Espanhol, vivendo atualmente na Alemanha, Ero Carrera é pesquisador em automação de engenharia reversa na SABRE Security, empresa que faz os programas BinDiff e BinNavi. Também participa do OpenRCE.

Antes de trabalhar na SABRE, esteve alguns anos na empresa de segurança finlandesa F-Secure, onde foi pesquisador antivírus e criador de ferramentas para facilitar o trabalho de análise de vírus. Publicou também um artigo sobre métodos de classificação de estruturas binárias.

Carrera sempre foi fascinado por matemática, engenharia reversa e segurança de computadores. Publicou ferramentas como pydot, pype, pyreml e idb2reml em seu site: dkbza.org.

Em uma entrevista concedida à Linha Defensiva, Carrera fala sobre códigos maliciosos, a indústria antivírus, sistemas operacionais, DRM e spam. Confira a entrevista na íntegra abaixo.

Qual a sua opinião sobre a indústria antivírus como um todo? Você acredita que os softwares de segurança são bons o suficiente? Existe alguma área que necessita de muitas melhorias?

A detecção de softwares maliciosos não é um problema fácil de resolver. Fazer isso de forma rápida e boa é muito desafiante. Bons métodos, como a análise de comportamento ou semelhanças estruturais com malwares já conhecidos, são muito eficientes, mas impossíveis de serem feitos em grande escala na máquina do usuário. Levando em consideração a relação velocidade/qualidade, existem diferentes algoritmos baseados em assinatura, alguns utilizando emulação parcial, que oferecem a melhor solução atualmente.

Eu acredito que a proteção é boa, considerando-se o nível de complexidade das ameaças atuais.

Talvez se o processo de análise (para saber se algo é malicioso) fosse muito mais rápido, a indústria iria seguir o rumo de políticas onde somente softwares “verificados” podem ser executados. Essas idéias já estão em uso em alguns ambientes, mas mais pessoas poderiam ser beneficiadas se isso chegasse a uma audiência maior. Mesmo assim, isso ainda não iria prevenir a execução de código malicioso por meio da exploração de falhas.

Nossos usuários estão curiosos sobre como companhias antivírus coletam as informações sobre os vírus que se espalham para publicar listas mensais de top dez. O que você pode nos dizer sobre o processo envolvido na coleta dessas informações e seu processamento? Qual sua precisão?

A maioria das companhias antivírus coleta malware por meio dos seus honeypots/honeynets[1] e da sua base de usuários.

Essas listas costumam ser compostas por estatísticas geradas a partir dessas fontes. Desse modo, os dados devem ser parecidos entre várias empresas. Obviamente, empresas com uma grande base para monitoração têm uma visão melhor da situação mundial.

O fato de que os dados são coletados a partir de honeypots ou servidores de e-mail aumenta a conta de código malicioso que utiliza a rede contra cavalos de tróia que apenas infectam a máquina e não se espalham mais, já que os honeypots não poderão vê-los a não ser que eles de fato infectem uma máquina?

O modo de captura pode influenciar os resultados se ele for mais eficiente na captura de um certo tipo de malware. Um honeypot para captura de worms de e-mail não irá capturar worms de rede, enquanto um honeypot utilizado principalmente para observar padrões no tráfego e acesso às portas não irá encontrar worms de P2P… basicamente, alguém precisa procurar por um certo tipo de malware para poder vê-lo. Caso contrário, ele não será visto.

De que forma poderia um vírus afetar a BIOS de uma placa-mãe ou componentes de hardware, tais como monitores e placas de vídeo? E dispositivos como roteadores e modems? Os programadores de vírus atuais possuem qualquer interesse em desenvolver vírus que danificam ou infectam hardware?

Interesse pra fazê-lo pode partir da visibilidade reduzida e da resistência contra detecção e desinfecção. Mas atacar o hardware limita o vírus para computadores/dispositivos que possuírem aquela configuração específica. Esta é uma dificuldade que provavelmente prevenirá que malware que ataque hardware apareça em grande escala… isso se houvesse um dispositivo vulnerável a esse tipo de ataque.

Podemos esperar consideráveis mudanças dos novos softwares de segurança criados para o Windows Vista, que possui um maior foco na área de segurança?

Devido a alguns mecanismos de proteção implementados no Vista, alguns aplicativos terão que “jogar limpo” com o sistema e utilizar técnicas padrões para realizar suas tarefas de monitoração. Muitas companhias provavelmente já terão se adaptado até que o Vista chegue nas lojas (eles definitivamente tiveram tempo para fazê-lo).

Spywares se tornaram mais conhecidos nos últimos anos e, como resposta, o Windows Vista irá incluir um anti-spyware chamado de Windows Defender. O Windows Defender conseguirá mudar a situação, ou os desenvolvedores de spyware irão fazer seus softwares passarem pela proteção?

