E-mail com vírus: a imagem está hospedada no Picasa

Surgem em agosto os primeiros casos de spam explorando esse serviço do Google.

Na edição de agosto de seu relatório mensal “MessageLabs Intelligence”, a empresa inglesa de segurança MessageLabs apresenta números interessantes sobre o lado sombrio da internet. O documento mostra que 78,2% de todos os e-mails enviados durante o mês passado correspondiam a mensagens de spam. Informa também que uma em cada 88 mensagens de e-mail continham vírus e que 2980 sites maliciosos foram detectados diariamente em agosto.

No entanto, a revelação de maior destaque é que os spammers estão atacando o site de hospedagem de fotos Picasa, do Google.  Segundo a MessageLabs, surgiram em agosto os primeiros casos de imagens hospedadas no Picasa sendo usadas em mensagens de spam ou que contêm malware. As contas no Picasa, acredita a empresa, foram criadas possivelmente de forma automática.

Os spammers e fazedores de vírus beneficiam-se da dificuldade de identificar como algo malicioso os links para servidores legítimos do Picasa. Num dos ataques, o e-mail traz uma foto da atriz Paris Hilton e um convite ao destinatário para assistir a um vídeo. A foto está hospedada no Picasa, mas o suposto vídeo localiza-se num servidor controlado pelos donos do vírus. Quando o usuário segue o link, uma mensagem informa que é preciso instalar um codec para executar o clipe. O codec, claro, é um cavalo-de-tróia.

Intrusos comprometem a rede do Fedora e também invadem máquinas da Red Hat.

Inicialmente, o Projeto Fedora tirou do ar os downloads do sistema, sem especificar por quê. Nesta sexta-feira (22/8), mais de uma semana depois, Paul Frields Red Hat, líder do Projeto, tornou público que os servidores foram invadidos. Um deles é o servidor encarregado de autenticar os pacotes do Fedora postos para distribuição.

Há, portanto, a hipótese de algum pacote ter sido adulterado. Por isso é que os downloads foram suspensos. Mas a invasão não ficou só nos servidores do Fedora. Os intrusos também chegaram à rede da Red Hat, empresa que patrocina o Projeto Fedora.

Num alerta de segurança publicado também com data de 22/8, a Red Hat solta atualizações críticas para várias versões de seu sistema operacional. A empresa confirma que os invasores adulteraram alguns pacotes para distribuição. A atualização tem por objetivo desfazer as alterações e, de quebra, corrige outros problemas.

Não é a primeira vez que esse tipo de intrusão ocorre em projetos de código aberto. Mais de uma vez nos últimos anos, os servidores do Debian.org também foram comprometidos em diferentes níveis e tiveram pacotes de distribuição adulterados.

Fedora 9: a versão mais recente dessa distribuição Linux

Equipe recomenda que não se façam atualizações até a correção de uma falha misteriosa.

Na semana passada, Paul Frields, líder do projeto Fedora, fez um pedido estranho aos usuários do sistema operacional: não baixem o Fedora. Frields quer um tempo para a equipe corrigir um bug ainda não explicado que tira o Fedora do ar.

Numa nota publicada no site do Fedora, Frields afirma: “A equipe do Fedora está investigando os sistemas de infra-estutura. O processo pode resultar em falhas no serviço, pelas quais pedimos desculpas antecipadas. Ainda estamos avaliando o impacto dessa situação para o usuário final, mas, como precaução, recomendamos que não façam download nem atualizem nenhum pacote adicional em seus sistemas”.

Em nota postada depois, Frields  informa que a equipe estava reconstruindo todos os subsistemas a partir do zero. Ele não dá mais detalhes, mas já se especula que por trás disso tudo estaria uma severa falha de segurança.  No último comunicado da série, Frields anuncia a liberação de alguns sistemas e promete outros para breve.

Se você quiser acompanhar a história, pegue o endereço do documento mais recente: https://www.redhat.com/archives/fedora-announce-list/2008-August/msg00011.html
Com ele, use os comandos de navegação no rodapé da página.

A arquitetura do CloudAV, conforme seus criadores

Pesquisadores da Universidade de Michigan desenvolvem experiência bem-sucedida de antivírus baseado na internet.

