Assine, Siga, Curta, ajude! LorotaDigital

segunda-feira, 31 de janeiro de 2011

Os Antivírus Funcionam?

Diariamente surgem mais de 40 mil novas ameaças na Internet. Esse número cresce constantemente e é fruto de uma atividade profissional muito bem organizada, o Cibercrime. Estima-se que esta atividade movimente globalmente tanto dinheiro quanto o narcotráfico. É claro que a produção de malwares é apenas uma das ações do cibercrime que engloba espionagem industrial, sabotagem, aluguel de botnets, envio de SPAMs, venda de produtos e muitos outros.
Mas, o fato é que a produção de malwares cresce em quantidade e sofisticação, e os fabricantes de antivírus e outros produtos de segurança precisam acompanhar esse ritmo para proteger os seus usuários. Assim, é preciso entender como os antivírus são capazes de oferecer proteção contra as atuais ameaças.
Existem diferentes tipos de programas maliciosos ou malwares (MALicious softWARE) – que são os vírus, worms, cavalos de tróia ou trojans, entre outros. Aqui, vamos usar o termo vírus como é entendido informalmente, ou seja, como uma designação genérica de ameaças ou malware.

Detecção por Assinatura
A maneira tradicional dos softwares identificarem um vírus é a detecção por assinatura, que consiste em identificar uma sequência de bytes que caracterizam um malware. Essa assinatura é obtida depois que um vírus é identificado. Para isso, os fabricantes de antivírus têm pontos de coleta espalhados em todo o mundo e contam ainda com colaboradores em diversos países.
Além da quantidade enorme de amostras que tem de ser analisadas e de assinaturas geradas, é necessário lidar com os vírus polimórficos, aqueles que se automodificam para dificultar a sua detecção. Essa modificação normalmente é feita empacotando o código malicioso, usando técnicas de criptografia. Os antivírus têm de ser capazes de encontrar a assinatura em todas as variantes.
A detecção por assinatura de vírus conhecidos é muito eficiente e por isso continua sendo utilizada por todos os fabricantes de antivírus. Mas, esse método tem um grande problema: a janela de tempo entre o surgimento do vírus e a atualização do arquivo de assinaturas na máquina do usuário. Por isso, são necessárias outras camadas de proteção, com novas técnicas de detecção. E são estas novas técnicas que estão sendo usadas na guerra contra o cibercrime.

Detecção Heurística
Há duas formas de detecção heurística: a estática e a dinâmica.
Na heurística estática, o arquivo é analisado a procura não de assinaturas conhecidas, mas de padrões de código suspeitos e utilizados em vírus. Uma sequência de NOPs (instrução de No Operation) ou loops que não fazem nada útil, por exemplo, são bastante comuns em vírus polimórficos.
Na heurística dinâmica, o código é executado por algum tempo em um emulador. Depois desse tempo, é analisado novamente. Essa técnica serve para detectar vírus polimórficos utilizando novos métodos de empacotamento.

Análise Comportamental
A análise comportamental monitora o que os programas em execução na máquina estão fazendo. Verifica como um programa está interagindo com outros programas e que tipo de acesso está fazendo aos recursos do computador. Assim, pelo comportamento do programa pode-se identificar malwares ainda não conhecidos. Por exemplo, um programa que intercepta o teclado de outra aplicação e começa a acessar a internet é considerado suspeito.

Proteção no Acesso a Sites
Há alguns anos a navegação em sites tem sido um dos principais vetores de propagação de malwares. Os cibercriminosos estão invadindo sites idôneos e contaminando-os com software malicioso. Muitas vezes, a simples visita a um site invadido pode contaminar o computador do internauta. É o chamado drive-by download. Para infectar uma máquina, são exploradas falhas de segurança do navegador ou do sistema operacional ou o usuário é induzido a fazer download do software malicioso.
As páginas ficam contaminadas por pouco tempo. Às vezes por poucas horas, raramente por mais de um dia. Essa volatilidade implica que uma proteção adequada a esse tipo de ataque tem de ser feito em tempo real, analisando o conteúdo das páginas. Proteção baseada em bancos de dados estáticos de URLs comprometidas tem pouca utilidade nesse caso.

Firewall
Apesar do firewall não ser considerado um produto antivírus, ele tem um papel muito importante no bloqueio de ameaças que vem pela rede, explorando falhas de segurança no sistema operacional ou mesmo na camada aplicação de um servidor. Por isso, ele está presente nos suítes mais completos de antivírus.

Conclusão
Os antivírus tiveram que incorporar novas tecnologias e métodos de proteção para enfrentar a crescente variedade e sofisticação dos softwares maliciosos. Com essas novas tecnologias, um bom antivírus consegue oferecer um alto grau de proteção. Mas nenhuma proteção é 100% garantida. Porém, aliando um bom antivírus com boas práticas de segurança é possível navegar, acessar seu banco, fazer compras pela internet e se sentir bastante seguro.
Podemos dizer que o risco que corremos ao usar o cartão de crédito na internet é equivalente ao risco dele ser clonado no mundo real, num restaurante, posto de gasolina ou outro estabelecimento.

Fonte: IT Web.