Software anti-vírus só é excelente nos anúncios publicitários
Por Robert S. Vibert © 2000
O dia era 4 de Maio. Mais um dia de trabalho para os milhões de pessoas que em todo o mundo utilizam o computador como ferramenta de trabalho. Ferramenta que lhes permite estar em contacto com o planeta numa questão de segundos. Eu sou uma dessas pessoas. Além de regularmente enviar correio electrónico, recebo constantemente mensagens electrónicas de diferentes partes do mundo. Mas este dia iria ser diferente para muitas empresas e organismos nesta aldeia global da qual todos fazemos parte. Não me demorou muito tempo a reparar que estava a receber mais “e-mails” que o habitual. O que e que se passará aqui ? Fui indagar.
O resto da história já toda a gente sabe. Mais um ataque de vírus que levou, em muitos casos, à paragem total dos sistemas informáticos. Com o que sabemos hoje, por que razão é que a capacidade de resposta dos fabricantes de software anti-vírus perante crises destas é lenta, incompleta e inadequada?
Fabricantes de anti-vírus Desapontam Clientes
À medida que aumentavam cada vez mais os custos do vírus LoveLetter e da sua família de variantes enquanto gestores de informática no mundo inteiro batalhavam para tornarem operacionais os seus computadores depois dos diferentes ataques, apenas uma conclusão emerge – a abordagem tradicional defendida para se lidar com vírus informáticos pura e simplesmente não funciona.
Apesar da muito publicitada promoção pelos fabricantes de anti-vírus da sua tecnologia – “sistemas auto-imunes”, actualizações incrementais e detecção heurística avançada de vírus – a realidade é que na altura em que mais precisavam de ajuda os clientes foram abandonados “na berma da estrada”. E quem é que pagou por todo este falhanço? Os clientes, claro.
Se os tão apregoados sistemas anti-vírus fossem tão funcionais e eficazes como os fabricantes reclamam, os seus clientes espalhados pelo mundo inteiro não teriam visto fecharem-se as portas dos “websites” dos fabricantes de anti-vírus nos quais se pode descarregar (“download”) os últimos ficheiros para detecção de vírus. Por outro lado, os clientes também teriam tido a possiblidade de obter informação atempada sobre o vírus – na realidade, apenas uma pequena porção dos fabricantes de anti-vírus ( os de menor dimensão) conseguiu dar luz ao problema – os maiores fabricantes demoraram algumas horas a responder e quando o fizeram apresentaram apenas soluções parciais. E, mais importante ainda, os sistemas das organizações de todas as dimensões em praticamente todos os países não teriam sido desligados com os tremendos custos que daí advieram.
As actualizações incrementais – um dos mantras dos fabricantes de anti-vírus, através dos quais uma pessoa pode “descarregar” (download) uma pequena quantidade de nova informação necessária para acrescentar a protecção contra um novo vírus – em muitos casos, pura e simplesmente não funcionou, ou então foram enviadas sem instruções completas de utilização. Um fabricante até colocou um ficheiro com 2.5MB no seu “website” como actualização enquanto a equipa técnica tentava criar uma solução mais pequena. Para aqueles clientes do produto anti-vírus que estavam à espera de receber um ficheiro pequeno para actualizarem as suas defesas contra o LoveLetter, o tamanho enorme deste ficheiro foi um rude choque. O facto de ser um ficheiro muito difícil de “descarregar”, devido às constantes paragens do sistema (timeout), só veio piorar a situação.
Este mesmo fabricante de anti-vírus orgulha-se do seu sistema de automatização dos seus laboratórios e até já fez viagens guiadas dos mesmos a membros da imprensa. É óbvio que toda esta automatização não adiantou de nada no caso do LoveLetter e teve pouco valor para os seus clientes.
Outro fabricante de anti-vírus foi enviando versões múltiplas da sua actualização até ser encontrada uma versão correcta, mas esqueceu-se de avisar aqueles que foram “descarregando” as versões iniciais que estas estavam apenas num estado semi-funcional. Os clientes, pensando que tinham uma protecção eficaz instalada, em breve descobriram que tal não era o caso.
Um outro fabricante até enviou, durante horas, sem disso se aperceber, cópias do vírus para a sua rede mundial de revendedores até a situação ter sido descoberta e rectificada. O que é que isto nos diz àcerca da distribuição automatizada de actualizações dentro desta empresa?