A equipe usou os conceitos de computação em nuvem para criar um antivírus próprio, CloudAV, que oferece proteção a computadores com base numa fonte remota na internet.

Num documento publicado na web – “CloudAV: N-Version Antivirus in the Network Cloud” –, Jon Oberheide, Evan Cooke, Farnam Jahanian, os três pesquisadores, relatam as experiências que fizeram. Em testes comparativos feitos com 12 antivírus populares, eles concluíram que esses produtos chegam a apresentar taxas de detecção de apenas 35% e deixam o PC vulnerável por períodos de até 48 dias.

Em contraste, o documento garante que o CloudAV melhora  a eficácia do antivírus e atinge o nível de 98% de detecção. Com base nesses resultados, os autores recomendam a computação em nuvem como um caminho para a próxima geração de antivírus.

Segundo Oberheide, Cooke e Jahanian, o CloudAV obtém esses resultados em parte porque analisa arquivos suspeitos usando simultaneamente múltiplos antivírus e esquemas de detecção. Na configuração atual, são usados dez motores tradicionais de detecção (Avast, AVG, BitDefender, ClamAV, F-Prot, F-Secure, Kaspersky, McAfee, Symantec e Trend Micro); e dois motores comportamentais (Norman Sandbox e CW Sandbox).

Estruturalmente, o CloudAV inclui um agente local instalado no PC  (com Windows, Linux ou FreeBSD) e um serviço baseado na internet. Toda vez que um computador ou dispositivo (PDA, smartphone etc.) recebe um arquivo, este é detectado e submetido a análise na nuvem.  A equipe do CloudAV planeja, no futuro, aplicar os princípios desse tipo de proteção a outras áreas, como detecção de intrusos e anti-phishing.

iPhone 2: Apple pode apagar programas "perigosos"

CEO da Apple confirma: a empresa tem um recurso para desativar aplicativos no iPhone.

O assunto apareceu na imprensa na semana passada, quando o programador Jonathan Zdziarski descobriu que existe no firmware do iPhone 2.x um mecanismo para o dispositivo entrar em contato com o site da Apple e consultar uma lista de aplicativos não autorizados.

A descoberta de Zdziarski levantou apenas uma suposição. Agora, numa entrevista ao Wall Street Journal, Steve Jobs confirma a existência desse controle. Segundo ele, o iPhone tem de fato um mecanismo que permite ao aparelho fazer contato com o site da Apple e apagar aplicativos maliciosos. “Tomara que nunca precisemos puxar essa alavanca, mas seríamos irresponsáveis se não tivéssemos uma alavanca dessas para puxar”, disse Jobs ao jornal.

Obviamente, a questão não é tão simples. A Apple mantém o recurso de forma secreta no iPhone. Será que essa proteção atende realmente ao interesse e à liberdade de escolha dos usuários?

O livro de Zdziarski: o autor deve saber do que fala

Programador diz que novo iPhone se comunica com a Apple para bloquear aplicativos.

Jonathan Zdziarski, autor do livro iPhone Open Application Development, revelou no blog iPhone Atlas que a Apple aparentemente incluiu no iPhone OS 2.x um mecanismo para o dispositivo entrar em contato com a empresa e desabilitar programas não autorizados.

Segundo Zdziarski, o firmware do telefone contém uma rotina que aponta para a URL https://iphone-services.apple.com/ clbl/unauthorizedApps, que supostamente, como o endereço sugere, deve conter uma lista aplicativos não autorizados.

O especialista diz ter visitado o endereço e visto uma lista com nomes de aplicativos, a data do registro e uma descrição. Mas não havia lá nenhum aplicativo cadastrado. Por esse esquema, a Apple pode impedir a execução de determinados programas. O recurso pode ser usado, por exemplo, para cancelar o uso de aplicativos com licença temporária vencida. Os iPhones desbloqueados quebram essas limitações.

Vale lembrar que outros sistemas de smartphones, como o Symbian e o BlackBerry, têm controles similares. Um desabilitador remoto de aplicações pode funcionar como um dispositivo de proteção aos direitos autorais, uma espécie de DRM.

