A nuvem contra os vírus?

Juliano Barreto, da INFO

15 de dezembro de 2008

As produtoras de antivírus não evoluíram nada no decorrer dos últimos anos. O investimento em marketing cresce no mesmo passo em que a tecnologia se transforma em commodity. A diferença entre os programas se resume às cores e aos tamanhos das caixas. É fácil concordar com esse raciocínio, certo? O difícil é acreditar que ele venha do CEO e fundador de uma das empresas que mais lucram com a venda de versões novas de programas que não mudam nada — ou pouquíssimo — ano após ano. O autor do comentário é o russo Eugene Kaspersky, 43 anos. Ele tornou o antivírus que leva seu sobrenome tão famoso que diz às vezes receber pedidos de autógrafo quando passa pela imigração nos aeroportos. “Você é mesmo aquele cara dos antivírus?”, perguntam. Veja o que Kaspersky contou a INFO, de passagem pelo Brasil.

INFO
Os programas de segurança vão migrar completamente para a computação em nuvem?
KASPERSKY
Isso não funciona.
É a mesma coisa que acontece com as bibliotecas. Elas oferecem tudo de graça, mas as pessoas vão às lojas e compram livros para levar para casa. Os dados que as pessoas têm em seus PCs são confidenciais. Às vezes eu quero compartilhar meus dados com as pessoas, mas muitas vezes não. Por isso, acredito que no futuro usaremos aplicações híbridas. Algumas delas funcionarão na web, outras no desktop. Na área de segurança, certamente os bancos de dados ficarão sempre na web. É o caso das listas de restrições a URLs suspeitas.
|quebra|

Que técnicas realmente novas poderão ser empregadas no combate ao malware?
O pessoal da Trend Micro disse uma vez que a indústria de antivírus é um saco. Não sei se eles podem falar sobre todas as empresas, mas certamente podem falar deles mesmos. Por muito tempo, só houve uma maneira de barrar malware: permitir ou proibir sua execução. Agora trabalhamos em outras soluções, como rodar aplicativos suspeitos em um nível diferente do sistema operacional, com virtualização, e em classificação de ameaças em tempo real, via computação em nuvem. Por exemplo, uma pessoa denuncia um site suspeito e, enquanto essa URL é analisada por nossos laboratórios, outros usuários dos antivírus serão aconselhados a não acessar aquele site. Também acredito que o sistema de white list (uma lista que permite apenas a execução de programas autorizados) será o padrão para todas as ferramentas de proteção.

Como a white list funciona no caso de um programa conhecido, como o Word, ter uma falha explorada por um programa malicioso?
Essa técnica não substitui a lista de restrições tradicional por assinaturas, a black list. As duas funcionam ao mesmo tempo. Se um programa conhecido se comportar de forma suspeita, o antivírus vai reconhecer um tráfego de dados anormal e bloquear o aplicativo. É muito difícil coletar e classificar todo o software que circula pela internet, até porque, além dos programas de invasão, há scripts e vários outros tipos de malware. Assim, a white list é uma adição, não uma solução completa. É como o cinto de segurança e o air-bag.

O que acontece no caso de um programa não estar em nenhuma das duas listas?
Todos os programas são analisados antes de funcionar. Alguns deles entram na lista de confiança e ficam um tempo sem ser analisados. De qualquer forma, o comportamento dos aplicativos sempre fica sob o monitoramento do antivírus. O fato de um programa estar na white list não quer dizer que ele não será vigiado.
|quebra|

Vocês já estão trabalhando no Kaspersky 2010. O que vem por aí?
Uma de nossas metas é incluir um sistema de proteção que usa técnicas de virtualização. Queremos que alguns dos aplicativos de segurança funcionem em uma máquina virtual separada, proporcionando mais segurança ao usuário. Nossa idéia é criar uma solução independente, com filtro de URLs, firewall, anti-spyware, anti-rootkit e tudo o mais funcionando em um sistema separado.

Você diz que o novo antivírus Kaspersky é 600% mais rápido que sua versão anterior. Por que vocês e as outras empresas não diminuíram o consumo de recursos antes?
Esse é um trabalho interminável, que recomeça ano após ano. Por um lado, nós precisamos melhorar o código, por outro, caçamos inovações. Para acelerar o programa, procuramos processos que podem ser eliminados ou que podem ser substituídos. Nem todas as varreduras precisam ser feitas de uma só vez, por exemplo. Temos números de uma pesquisa com consumidores que mostra que o segundo maior desejo de quem compra um antivírus é que os programas funcionem rápido. O primeiro, é claro, é proteger a máquina das ameaças da internet.

O iPhone é um alvo em potencial, mas não parece que está sendo tão atacado. O que acontece?
A maioria dos cibercriminosos vive na China, na Rússia e na América Latina. Ainda não existem tantos iPhones nessas regiões. Por essa mesma razão, não há muitas pragas para Mac. Os produtos da Apple não são tão populares nesses países. O sistema deles é vulnerável. É tão seguro quanto o Windows. Quer dizer, é tão inseguro quanto o Windows.
|quebra|

O que você achou dos ataques de envenenamento de DNS? Como uma empresa ou usuário pode escapar disso?
Isso não é um assunto para as empresas. É um assunto governamental. Toda a arquitetura da internet está concentrada nos Estados Unidos. Se eles apertarem alguns botões, podem derrubar a economia mundial. O correto seria distribuir essa estrutura ao redor do globo. Mas eles não querem fazer isso. O problema do DNS é muito sério, poderia ser explorado inclusive por terroristas.

Por que nenhum antivírus de código aberto conseguiu fazer sucesso?
O antivírus não é apenas um produto. Ele também é um serviço. Desenvolver um software é criar um produto. Mas depois vem toda a parte de manutenção, atualização e suporte. O pessoal do open source pode criar um antivírus em seu tempo livre, compartilhar informações, mas eles não conseguirão montar uma equipe global, que trabalhe 24 horas por dia, todos os dias da semana. É como um hotel. Você poderia construir um prédio usando o espírito do código aberto, mas seria muito difícil convencer as pessoas a trabalhar de graça na recepção de madrugada.