Do Pong até os dias de hoje. Evitando malwares

A primeira vez na minha vida que vi um vírus... Faz muito tempo. Não eram chamados ainda de malware. Esta denominação apareceu anos depois quando surgiram as versões maldosas destes programas que causavam algum dano nos dados ou no computador e mais tarde roubavam dados e dinheiro das pessoas. Tentem imaginar o susto que eu levei quando ao usar um computador apareceu um ponto se movendo na tela e ricocheteando nas laterais ou onde havia alguma frase escrita!! Era o PONG, um dos primeiros vírus conhecidos!!! Uma amostra do PONG em ação pode ser vista neste vídeo.

figura 01 – vírus Pong em ação - clique aqui para ver o vídeo

Convém lembrar que estávamos na segunda metade os anos 80 e que Windows ainda não era usado (ele apenas se popularizou no Brasil a partir de 90/91). Usava-se MS-DOS versão 4 ou 5 nesta época. Alguns PCs nem tinha disco rígido, mas todos tinham leitor de disquete, meio essencial para transportar arquivos entre computadores. Vale também ressaltar que o MS-DOS (sistema operacional) era monotarefa, ou seja, executava apenas uma atividade por vez.

figura 02 – ambiente “sadio” do MS-DOS

Mas então como o vírus se disseminava??!! Muito simples, vale a pena contar o processo, pois é bem engenhoso. E isso vale para boa parte dos vírus desta época. Imagine que alguém lhe deu algum disquete com arquivos que eram necessários. Ao usar este disquete é extremamente comum esquecê-lo no drive (leitor de disquete). Assim quando a máquina fosse desligada e depois ligada de novo o PC por padrão tentava carregar o sistema operacional MS-DOS a partir do disquete. Para fazer isso ele lia o “setor de boot” do disquete. Só que em vez de ter apenas a mensagem “disco sem sistema” (normal nos discos apenas de dados) estava ali o vírus. Ele procurava o disco rígido, se implantava no começo do setor de boot do HD e se carregava em memória. Assim todo disquete que era inserido neste PC ao ser lido a primeira vez recebia uma cópia do próprio vírus no setor de boot. Este disquete ia para outra pessoas e o processo se repetia.

Não adiantava desligar o PC e ligar de novo sem o disquete virulento, pois nesta altura o vírus já se implantara na memória, no HD e estaria sempre de prontidão para infectar novos disquetes. O poder de propagação era imenso. Hoje em dia se fala que as ameaças são disseminadas pela tática de “engenharia social”, ou seja, usar subterfúgios para convencer as pessoas a fazerem o que não querem (se infectarem). O Pong e seus sucessores usavam a característica humana de “esquecer o disquete no drive” para obter seu intento.

Mas como se defender deste tipo de ameaça?? Difícil. No começo apenas havia os programas que faziam a varredura dos disquetes e HDs para encontrar vírus e removê-los. Não havia proteção “online”, residente em memória para impedir infecções. Se bem me lembro o primeiro antivírus que usei na vida foi o McAfee Virusscan, possivelmente versão 1.0. Para reparar um computador que estivesse com vírus era necessário iniciar o PC com um disquete de sistema MS-DOS reconhecidamente “limpo” (sem vírus), que contivesse o programa McAffe Virusscan. Lembro PERFEITAMENTE que o programa era capaz de reconhecer cerca de 29 ou 30 vírus conhecido à época. Eu achava espantoso haver tantos vírus assim.

Lembrem-se, não havia Internet. Obter atualizações das vacinas era complicado. Só quando surgiram os BBSs (predecessoras da Internet) que ficou “fácil” conseguir as novas vacinas, como era conhecida (hoje arquivo de definição de vírus). Também me lembro que quando este número de vírus conhecidos começou a crescer eu me espantava!! De29 passou para 38, 50, 98, 120... Pensava eu ONDE IREMOS CHEGAR. Estas dezenas de vírus eram variações do Pong, e tantos outros novos como Stoned, Michelangelo, Sexta Feira 13, Cascade, Flame, etc. Uma curiosidade, o STONED era um vírus de igual forma de disseminação (setor de boot), mas “inofensivo” (salvo seu poder de propagação), pois apenas fazia aparecer no começo do boot do computador a mensagem “Your PC is stoned“ e às vezes “Legalize Marijuana” (seu PC está chapado, legalizem a maconha).

figura 03 – Tela de um PC infectado pelo Stoned  (clique para ampliar)

Já o Sexta Feira 13 ficava dormente e apagava todos os dados do usuário na primeira 6ª feira 13 que acontecesse. Finalizando estes exemplos falo do interessante CASCADE dava sustos nos usuários fazendo despencar uma a uma as letras da tela como se fosse uma cascata. Isso pode ser visto neste vídeo (o fenômeno acontece em 1:10).