Especialistas dizem que a Apple atacou o problema do DNS, mas as máquinas clientes continuam vulneráveis.

Na semana passada, a Apple publicou uma correção para o já famoso bug do DNS. Agora, o especialista Andrew Storms, diretor de operações de segurança da nCircle, afirma em seu blog que a brecha no cliente DNS do OS X 10.4.11 não foi corrigida.

As primeiras correções para o bug saíram no dia 8/7, mas a Apple só liberou a sua 23 dias depois. Além de lamentar a demora, Storms diz que a atualização da empresa inclui a atualização para o servidor DNS, mas deixa de fazer a correção no lado cliente.

Essa correção consiste em randomizar as portas pelas quais são feitas as pesquisas de DNS. Essa medida foi adotada, por exemplo, pelos sistemas operacionais. O objetivo é dificultar a interferência de hackers que desejem utilizar a falha para envenenar servidores DNS com adulterações nas tabelas de correspondência entre  nomes de domínio e números IP.

Outros especialistas confirmam as observações de Andrew Storms. No caso da Apple, o lado cliente, que ainda está desguarnecido, é mais importante que o servidor, uma vez que há muitos poucos OS X na internet como servidores de DNS.

Divulgado o primeiro caso concreto de exploração do bug no sistema de DNS.

A empresa americana BreakingPoint Systems, de Austin, Texas, que fornece equipamentos para redes, tornou-se a primeira vítima conhecida de um ataque de “envenenamento de cache” do DNS.

Segundo relato da Security Focus, a página inicial do Google, no browser dos empregados da BreakingPoint, apareceu esta semana com quatro janelas. Isso aconteceu não apenas na empresa, mas também em muitas residências em Austin, Texas, cidade onde fica a sede da BreakingPoint.

Uma investigação apurou que o caso não tinha nada a ver com o Google. Um dos dois servidores de nomes (DNS) da BreakingtPoint estava fornecendo a direção errada do Google. Assim, quando os usuários digitavam o endereço do mecanismo de busca, seu browser era levado para um falso site do mecanismo de busca, controlado por crackers.

Continuando a investigação, descobriu-se que aquele servidor de DNS na verdade consultava outro computador da AT&T, o qual fornecia o endereço IP errado. Mudada a fonte de consulta, o problema foi resolvido. Ao mesmo tempo, a AT&T foi alertada sobre o problema: um de seus servidores possivelmente estava envenenado.

Esse caso, embora único, mostra a importância dos provedores de acesso à internet no caso do DNS. Se eles não aplicam as correções, empresas e usuários individuais podem tornar-se vulneráveis. E, nesse caso, vale a pena insistir: não importa a maior ou menor segurança do sistema local.

Norton Safe Web: análise de sites

A empresa inicia um serviço online gratuito, ainda em beta, no qual o usuário pode testar a segurança de sites.

O funcionamento do Norton Safe Web (safeweb.norton.com) tem pontos em comum com o SiteAdvisor, da McAfee (www.siteadvisor.com), que já existe há  pelo menos um ano. Em ambos os casos, o usuário pode visitar o site, digitar um nome de domínio e solicitar a análise. O serviço apresenta uma página dando sinal verde, se não encontrar nada, ou vermelho, levantando um alerta sobre o endereço.

Mas nem o Norton Safe Web nem o McAfee Site Advisor têm análises já prontas de todos os sites submetidos. Nesse caso, o visitante pode solicitar que o serviço faça uma varredura. Os dois serviços têm igualmente extensões para instalação na máquina do usuário.

O SiteAdvisor oferece um plug-in para o IE ou o Firefox. Esse plug-in marca nos resultados de busca do Google, por exemplo, os sites já identificados como perigosos. O programa do Norton Safe Web para instalação no PC é o Norton Toolbar, que também emite alertas sobre a segurança do site antes de o usuário acessá-lo.  

Em ambos os casos, os serviços e o programa instalável no PC são gratuitos. Mas, diferentemente do SiteAdvisor, o Norton Safe Web admite que usuários postem opiniões sobre a segurança do site.