As soluções de segurança mais usadas sempre serão as mais atacadas por malfeitores. O Windows Defender provavelmente irá segurar as pragas mais comuns, pelo menos no início.

Além do Windows Defender, o Vista trará outras melhorias na área da segurança. Outras novidades, no entanto, foram canceladas ou removidas. Qual será o impacto do Vista na segurança dos usuários de Windows? Com a falta de novos recursos, será a sua segurança suficiente para convencer a base de usuários existente a atualizar?

A segurança por si só deve ser uma razão boa para motivar muitas pessoas. A perspectiva de máquinas mais seguras irá atrair pessoas conscientes em segurança.

Houve um caso recente sobre uma empresa chamada Blue Security que cessou suas operações devido ao seu uso de requisições automatizadas de remoção das listas de e-mail dos spammers. Pode o spam ser combatido dessa forma? Quais são as raízes dos problemas do spam?

O problema do spam está entre nós por uma simples razão: é lucrativo. Enquanto spammers ganharem mais dinheiro pelo spam do que eles gastam para enviar o spam, o problema irá continuar. Soluções não são fáceis.

Mensagens de spam aumentaram sua inteligência em resposta às melhorias feitas na tecnologia de detecção de spam, mas existe um limite para isso e os spammers sempre terão a mão vencedora nessa corrida.

Os únicos métodos que parecem mudar a economia do spam seria cobrar por cada e-mail enviado (o que, obviamente, não é popular) ou tornar o envio de mensagens computacionalmente caro (devido à necessidade de computar algum valor necessário em um processo de verificação durante o envio).

Esse último método parece mais viável, sendo apenas um problema para quem envia grandes quantidades de e-mail legitimamente. Mesmo assim, ainda requer que algumas mudanças na arquitetura sejam implementadas de forma ampla o suficiente.

Computadores quânticos mudarão a criptografia?

Sobre o uso de computadores quânticos para a quebra de algoritmos de criptografia atuais, eu não sei de nenhuma aplicação da tecnologia em algum algoritmo real. Até hoje, os testes foram, em sua maioria, demonstrações teóricas em casos de “brinquedo”.

Tecnologia de Digital Rights Management (DRM) está se tornando conhecida por mudar o modo que as pessoas usam o conteúdo digital que elas compram. Você acha que novos Rootkits da Sony vão acontecer? O DRM será útil em combater a pirataria?

DRM é útil. Casos como o rootkit são (e espero que continuem) erros isolados. Existem chances de que, no futuro, algumas companhias se tornem um pouco “protecionistas” demais, mas é possível que a indústria aposte em um DRM “amigável”, com permissões que são justas com os usuários.

Mas pode um programa DRM ser amigável e difícil de ser quebrado ao mesmo tempo?

Isso é o que maioria das empresas gostaria. Eu certamente penso que é possível. Uma certa companhia que tem uma fruta como logotipo possui um DRM amigável que muitas pessoas não se incomodam em burlar. Eu acredito que é neste lugar onde devemos chegar, fazendo-o justo o suficiente para que a maioria dos usuários nem sequer considere o esforço para quebrá-lo.

De modo geral, tudo que pode ser visto ou escutado em um computador ou outro dispositivo pode ser capturado, então DRM em música e filmes sempre poderão ser burlados de uma maneira ou outra.

Enquanto usuários de Windows estão em uma constante guerra com vírus e código malicioso, usuários de Mac e Linux parecem completamente livres do problema. Por que você acredita que isso acontece? O que poderia mudar essa situação?

Existem malwares (worms/trojans) para Linux e Mac há algum tempo. O principal motivo pelo qual eu atribuiria a grande diferença [na quantidade de malware] é o tamanho da base de usuários. Eu não acredito que algum sistema é especificamente mais seguro que outro. Qualquer usuário avançado pode assegurar uma máquina Windows, Linux ou Mac… enquanto um leigo será vulnerável em qualquer um deles.

Linux é um caso óbvio. Houveram alguns worms de rede interessantes e na sua base de usuário existe uma quantidade razoável de usuários não muito conhecedores que poderão ter seus sistemas comprometidos. Mas os padrões de segurança na maioria das distribuições tende a torná-lo um alvo mais difícil por padrão.

Agradeço por usar seu tempo para responder nossas perguntas. Você tem algum comentário final ou dicas que gostaria de compartilhar?

Obrigado à Linha Defensiva pelo interesse. Uma das principais tarefas no mundo da segurança é ajudar as pessoas a se tornarem mais informadas da sua importância, então recursos como [seu site] ajudam a melhorar a situação para todos.

Notas

  1. Honeypots são computadores cujo objetivo é capturar malwares. Honeypots são computadores abertos na Internet que parecem vulneráveis a diversos tipos de ataques, mas na verdade apenas capturam e isolam qualquer malware que tente infectá-los. Voltar para o texto

Escrito por Altieres Rohr

Editor da Linha Defensiva.

Todos os posts Website