Ainda mais preocupante é que o vírus LoveLetter não foi apanhado pelos sistemas heurísticos de detecção de vírus contidos na maior parte dos produtos anti-vírus, tecnologia que é suposta detectar elementos tipo vírus em ficheiros e que tem sido vendida aos utilizadores como resposta viável para novos vírus. Como é que eles podem apregoar ter esta capacidade e mesmo assim deixar escapar um vírus que está programado para enviar ‘e-mails’ para todas as moradas num programa de “e-mail” , escrever por cima (overwrite) de ficheiros no disco duro, e enviar ficheiros para canais IRC? Esta incapacidade para detectar tudo isto é um mistério para os utilizadores, tendo em conta que o vírus Melissa que atacou há mais de um ano tinha características semelhantes.
E, como se não bastasse, quando os clientes tentaram contactar os fabricantes de anti-vírus para obterem informações sobre esta nova ameaça que estava a assolar o mundo, e para saberem também quando é que chegariam as actualizações para o seu software antí-vírus, muitos depararam-se com linhas ocupadas.
Utilizadores Devem Exigir Soluções Preventivas
Este fiasco (que ainda não acabou dado estarem a surgir variantes deste vírus de 12 em 12 horas aproximadamente) veio ensinar aos utilizadores, os quais pagaram um preço muito caro por esta lição, que a tecnologia anti-vírus, baseada apenas em responder aos ataques de vírus e não na sua prevenção, falhou redondamente. Tradicionalmente, os fabricantes de software anti-vírus abordam os novos vírus centrando quase inteiramente a sua atenção à volta da criação de uma riposta para cada vírus – ou seja, produzem uma cura após a doença (vírus) ter aparecido. Isto exige que:
- a doença possa ser diagnosticada e o antídoto desenvolvido rapidamente,
- o antídoto possa ser enviado às partes infectadas o mais rapidamente possível,
- a infraestrutura para o envio do antídoto funcione devidamente, e
- o cliente possa distribuir o antídoto internamente de forma eficaz.
Com o LoveLetter, vimos algumas grandes empresas de software anti-vírus a demorarem várias horas antes de conseguirem lançar qualquer versão de uma possível cura. Vimos outras empresas lançarem versões múltiplas do seu antídoto já que as primeiras não funcionaram correctamente. A maior parte dos fabricantes de anti-vírus partiu do princípio que os seus clientes iriam “descarregar” o antídoto da Internet e quando demasiados utilizadores tentaram ligar os seus sistemas à Internet, muitos não conseguiram obter a cura. Não interessava se o cliente gastara 50 ou 50.000 dólares em produtos deste fabricante – se não foram dos primeiros a tentar obter o antídoto, foram forçados a esperar e tentar repetidamente o “descarregamento” (download) até finalmente conseguirem linha.
Obviamente, várias coisas correram mal com o LoveLetter – o custo em produtividade perdida está calculado em 1 bilião de dólares (ou será que são 10 biliões) . Lições que deveriam ter sido aprendidas com incidentes prévios de vírus, infelizmente não o foram. Tal como o caso do vírus Melissa, empresas e organizações tentaram de todos os modos resolver o problema, depois de ele ter aparecido e inundado os seus servidores de “e-mail”. Este foi, de facto, o maior impacto do vírus – assoberbou os servidores de “e-mail” com excessivo tráfico. A mesma coisa aconteceu com o LoveLetter – por que razão é que nem os fabricantes deste software especializado nem os utilizadores estavam preparados para a repetição de um incidente semelhante?
A abordagem tradicional para responder ao problema não está a funcionar. Não existem curas milagrosas mas há muita coisa que se pode fazer para reduzir o impacto destes incidentes:
- os utilizadores precisam de mais formação para poderem fazer, com segurança, uso do “e-mail”,
- devem ser postos em prática limites para salvaguardarem a disseminação de vírus e das suas actividades perniciosas,
- os vírus e outras ameaças desta natureza devem ser abordados de forma activa tanto por parte dos fabricantes de software anti-vírus como pelas entidades utilizadoras do mesmo,
- sempre que apropriado, devem ser empregues outras tecnologias além da clássica “detecção de vírus conhecidos”, e
- os sistemas de resposta devem ser robustos e funcionais – actualmente falham sempre que aparece uma crise nova.
Se há uma lição a aprender com tudo isto é que a solução anti-vírus tão fortemente promovida pelos fabricantes e praticada pelos clientes é inadequada para a função a que se destina. E se não forem activamente tomadas medidas do tipo preventivo, este cenário repetir-se-à vezes sem conta.