Embora mantido em segredo, o código para "envenenar" o DNS já está na internet. Atualize seu sistema.

No decorrer deste mês, escrevi duas notas para este blog sobre uma gravíssima brecha de segurança no sistema de DNS. Mas a história ainda não terminou, e volto agora ao mesmo assunto. Aqui vai um resumo dos capítulos anteriores. O pesquisador Dan Kaminsky descobriu uma forma simples de explorar a falha, que já era conhecida e estaria sob controle. A falha permite a invasão de servidores DNS para falsificar a correspondência entre nomes de domínio e números IP.

Qual o perigo? Com o banco de dados do servidor adulterado, o usuário pode digitar o endereço de um banco e cair num site falsificado. O pior de tudo é que, como o DNS faz parte da infra-estrutura da internet, a ameaça existe para qualquer usuário, de qualquer sistema operacional.

Kaminsky manteve o assunto em segredo e revelou-o somente a um grupo de dezesseis empresas-chave. Esse grupo decidiu que, como seria complicado mexer estrutura do DNS, cada uma das empresas deveria liberar correções para os seus próprios produtos. Desse modo, a Microsoft, por exemplo, soltou uma atualização para o Windows. Essa atualização consiste em randomizar as solicitações ao sistema de DNS a fim de anular as possibilidades de exploração do bug (que continua lá).

Correções semelhantes foram liberadas por outras empresas. Segundo o centro de segurança US-CERT, além de produtos da Microsoft, a vulnerabilidade afeta títulos de empresas como Cisco, o Internet Software Consortium (ICS), Juniper Networks, Red Hat e Sun. Também estão potencialmente ameaçados produtos de fabricantes como Apple, Debian, Fedora, FreeBSD, HP, IBM, Motorola, Nokia e Ubuntu.

Liberadas as atualizações, Kaminsky prometeu que revelaria o exploit (o código para explorar a brecha)em agosto, num seminário de segurança. Mas nessa área nenhum segredo permanece de pé por muito tempo. Outros pesquisadores já descobriram o que Kaminsky manteve trancado a sete chaves. Hoje, mais de um exploit já está disponível na rede.

Para evitar o pior, as empresas estão recomendando aos usuários a imediata instalação das correções. Portanto, não há tempo a perder. Em casa ou na empresa, atualize seu sistema. Creio que, pela lista de empresas afetadas (reveja acima), não é necessário repetir que, nesse caso, é bobagem você pensar que seu sistema operacional, por ser "mais seguro", dispensa a atualização.

Fabricantes de software e hardware corrigem falha gravíssima no DNS, o sistema de endereços da internet.

A falha, segundo o US-CERT, agência de segurança digital do governo americano, permitia o ataque conhecido como envenenamento de cache, que consiste na introdução de dados falsos no cache de um servidor de nomes DNS.

O servidor de nomes, como se sabe, cuida da tradução de nomes para números IP. Quando o usuário digita no browser um nome como www.info.abril.com.br, o servidor converte essa URL para o número IP correspondente, que é para o browser é direcionado. Com o envenenamento do cache, correspondências falsas entre URLs e IPs podem ser introduzidas no sistema.

Assim, o usuário digita o nome, mas, em vez de ser levado ao IP correto, pode parar num site que é uma contrafação do endereço desejado.  Obviamente, quem faz esse tipo de ataque tem objetivos criminosos. Portanto, tentará injetar no cache do servidor falsos IPs de sites financeiros, órgãos de governo, sites comerciais etc. O pior disso tudo é que um ataque nesse nível invalidaria qualquer esforço de segurança feito dentro da casa ou da empresa do usuário, porque o próprio coração da internet estaria corrompido.

A descoberta da vulnerabilidade foi feita por Dan Kaminsky, diretor da firma de segurança americana IOActive, sediada em Seattle. Segundo Kaminsky, o problema reside no próprio software básico do sistema DNS. Diz ele: “Trata-se de um problema fundamental que afeta o próprio projeto. Como o sistema está se comportando exatamente como deve, então o mesmo bug vai aparecer num fornecedor após outro.  Esse bug afetou não apenas a Microsoft... não apenas a Cisco, mas todo mundo”.