A novidade que surgiu na sequência foram os vírus de EXE, ou vírus que infectavam programas. Mais engenhosos ainda eram vírus que se anexavam em programas válidos. Por exemplo, se você recebesse de alguém um programa bonitinho que exibia um desenho na tela, um joguinho, etc., este tinha o DNA virulento em no começo de seu arquivo. Ao ser executado copiava parte de si mesmo para a memória e seguia a execução do programa original. Uma vez na memória TODOS os programas que eram executados tinham o DNA do vírus anexado ao seu começo e se tornavam também portadores do vírus. Até mesmo um antivírus legítimo poderia ser infectado. Um horror!! Por isso os antivírus passaram a contar com uma proteção de seu próprio arquivo (um dígito de controle era gerado e se o vírus se anexasse ao programa ele conseguia perceber a sua intrusão).

Vírus de Boot e vírus de EXE eram sofisticados e de difícil programação. Tinham que ser pequenos, de carga rápida, desenvolvidos em linguagem assembler (a mais difícil de todas também conhecida como linguagem de máquina), exigia programadores de talento ímpar. Mesmo assim houve a proliferação das pragas. Com a chegada do Windows você acha que tudo ficaria melhor, certo?? Nada disso!!!

O Windows trouxe como grande apelo a capacidade de executar vários programas ao mesmo tempo, recurso proporcionado pelo sistema operacional. As pessoas se distraiam com os ícones, ampulheta, etc. e ter mais um programa sendo executado em segundo plano nem era percebido pelo usuário. Os vírus podiam ser feitos usando uma linguagem mais fácil, podiam ser maiores que mesmo assim não seriam notados. Ser entrar em grandes tecnicismos, mas vale a explicação. Os programadores de vírus na época do MS-DOS tinham que “fazer chover” para simular ações multitarefa usando programação em nível de máquina usando as interrupções de hardware (como a 1C – clock tick do PC) ou interrupções do próprio DOS para interpor suas nefastas ações. Com o Windows (bem como qualquer sistema operacional multitarefa como MAC OS, Linux ou mesmo Android) proporcionando a capacidade de realizar várias coisas ao mesmo tempo, os desenvolvedores de vírus esfregaram suas mãos e sorriram de orelha a orelha, pois tinham o ambiente perfeito para as novas gerações de pragas virtuais.


Mas vamos avançar a história!!!!!!

Hoje dia 23 de agosto de 2013 fiz uma pequena pesquisa. Descobri que o arquivo de definições de vírus, as tais “vacinas” do produto Symantec Norton Antivírus está preparado para reconhecer mais de 23 milhões de ameaças!!

figura 04 – quase 24 milhões de ameaças conhecidas em agosto de 2013

Eu comentei que me impressionei MUITO quando o McAfee Virusscan (versão MS-DOS) do final dos anos 80 e começo dos anos 90 chegou a impressionantes 100 vírus conhecidos e hoje estamos nos aproximando de 24 milhões de ameaças!! Mas porque são tantas assim hoje em dia!!?? Como pode haver tantos vírus, malwares, trojans, etc. diferentes?? Existe resposta para isso.

No começo os vírus eram apenas e tão somente formas de programadores geniais, com talento e inteligências excepcionais se mostrarem por aí, algo do tipo “vejam o que sou capaz de fazer”. Fazer estes programas era difícil, para poucos e as pessoas não ganhavam nada como isso, salvo um pouco mais de fama e respeito dentro de suas tribos.

Faço uma analogia com os “hackers” (ou crackers) do início da era da Internet. Como os sistemas (servidores Web) eram mais frágeis, menos protegidos alguns elementos conseguiam ganhar acesso aos sites e realizavam o que ficou conhecido como “defeacement”, ou seja, desfigurar um site trocando seu conteúdo por palavras de protesto, ameaças, provocações, etc. Para mim era a expressão de uma pichação virtual.

figura 05 – exemplo de ataque do tipo “defeacement” em um site (clique para ampliar)

Eu contei para meus leitores no formato de uma “novela policial” o que aconteceu comigo vários anos atrás. Foi exatamente sobre um caso de “defeacement” seguido por uma tentativa de extorsão no texto “Invasão, destruição e extorsão – parte 1” (contada em 5 capítulos – interessante leitura – qual terá sido o final da história?).

Mas voltando aos malwares e vírus, hoje em dia praticamente este tipo de ataque não acontece mais. Embora os criminosos cibernéticos já davam mostra de que seus atos futuros iriam visar ganhos econômicos (na minha história fui extorquido pelo elemento).

O resto da história vocês já conhecem. Uma enxurrada de spam em nossa caixa postal contendo conteúdos estranhos, criativos, bizarros, tudo visando explorar alguma fragilidade psicológica da pessoa para forçá-la a clicar em determinado link ou instalar o programa “essencial”. Acho tão maravilhosos estes e-mails que até os coleciono! Desde que escrevi um artigo em 2011 comparando 10 antivírus do mercado no texto “Qual o melhor antivírus para você?” venho guardando estes e-mails (que usei para comparar as soluções). Ainda vou escrever um texto apenas dissecando estes e-mails de “phishing”. Aguarde.

figura 06 – exemplo de spam de phising recebido – nem pense em clicar em links assim (clique para ampliar)!

