Olhar Conceito

Sexta-feira, 24 de setembro de 2021

Notícias / Tecnologia

A 'epidemia de alarmes falsos' e as falhas nos sistemas de análise de vírus

G1

18 Ago 2015 - 14:33

A agência de notícias Reuters publicou nesta segunda-feira (17) uma reportagem com fontes anônimas que acusam a fabricante de antivírus russa Kaspersky Lab de tentar "confundir" concorrentes para que eles detectassem um programa legítimo como vírus. A Kaspersky negou as acusações e Eugene Kaspersky, fundador e diretor-executivo da empresa, afirma que todos os fabricantes de antivírus foram alvo de uma "onda de ataques" que tinha como objetivo fazer com que os antivírus gerassem alarmes falsos, ou seja, marcassem arquivos legítimos como vírus.

Mesmo discordando de quem seria o autor desse "ataque" (com as fontes anônimas da Reuters acusando a Kaspersky, enquanto a Kaspersky diz que nenhuma empresa antivírus sabe quem foi o responsável), o método descrito nos dois casos é o mesmo. E como esse indivíduo ou grupo fez com que os antivírus gerassem alarmes falsos?

Não houve qualquer invasão de sistema. Primeiro, o golpista injetou códigos maliciosos em programas legítimos, entre eles a plataforma de jogos Steam e o comunicador chinês QQ. Os arquivos foram então enviados ao site VirusTotal, que analisa os arquivos e os distribui às mais de 50 companhias antivírus parceiras do projeto.

Como os arquivos maliciosos eram muito semelhantes aos programas originais, havia um alto risco de um "alarme falso" por parte do antivírus. No entanto, os antivírus possuem tecnologias para não detectar programas conhecidos. O que acontece, no entanto, é que programas legítimos são eventualmente atualizados e, nesse momento, o antivírus não mais "conhece" o programa, criando um caso de alarme falso por conta da semelhança com a praga digital em seu banco de dados.

Nada disso é específico de um ou outro software. Todos os produtos operam de maneira semelhante.

Há ainda um agravante: a quantidade de arquivos maliciosos que chega até as companhias de segurança é tão grande que os analistas não podem pessoalmente analisar cada possível amostra de vírus. A maior parte das análises é automatizada, ou seja, feita automaticamente por um software, e um hacker pode tirar proveito dos pormenores dessa automatização, seja para causar erros nos antivírus ou para aumentar as chances de fazer seu vírus passar despercebido pela análise automática.

É possível, inclusive - segundo uma teoria do Eugene Kaspersky - que o objetivo não tenha sido gerar alarmes falsos, mas testar os sistemas dos programas antivírus. É óbvio que, se esses golpistas conseguiram fazer algum arquivo passar pela análise, a indústria até hoje não sabe.

Até 2013, muitas companhias antivírus confiavam nas análises das outras companhias. Ou seja, "se um programa foi detectado como vírus pelo concorrente, eu devo detectar também". Isso piorou a "epidemia de alarmes falsos" (termo desta coluna), que, segundo a reportagem da Reuters, teve seu auge entre 2009 e 2013. Era, de fato, uma epidemia, pois um alarme falso "contaminava" os demais produtos do mercado, que não verificavam se um arquivo era realmente malicioso após um sinal do concorrente.

Cenário difícil
Se esses incidentes que causaram alarmes falsos cessaram, o problema dos alarmes falsos está longe de desaparecer. O desafio dos antivírus se dá relação entre a quantidade de vírus criada diariamente (são milhares de arquivos) e a necessidade de encontrar algo único em cada um deles para diferenciá-los de todos os programas legítimos que existem (que também não são poucos). Caso o antivírus dependa de algo que também aparece em outro programa, ambos serão identificados como vírus e tem-se um alarme falso.

Parece não ser tão difícil evitar um alarme falso num arquivo do Windows, pelo menos até lembrarmos que há versões diferentes dos arquivos para cada idioma. Mesmo assim, é uma questão mais simples do que evitar alarmes falsos com os milhares de jogos e aplicativos distribuídos na internet que não tem tanta visibilidade.

Em fevereiro de 2015, a Microsoft iniciou um projeto em parceria com o VirusTotal para identificar arquivos legítimos. Embora seja positiva, essa iniciativa é também um sinal da gravidade do problema.

Quem busca ter um pouco mais de proteção envia arquivos suspeitos para o VirusTotal antes de abri-los. A lógica é simples: não importa qual antivírus você tenha em seu computador, ele ainda não oferece uma proteção como a dos mais de 50 produtos que trabalham no Virus Total. Ter uma segunda opinião (ou 50 opiniões, nesse caso) parece uma boa ideia.

Mas a probabilidade de um alarme falso entre todos esses antivírus é enorme. Enquanto existem arquivos maliciosos que conseguem passar pelo crivo do Virus Total - porque os criminosos fizeram o arquivo com esse objetivo -, poucos são os programas legítimos e menos conhecidos que não acabam detectados por um ou outro software.

E alguns antivírus geram outro tipo de "epidemia" de alarmes falsos. Como alguns antivírus tem sua engine (ou "motor de análise") em uso por outros produtos, um único alarme falso pode acabar resultando em vários alertas de produtos diferentes no VirusTotal, aumentando a conta artificialmente. No site, não há indicação de quem usa a tecnologia de quem.

Os critérios que cada produto tem para detectar um arquivo colaboram com a confusão. Como teste, baixei o pacote SysInternalSuite - um conjunto de ferramentas administrativas da Microsoft. Enviando o pacote para o VirusTotal, três programas antivírus acusaram algum problema - os outros não enxergaram risco algum.

Dois antivírus, Kaspersky e Antiy-AVL, detectaram o pacote como "not a virus" ou "Riskware" ("não é um vírus"), embora isso não indique exatamente qual o risco do usuário com o software. O Sophos deixou claro que o problema era a ferramenta "PsExec" e, enviando essa ferramenta para o Virus Total, descobri que o antivírus chinês Rising chegou a detectar o programa como vírus de fato, mas removeu o programa da lista.
Entre em nosso grupo de WhatsApp e receba notícias em tempo real, clique aqui

Redes Sociais

Sitevip Internet