Por causa do problema, várias empresas publicaram correções para seus produtos. A Microsoft já liberou atualizações para o Windows, como uma medida paliativa. Também o Internet Software Consortium, que cuida do servidor Berkeley Internet Name Domain (BIND), também publicou um upgrade para seu servidor. Além disso, o CERT entrou em ação para dar o alerta.

A liberação das correções individuais foi decidida em conjunto pelas empresas, reunidas na sede da Microsoft. Kaminsky participou das discussões e manteve o assunto em sigilo até agora. As alterações implementadas pelos fornecedores de hardware e software consistem em tornar mais aleatórias as portas usadas nas buscas de DNS. Não se trata, contudo, de uma solução definitiva.

Authenticator: segurança
para jogadores online

O jogo World of Warcraft usa um token gerador de senhas para combater o roubo de credenciais.

Segundo a ESET, fabricante do antivírus NOD32, 13,3% do malware detectado em junho eram cavalos-de-tróia destinados a jogos online. Esses invasores gravam o que o usuário digita no teclado e se instalam no PC com características de rootkit, ou seja, agem em modo furtivo para fugir à detecção por programas de segurança.

Um dos objetivos desses programas nocivos é roubar as credenciais que o usuário precisa apresentar para participar do jogo online. Contas desse tipo alcançam preços cada vez mais altos no mercado do crime digital.

Foi por causa dessas ameaças que a Blizzard, fabricante do game World of Warcraft, decidiu adotar para seus jogos um sistema de senha dupla, semelhante ao utilizado pelos bancos. A empresa começou a vender um autenticador (somente para os EUA) que gera na hora um código numérico para que o usuário entre no ambiente do World of Warcraft.

Portanto, além de apresentar as credenciais, o jogador precisa digitar o código gerado pelo aparelhinho. Esse recurso, embora não seja absolutamente seguro, aumenta consideravelmente o nível de proteção do usuário.

O Blizzard Authenticator é vendido por 6,50 dólares. Anunciado no dia 26 de junho, o dispositivo esgotou-se rapidamente. No momento está indisponível no site da Blizzard.

O e-mail “devolvido” é o truque mais usado pelos spammers atualmente.

Isso, com certeza, já aconteceu com você. Chega à sua caixa postal uma mensagem devolvida. Então, você vai verificar o que retornou e, com surpresa, observa que é um e-mail de spam – que, obviamente, você nunca remeteu. Você descobre então que está envolvido num estranho esquema da volta dos que não foram.

Conforme a Symantec, essa tem sido a técnica preferida dos spammers nos últimos tempos. Em vez de incluir o endereço do destinatário na linha “Para”, os spammers o colocam na linha “De”. Em seguida, enviam a mensagem a um servidor, usando como destino uma caixa postal inventada a esmo. A mensagem bate no servidor e, como o destinatário não existe, é devolvida ao “remetente”.

Aqui, entra uma dose bem calculada de engenharia social. A pessoa que recebe um e-mail devolvido fica no mínimo curiosa para saber por que a mensagem voltou, a quem se destinava e qual era o conteúdo. Naturalmente, pode ser algo importante que não chegou ao destino. Mas, ao fazer essa verificação, ela acaba cumprindo o objetivo do spammer, que é ler a mensagem – um anúncio de remédio, por exemplo.

A Microsoft liberou esta semana ferramentas para combater ataques por injeção de SQL em web sites.

Recentemente, atacantes invadiram sites legítimos que usam o SQL da Microsoft e injetaram nas páginas códigos maliciosos em JavaScript. Esses códigos redirecionam o browser para servidores que abrigam programas nocivos e infectam a máquina do visitante.

Voltada para desenvolvedores web, as novas ferramentas são gratuitas e objetivam prevenir esse tipo de ataque. São três aplicações. A primeira é HP Scrawlr. Desenvolvida pela HP, identifica se o site é suscetível a injeção de SQL.

Outro produto é o URL Scan 3.0 Beta, da própria Microsoft, que tem a função de defesa. O URL Scan restringe os tipos de requisições HTTP que o servidor IIS processa. O produto pode ser instalado no IIS 5.1 e versões posteriores.

