quarta-feira, 9 de março de 2011

INFORMÁTICA - TECNOLOGIA



09/03/2011 07h00

- Atualizado em
09/03/2011 07h00



Pacotão de segurança: vírus contra antivírus, recuperação de arquivos

Colunista também fala sobre monitoramento de MSN.
Deixe sua dúvida na área de comentários.






Altieres Rohr




Especial para o G1*








Existe uma guerra constante no mundo virtual: vírus tentando escapar dos antivírus, que então tentam novamente se reinventar para detectar as pragas mais sofisticadas. Um leitor perguntou como isso funciona, e o pacotão de hoje explica, de forma geral, como as tecnologias de evasão e detecção funcionam. Outros leitores deixaram dúvidas sobre recuperação de arquivos e monitoramento do MSN no trabalho. Confira as respostas.


Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.


Hoje, antivírus estão atrás dos vírus. Gráfico de 2008 da companhia antivírus Ikarus ilustra a mudança na indústria (Foto: Divulgação/Ikarus)Hoje, antivírus estão atrás dos vírus. Gráfico de 2008 da companhia antivírus Ikarus ilustra a mudança na indústria (Foto: Divulgação/Ikarus)

>>> Detecção antivírus e evasão
Quais são os métodos de detecção de pragas virtuais utilizadas por softwares antivírus? E quais são os métodos utilizados por programadores para driblar estes métodos de detecção?
Vitalino Victor


Sua pergunta é bastante abrangente. Os antivírus hoje utilizam uma grande variedade de tecnologias que, embora possam ser categorizadas de forma geral, são diferentes em suas características específicas. A coluna vai tentar responder sua pergunta de forma geral, mas não se esqueça que cada antivírus opera de forma diferente – inclusive os nomes podem variar.

O meio mais comum de detecção são as assinaturas. Assim como sua assinatura identifica você quando um documento é assinado, o antivírus compreende que uma assinatura é capaz de identificar um vírus. É basicamente um conjunto de bits único ao vírus, para que somente a praga seja detectada sem interferir com a operação de programas legítimos. É claro que acontecem erros e uma assinatura às vezes acaba detectando programas legítimos. Isso porque a assinatura precisa ser definida pelo pesquisador antivírus.


Existe também a heurística estática e também assinaturas genéricas que analisam o conteúdo do arquivo genericamente. Essa configuração pode muitas vezes ser ajustada (mais leve ou mais agressiva). Em configurações mais agressivas, ela pode gerar muitos alarmes falsos.

Depois, a heurística dinâmica ou análise de comportamento tenta monitorar a atividade dos programas quando eles estão em execução. Assim, um software que estiver realizado atividades suspeitas poderá ser detectado mesmo que as assinaturas não acusem problema. Observe que o vírus precisa já estar em execução para isso funcionar.


O método mais recente usa os serviços de antivírus “nas nuvens”. Nessa técnica, o antivírus envia constantemente dados sobre os programas no disco ou em execução para a internet, e os serviços da companhia irão realizar análises nos dados para dar uma resposta ao antivírus – se há algo suspeito ou não.


Para escapar desse arsenal, os vírus hoje são descartáveis. Isso significa que uma praga espalhada hoje será modificada para ser usada novamente amanhã, de tal modo que a assinatura anterior não consiga capturá-la. Alguns vírus são tão descartáveis que cada acesso ao servidor onde ele está localizado fornece um arquivo diferente, de forma dinâmica e automática.


Os criminosos usam também os softwares conhecidos como empacotadores (packers) que “embrulham” o vírus em uma nova camada de código, dificultando todos os tipos de análise. Existem dezenas de empacotadores e alguns são extremamente complexos. Os antivírus tentam criar técnicas de “desempacotamento”, mas isso raramente é simples.


Quando conseguem se executar, os vírus tentam imediatamente realizar algum tipo de ação que altere o funcionamento do antivírus ou danifique-o para que os demais métodos de detecção não funcionem.

No Brasil, o uso de proxies no navegador tem reduzido a utilidade de vírus em execução o tempo todo no PC. Mesmo que um vírus seja detectado, depois que ele realizou a mudança na configuração, o usuário continuará sendo vítima, a não ser que o antivírus observe também a configuração do proxy – que alguns antivírus ainda não fazem.


Outra tática usada é o bloqueio de tráfego. No Brasil, os vírus normalmente estão bloqueados para usuários fora do país. Isso significa que os laboratórios antivírus, localizados ao redor do mundo, às vezes não conseguem capturar o arquivo malicioso.


Após instalação de sistema novo, dados ficam no disco. Programas podem forçar leitura dos bits para recuperar os arquivos (Foto: Divulgação)Após instalação de sistema novo, dados ficam no

disco. Programas podem forçar leitura dos bits para

recuperar os arquivos (Foto: Divulgação)

>>> Recuperação de dados após instalar novo sistema
É possível recuperar arquivos após a instalação de um novo sistema operacional (de XP Home para XP Profissional)? Tive que instalar outro sistema e os arquivos sumiram. Dá para recuperar instalando o sistema antigo, mesmo depois de já ter instalado um novo sistema?
Lidiane


Talvez seja possível sim recuperar alguns arquivos, mas instalar o sistema anterior não vai ajudá-la. Na verdade, só vai piorar a situação. O que você precisa é de um programa específico para recuperação de dados.


Um exemplo desse tipo de programa, gratuito, é o Recuva, mas existem diversos outros – inclusive alguns bastante caros. Pesquise por “recuperação de dados” em seu mecanismo de busca favorito e você irá encontrar diversos resultados sobre o tema.


Também existem empresas que podem fornecer esse serviço. Dependendo do tipo de arquivo que precisa ser recuperado, pode valer a pena.

Empresas podem monitorar conversas por MSN, mas devem avisar os funcionários (Foto: Divulgação)Empresas podem monitorar conversas por MSN,

mas devem avisar os funcionários (Foto: Divulgação)

>>> MSN monitorado
Oi, fiquei sabendo que, mesmo não salvando o histórico do MSN , é possível monitorar conversas alheias. Isto está acontecendo na empresa onde trabalho. Gostaria de saber como fazer para desativar esta atuação? E como saber se nossos acessos à net estão sendo monitorados?
Mialuz


Considerando que isso ocorre no seu trabalho, e a rede da empresa está sob o controle do departamento de TI (e, portanto, do chefe), não existe maneira de impedir que esse monitoramento ocorra. Enquanto alguém controlar tanto o computador como a rede, simplesmente não é possível que você tenha esse controle – e, realmente, considerando que você está usando um equipamento da empresa, você não deve tê-lo.


Esta coluna já realizou uma reportagem completa sobre o monitoramento de MSN e, segundo os especialistas consultados, o funcionário precisa assinar um termo informando que concorda com esse monitoramento. Verifique no seu contrato de trabalho se existe algo sobre o monitoramento.

Se não existir, a empresa não pode realizar esse monitoramento.


O pacotão de respostas da coluna Segurança Digital vai ficando por aqui, mas fique atento para notícias e alertas a qualquer momento na editoria de Tecnologia e Games do G1. Não se esqueça de deixar sua sugestão, crítica, sugestão de tema e, claro, suas dúvidas, logo abaixo na seção de comentários. Até a próxima!


 

* Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades. Na coluna “Segurança digital”, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários. Acompanhe também o Twitter da coluna, na página http://twitter.com/g1seguranca.

Nenhum comentário: