O Google possui uma iniciativa chamada Safe Browsing que identifica sites com códigos maliciosos. Ela tem duas frentes de atuação: os sites identificados como maliciosos são bloqueados no momento em que são acessados pelo Chrome (o navegador do Google), enquanto os sites mais perigosos recebem um alerta no próprio índice de busca da empresa.
No domingo (5/07), a Linha Defensiva foi bloqueada pelo Chrome. Mais especificamente, uma das nossas páginas mais tradicionais — a de remoção de vírus — é que sofreu o bloqueio.
Segundo Chrome, havia ‘invasores’ na página da Linha Defensiva.
O relatório do Google, que era possível ler ao se clicar em “detalhes” e seguir mais um link, dizia que a Linha Defensiva tinha códigos que estavam “sendo baixados e instalados sem o consentimento do usuário”. Eram dezenas de trojans!
Bom, não era bem assim.
Ao verificar o relatório que o Google disponibiliza aos donos dos sites, o mesmo estava vazio:
Google bloqueou mas ‘não conseguiu isolar’ o malware.
Sem saber o que estava causando o problema, baixei os arquivos referenciados na página um a um, e acabei isolando o “culpado”: o ZA-Scan. O ZA-Scan é uma ferramenta usada pela equipe da Linha Defensiva — é uma versão brasileira da ferramenta Z-Analyse, adaptada pelo próprio autor. Ela gera relatórios para que nossa equipe possa identificar as pragas digitais presentes no computador.
Há dois problemas. O site oficial do Z-Analyse (hijackthis [ponto] nl) já foi infectado por vírus, de fato. E o segundo problema é que ferramentas como essa costumam ser identificadas por programas antivírus como maliciosas, mesmo quando não são (gerando “alarmes falsos”, ou falsos positivos). O próprio ZA-Scan já gerou muitos alarmes falsos, mas ainda não sabemos qual é o caso desta vez.
Enviei o ZA-Scan ao VirusTotal e 18 programas antivírus detectam um problema. Parece um número alto, até você perceber que 8 programas detectam com o mesmo nome — todos são na verdade baseados no BitDefender — e outras duas detecções são da McAfee.
Tudo parece ser um caso típico de alarme falso, induzindo o Google ao erro. No entanto, a Linha Defensiva ainda não conseguiu contato com o autor para questionar se há um problema ou não. Até termos certeza disso — e até o ZA-Scan deixar de ser bloqueado –, o link para o programa foi removido da página.
O Firefox — que também usa a lista do Safe Browsing — não realizou o bloqueio. Mais sensato, o Firefox bloqueava apenas o download do ZA-Scan após o usuário clicar no link do programa.
O Google alegou que age em “caráter preventivo” e, por isso, a página foi bloqueada só por ter o link.
Também questionei ao Google como lidar com essas situações e por que a empresa afirma que programas são baixados “sem o consentimento” e que há “invasores” no site quando nada disso é verdade.
Não tive uma resposta. Fui orientado a fazer sugestões no fórum de produto do Chrome. Então falei que alarmes falsos nessa ferramenta já foram comunicados anteriormente, sem nenhuma resposta oficial, e perguntei se então o único fórum que valia era o do Chrome em inglês. Ainda não tive resposta.
Uma historinha
Certa vez, por colaboração com o Google em questões de segurança ligadas ao Orkut, eu e o Fabio Assolini, ex-colaborador da Linha Defensiva e hoje analista da Kaspersky Lab, recebemos camisetas da empresa, enviadas lá dos Estados Unidos. Na época, não existiam as recompensas em dinheiro que a empresa oferece hoje.
Continuamos colaborando. Mas, com o tempo, foi ficando mais difícil: a equipe de segurança do Google que atendia os e-mails relacionados à segurança não respondia mais um e-mail — nem para dizer se o Google já sabia do problema. Abrimos uma exceção para passar a divulgar brechas no Google assim que elas fossem descobertas (mas não tivemos conhecimento de mais nada desde então).
Certo dia, um funcionário do Google entrou em contato comigo porque queria incluir meu nome no “hall da fama” de segurança do Google. Neguei, afirmando que não queria fazer parte desse “hall da fama” se a empresa não era nem capaz de responder um e-mail.
Cheguei a me arrepender, mas hoje percebo que foi a coisa certa. Nunca fui um grande colaborador para merecer tal prestígio, e está muito claro que a “segurança” do Google é hoje um algoritmo. Enquanto um programa lá disser que uma página está “infectada”, que seja por um link, vão colocar o mesmo aviso vermelho para todos os internautas, sem qualquer distinção entre o que acontece em cada site.