Por fim, vem o Source Code Analyzer for SQL Injection, ferramenta também assinada pela Microsoft. Seu objetivo é detectar códigos ASP e ASP.net vulneráveis a ataques de injeção de SQL. Detalhes técnicos sobre os três produtos encontram-se no boletim de segurança 954462, de 24 de junho de 2008.

Pesquisa mostra que quase 90% dos vazamentos de dados em corporações poderiam ser prevenidos.

A pesquisa foi feita pela Verizon Business, cobrindo 500 investigações judiciais nos Estados Unidos durante quatro anos. Os dados mostram que 73% dos roubos de dados resultaram da ação de fontes externas, contra apenas 18% de ameaças criadas dentro da própria empresa. Entre os problemas de fora, 39% vieram de empresas parceiras.

O relatório conclui que 87% dos problemas poderiam ter sido evitados com medidas de segurança adequadas. O documento também ressalta a expansão dos ataques de origem internacional, com endereços IP de regiões como a Europa Oriental e a Rússia comumente associadas com a invasão de sistemas de pontos de venda.

No final, o documento apresenta uma série de conselhos às empresas. O primeiro deles é combinar políticas e procedimentos de segurança. Os números mostram que, em 59% das falhas, a empresa tinha políticas e procedimentos de segurança estabelecidos, mas nunca os colocara em prática.

Outro conselho propõe que a empresa controle melhor os seus dados. Em dois terços dos casos, a empresa nem sabia que os dados roubados estavam em seu sistema. O resumo do documento está no site da Verizon Business.

Autor do cavalo-de-tróia que seqüestra arquivos faz novas ameaças.

Dias atrás, o Plantão INFO noticiou sobre o Gpcode, um cavalo-de-tróia que invade a máquina e criptografa os arquivos de documentos (.doc, .txt, .xls, .pdf etc.) usando uma chave de 1024 bits. Além disso, o invasor deixa um arquivo pedindo um resgate em dinheiro. A vítima deve pagar, a fim de obter a chave de decodificação dos arquivos.

No ano passado, uma versão anterior desse mesmo vírus cometeu peripécia semelhante. Só que especialistas em segurança descobriram um erro de implementação no algoritmo de criptografia. Assim, foi fácil desarmar a chantagem dos responsáveis pelo Gpcode.

Agora, o Gpcode.ak aparentemente veio sem bugs. A Kaspersky, fabricante de antivírus, lançou uma convocação para que especialistas em criptografia, instituições científicas e outras empresas de antivírus unissem esforços para decodificar o malware ou pelo menos descobrir uma falha em sua implementação. A idéia era montar uma grande rede de grid computing para enfrentar a tarefa.

No entanto, muitos acreditam que essa tarefa é inútil, pois pode demandar meia eternidade para chegar a um resultado positivo. Pouco depois, uma pessoa – possivelmente o autor do Gpcode, contactado por meio de um dos e-mails deixados na mensagem que cobra o resgate – afirmou que as empresas de segurança não vão conseguir quebrar o código. Além disso, a tal pessoa, que diz chamar-se Daniel Robertson, promete ampliar para 4096 o tamanho da chave criptográfica das próximas versões do cavalo-de-tróia.

O cracker faz ainda outras ameaças: diz que vai incluir no Gpcode escudos contra antivírus como criptografia polimórfica, recursos anti-heurísticos e capacidade de autopropagação, transformando o cavalo-de-tróia em vírus. Possivelmente, há nessas ameaças muito de guerra psicológica. Mas não resta dúvida de que Robertson, quem quer que seja, entende do riscado.

Com autores de vírus assim, não é difícil concluir que os problemas de segurança digital tendem a se tornar cada vez mais complicados. Ainda mais quando o objetivo de Daniel Robertson não é outro senão ganhar dinheiro. Ele mesmo diz que o Gpcode “se paga muito bem”.

Ah, e como prevenir um ataque no estilo do Gpcode? Até agora, a única solução indiscutível é fazer backups dos arquivos importantes.

A Trend Micro, fabricante de antivírus, não vai mais submeter seus produtos à certificação da WildList.

