infectados com spywares?
Telafici: Os spywares não têm aparecido na tela do radar, e isso se deve, em parte, à falta de ferramentas. Muitas empresas, embora estejam muito melhores por exigir antivírus nos desktops, não bloqueiam as configurações dos desktops.
Nas empresas, especialmente nos Estados Unidos, muitas pessoas fazem compras e realizam atividades não relacionadas ao trabalho. Algumas organizações tomam medidas severas contra o uso dos recursos de informática para atividades que não tenham relação com o trabalho, mas a maioria delas não faz nada. A fiscalização de políticas é a melhor maneira de manter os programas potencialmente indesejáveis fora dos desktops.
Security Spotlight: O que as empresas podem fazer para impedir a entrada de programas potencialmente indesejáveis?
Telafici: O maior passo que as empresas podem dar é observar os direitos e privilégios dos usuários nos seus computadores. No Windows, todos começam como administradores, e os administradores podem fazer qualquer coisa com seus computadores. Sempre que você visita uma página da Web tem todos os direitos.
As empresas devem estabelecer uma política que contemple os programas que os funcionários devem ter para trabalhar, seja o Microsoft Office, ou um ambiente de desenvolvimento de software. A TI deve bloquear os aplicativos dos desktops dos usuários para que eles possam usar apenas aplicativos aprovados.
Além disso, você pode querer baixar um outro software legal e útil. Em vez de ter o direito de baixá-lo automaticamente, você poderá solicitar os direitos e ter a oportunidade de que alguém da TI examine esse programa e diga “sim” ou “não”.
Security Spotlight: O que mais as empresas podem fazer?
Telafici: A Ti deve exigir uma política de aplicação de patches, a fim de que as atualizações sejam automaticamente distribuídas, e colocar em quarentena as máquinas que não estiverem atualizadas.
Muitas empresas ainda permitem o tráfego de IRC em suas redes. Um grande número de spy-bots (robôs espiões) usa o IRC. Embora isso não tenha necessariamente relação com os PUPs, as empresas não devem liberar esse tipo de tráfego. Elas devem bloquear determinadas portas. Em termos de adware, há listas abertas de domínios que podem possuir conteúdos reprováveis. Use um firewall para bloquear o acesso a esses domínios.
As empresas podem usar uma combinação do McAfee® Secure Content Management, do software de gerenciamento de vulnerabilidades McAfee® Foundstone® e do McAfee® Desktop Firewall para proteção contra esse problema. O McAfee® Anti-Spyware Enterprise protege contra spywares, adware, programas de captura de digitação, cookies e programas de controle remoto.
Security Spotlight: Qual é a melhor maneira de conscientizar os usuários contra a instalação de programas capazes de levar spywares e adwares à empresa?
Telafici: A informação é absolutamente essencial. As pessoas acham que têm o direito de instalar programas nos computadores que usam na empresa. Elas não percebem a relação entre instalar uma barra de ferramentas para o navegador e instalar um spyware. Normalmente, esse tipo de programa faz parte de sites de compras pela Internet e jogos de azar. As pessoas precisam assumir alguma responsabilidade em relação ao download desses programas.
A função da lei
Security Spotlight: E quanto às tentativas do poder público de impedir os spywares? Na maioria das vezes, CAN-SPAM não foi eficiente para impedir o spam. Podemos esperar um resultado melhor em relação ao spyware?
Telafici: O Estado de Utah aprovou uma lei de restrição aos spywares, e a Califórnia está pensando em uma iniciativa semelhante. A lei exige que as empresas de software e os sites informem os usuários se os seus programas ou sites instalarão spywares e divulguem o que eles farão e que informações irão coletar. Também há duas leis em discussão na Câmara dos Deputados dos Estados Unidos e uma no Senado.
A CAN-SPAM legitimou uma forma totalmente nova de spam. Ela não fez nada para reduzir o fluxo de spam e, na verdade, pode ter piorado o problema. Há alguma preocupação em relação a qualquer lei federal afirmando que essas coisas são ruins.
O processo legislativo não consegue acompanhar a tecnologia. Uma nova técnica é desenvolvida a cada dia ou semana. Qualquer tentativa de dizer que uma determinada forma é ruim enfrentará dificuldades, a menos que alguém se disponha a gerar a lista de comportamentos inadequados e mantê-la atualizada da mesma forma que a FDA (Food and Drug Administration ou Administração de Alimentos e Medicamentos) faz com os medicamentos bons e ruins. Precisa haver uma iniciativa do poder público para que a legislação acompanhe a tecnologia.
Isso pode mudar se organismos como a Comissão Federal de Comércio (FTC - Federal Trade Commission) dos Estados Unidos baixar portarias para controlar os fornecedores desses programas. Recentemente, a FTC fechou a Sanford Wallace, rainha do spam, por práticas de negócios. Eles estão começando a demonstrar algum interesse nessa área, mas isso é uma questão de quanto orçamento e tempo poderão ser dedicados ao policiamento.
Security Spotlight: Então, qual é a solução?
Telafici: Estamos dialogando com o restante da comunidade de antivírus e anti-spyware. Há vários grupos de trabalho normativos, nos quais vários fornecedores de segurança estão desenvolvendo convenções e comportamentos de nomenclatura.
A solução será conduzida em grande parte pela comunidade de segurança e pelos fornecedores mais legítimos de PUPs, que são influenciados pela opinião pública. A McAfee está fazendo o que seus clientes estão pedindo, ao passo que outras empresas estão fazendo coisas que seus investidores ou anunciantes, que determinam seu valor, estão pedindo que elas façam.
Os provedores de tecnologia e a comunidade precisam se unir para chegar à solução. A natureza global da Internet provavelmente acabará tornando inócua qualquer iniciativa normativa.
Desde a redação deste arquivo, a McAfee introduziu novos produtos com recursos semelhantes. Consulte nossa seção de produtos para obter mais informações.
Recursos