O lado “humano” que essas “listas de gente” fingem prestigiar não parece importar muito. O internauta, que precisa de informação clara para decidir como e onde navegar, precisa fazer decisões igual uma máquina: ou tem a tela vermelha ou não tem nada.
50 tons de azul
Há anos cresce no Google um apego aos dados quantitativos, desumanizados. Essa forma de raciocínio eventualmente conclui que seres humanos são menos inteligentes que as máquinas e, portanto, o relato humano individual sempre vale menos que o agregado.
Meu pedido por uma reavaliação do ZA-Scan não faz sentido — segue a lógica — porque 18 antivírus no VirusTotal dizem que o programa está infectado. Então ele deve estar infectado, e você cale a sua boca.
Aliás, essa mesma paixão por dados agregados é que deve ter levado o Google a comprar o VirusTotal.
Em 2009, quando o designer Douglas Bowman saiu do Google, ele contou que não aguentou mais o clima de lá: todas as decisões de design eram tomadas a partir de dados. Em certa ocasião, eles não conseguiam decidir entre dois tons de azul, então o Google fez um teste entre 41 tons de azul entre um e outro para tentar “ver” qual era o melhor com base nas reações dos usuários (não foram 50, mas não podia perder a piada).
O que aprendi?
Os relatórios do Safe Browsing do Google não valem muita coisa, infelizmente. Links são as veias que permitem a informação circular na web. E se uma página pode ser bloqueada por linkar a outro site que sofreu um ataque, a situação beira o ridículo.
Entre acessar ou não uma página marcada como maliciosa, melhor não acessar. Mas melhor não usar isso para julgar a reputação de um site. Ou tente acessar no Firefox.
Não existe um procedimento decente para lidar com alarmes falsos, porque o Google confia demais nas análises de seus sistemas quantitativos. Significa que mesmo sites cujo único “crime” foi fazer um link — como o nosso — vão continuar com o histórico manchado.
Crise de alarmes falsos
A propósito, existem tantos antivírus no VirusTotal que é praticamente normal que qualquer programa seja identificado por um ou outro como um vírus, mesmo sendo inofensivo.
Como diversos antivírus usam motores de outros, um único alarme falso de um programa como o BitDefender pode fazer com que vários programas vejam um vírus onde não existe um.
A quantidade de vírus é tanta que os programas antivírus hoje são extremamente agressivos, usando definições bem genéricas para não deixar passar nada. O resultado é um grande número de alarmes falsos em quase todos os programas, exceto no Windows Defender — que no entanto detecta até 20% menos pragas digitais que os outros produtos do mercado. É o custo de se errar menos.
Aquele primeiro de abril
Em 2012, a Linha Defensiva fez uma brincadeira de primeiro abril simulando uma infecção no site. Foi um experimento interessantíssimo e, como antes, sigo afirmando que pode sim ocorrer um incidente em que a Linha Defensiva seja mesmo “hackeada”.
Afinal, não temos um só profissional de segurança cuidando do site. Eu sou um mero jornalista.
O problema é ser avisado de uma invasão que não aconteceu e — pior — mal avisado, já que a página não tinha orientação nenhuma.
Linha Defensiva 
Grande matéria. Esse mês vi uma crescente nesse tipo de bloqueio do Chrome. Até o mês passado, vinha usando o Firefox e acessando sites diariamente, agora, coloquei o novo windows para teste e deixei só com o Chrome, basicamente os mesmos sites que acessa antes no Firefox, agora estão com algum bloqueio.
Acho que essa parte, diz tudo:
“está muito claro que a “segurança” do Google é hoje um algoritmo”
#Tenso.
CurtirCurtir
Eu dei Adeus ao Google Chrome. Usei-o por muitos anos após abandonar o Firefox, mas o navegador da Google vinha se tornando muito lento e além disso vinha recebendo constantes e-mails no Gmail de produtos que havia pesquisado na web, portanto muito invasivo, pois o chrome é “amarrado” na conta do Google.
Hoje em dia retornei para o firefox e estou feliz. Uso o navegador com várias extensões de segurança e a navegação é muito mais estável, confiável e ainda continuo fazendo sincronismo entre dispositivos pelo “Firefox sync”, portanto Chrome nunca mais!
Excelente matéria!
Infelizmente o Google tem o mesmo espírito do “Google Analytics” e trata tudo de forma quantitativa, sem uma análise pessoal.
CurtirCurtir
Daqui a pouco o google irá bloquear ele mesmo por exibir resultados com sites que compartilham links com conteúdo infectado.
CurtirCurtir