Há algum tempo, já se sabia que vários produtores de antivírus estavam insatisfeitos com a WildList. Eles reclamam que a lista de malware usada para medir a eficácia dos antivírus está defasada e não corresponde às ameaças reais que os usuários hoje enfrentam. Segundo eles, a lista é cumulativa, e inclui até agora invasores que só atingem, por exemplo, máquinas com Windows 95.

Agora, a Trend Micro dá mais um passo e diz que não pretende mais submeter seus antivírus ao teste da WildList, para obtenção da certificação VB100. Para Raimund Genes, responsável pela área tecnologia de antimalware da Trend, os problemas da WildList vão além da lista de vírus utilizada no teste: a própria metodologia tem falhas.  

Segundo Genes, os testes da WildList são feitos fora da Internet, numa rede isolada. Com isso, não se leva em conta boa parte dos perigos online. A análise offline deixa de considerar defesas que o produto tenha para enfrentar ameaças da web 2.0, que muitas vezes só se materializam mediante a participação de scripts alojados em diferentes sites.

Os testes da WildList consistem basicamente na capacidade de detecção do antivírus diante de milhões de códigos maliciosos. Além de detectá-los corretamente, o produto não deve emitir alarmes falsos – ou seja, acusar a presença de vírus onde eles não existem.

Se for adotada por outros fabricantes, a posição da Trend Micro vai criar um sério impasse não somente para a WildList mas para os testes de antivírus como um todo. Obviamente, existem outros mecanismos de avaliação no mercado, que talvez atendam às reclamações das empresas de antivírus. O grande problema é que são testes muito mais complexos e sem a tradição da WildList.

A Panda já não participa dos testes desde 2002. Há também outras empresas, como a Eset, que vêem a necessidade de mudança no WildList mas considera importante obter a certificação. A Symantec, um dos maiores nomes da área, também pretende continuar a submeter seus produtos à VB100.

Certificação WildList não garante a qualidade dos antivírus, dizem fabricantes.

Quem acompanha o mundo dos antivírus conhece a WildList, entidade que mantém um repositório de vírus, vermes, cavalos-de-tróia e afins. Esse repositório serve de base para um teste de programas antivírus. Passar nos testes da WildList representa um certificado de qualidade para o antivírus. Ou melhor, representava.

Agora, com as transformações no cenário de segurança, as coisas estão mudando. Em vez de exibir os resultados do teste como um troféu, os produtores de antivírus o consideram irrisório. Dizem que a certificação está desatualizada e não representa os problemas reais que ameaçam os usuários.

O problema fundamental, reclamam os fabricantes, está na metodologia. O teste da WildList confere as melhores notas aos antivírus que conseguem detectar maiores quantidades dos códigos nocivos incluídos no repositório. Só que a lista de malware é cumulativa e cresce exponencialmente.

Isso dá lugar a uma primeira pergunta: e qual a importância de um antivírus, hoje, detectar um invasor específico para Windows 95? Atualmente, quase nenhum antivírus para o desktop dá suporte a outras versões do Windows, senão XP e Vista. Outra queixa dos fabricantes é que a WildList não considera no teste as tecnologias atuais, mais sofisticadas, como a detecção baseada em análise heurística.

Então, chegamos a uma situação peculiar. De um lado, os fabricantes de antivírus apontam falhas num dos mais populares medidores do desempenho de seus produtos. Ainda do mesmo lado, alguns desses fabricantes dizem que o próprio antivírus, tal como o conhecemos até hoje, também está em cheque, diante da nova natureza das ameaças.

De outro lado, já há companhias usuárias que não hesitam em declarar os antivírus “uma completa perda de dinheiro” (veja as notas “É o fim da era dos antivírus, sugere a Panda”, neste blog; e “Antivírus é pura perda, diz CSO da Cisco”, no Plantão INFO).

Vamos admitir que todas as partes tenham razão – ou, pelo menos, alguma parcela razão. Então, como fica o consumidor, que certamente precisa de um antivírus (ou um escudo qualquer, com outro nome ou outro conceito) para defender a integridade de seus dados?