Mas na figura 06 mostro um dos muitos exemplos, uma “mensagem de voz vinda do Facebook” para mim. O que é estranho é que este recurso (ainda) não existe no Facebook e mesmo assim tem gente que clica para conferir. E cá entre nós, se existisse o Facebook iria mandar e-mail para avisar ou exiibiria uma notificação dentro do próprio site? Muitas pessoas não pensam. Mensagens assim visam instalar um programa espião ou um “bot” (bot é uma corruptela de robot – um robô – escravo em seu computador). Dessa forma coletam dados da pessoa para fins diversos, desde venda de identidade (dados pessoais) como os bancários para “limpar” a conta corrente da pessoa ou número de cartão de crédito para ser usado por outros.

Ataques de outros tipos surgiram. Sites comprometidos são aqueles que invadidos não são pichados, mas recebem um programa malicioso que infecta seus visitantes. Há ataques em redes sociais ou programas de mensagens instantâneas. Estes mandam mensagens em nome da pessoa infectada para sua lista de contatos os convidando a entrar em sites que contém ameaças. Existe também o envenenamento de DNS, responsável por direcionar as pessoas para sites falsos a partir de URLs (endereços de internet) legítimos, ataque “servidor proxy” que também direciona sites legítimos para cópias mal intencionadas. Só para citar alguns tipos!!

Agora dá para começar a entender porque no começo havia 29 ameaças e hoje em dia quase 24 milhões!! A ganância e a vontade de enganar e roubar as pessoas incautas é o grande motivador, não mais se mostrar para a “galera”. Mas existe um agravante. Tornou-se muito mais simples construir vírus. Há uma verdadeira indústria montada para isso. A começar pelo grau intelectual para criar malwares. Um adolescente mal intencionado com um “Kit para desenvolvimento de vírus” consegue rapidamente criar o seu bot, trojan espião, vírus, etc. em poucos minutos. Não precisa mais ser gênio talentoso para isso, apenas comprar o kit e dar uma dúzia de cliques para construir o malware. Chocante!!

figura 07 – existem kits para qualquer um construir um malware

A tal indústria que eu falei é extremamente organizada e hierarquizada. Vejam os diferentes elos da cadeia:

1. Desenvolvedores criam os kits para construção de malwares
2. Pessoas usam estes kits e criam milhares de malwares diferentes
3. Spammers profissionais fazem o envio de phishing com a chamada para o vírus
4. Outro grupo se incumbe da espionagem e roubos dos dados pessoais e bancários
5. Há o grupo das pessoas que atuam nos bancos e cartões de crédito realizando o roubo
6. “Laranjas” são recebem o dinheiro em contas que ficam abertas apenas alguns dias
7. Cada elo da cadeia é remunerado de acordo com seu serviço e produtividade

Se isso não é Crime Organizado, nada mais é! E mais organizado que muita empresa séria, é terrível!

Espelhando-se no passado para disseminar mais malwares

A ideia para a produção deste texto veio da nota que repliquei dias atrás. Esta me foi enviada pela Kaspersy e tratava de “30% das infecções são disseminadas através de USB e cartões SD segundo Kaspesky Lab”. Não é fato novo o uso de pendrive e cartões de memória para disseminação de malware, mas o que me causou espanto foi saber que quase um terço da disseminação se dá por este caminho.

figura 08 – ameaças chegam agora via pendrive, DVDs e cartões e memória

E de certa forma usar estes meios de armazenamento modernos para isso é uma volta aos tempos do PONG, CASCADE e do STONED (e todos de sua época). Resumindo, o que você deve saber é que todo dispositivo de armazenamento externo como pendrives, cartão de memória (SD, microSD, CompactFlash, etc.) e CDs ou DVDs ao serem inseridos no computador podem disparar um processo de auto execução de algum programa que ali reside. Isso está ativo principalmente em computadores que não estão com todas as atualizações de segurança instaladas. Se há um programa de segurança instalado no computador este pode ter uma ação pró ativa e sugerir uma verificação do cartão, CD ou pendrive. Faça isso sempre que inserir um destes que não seja seu ou mesmo sendo o seu se ele esteve em uso por outra pessoa.

vide figura 09– sistema de segurança para checar mídias externas

Certa vez auxiliei uma professora de universidade que por usar seu pendrive em diferentes computadores havia “colecionado” 27 malwares em seu pendrive apenas por inseri-lo em vários PCs da escola. Se o PC está infectado basta inserir o pendrive que este ganha o “brinde” maligno. Cuidado!!


Como resolver, como se proteger!!?

A resposta é fácil e única. INFORMAÇÃO!! Acredite, há pessoas que não acreditam no perigo que estão expostas sem uma forma de proteção eficaz. Prova de que a informação é o ponto chave, meu amigo e também articulista André Gurgel costuma defender outra tese. Ele fala que para ele o melhor antivírus é não ter antivírus!!! Como assim?? É que ciente do perigo que  está correndo ele é extremamente cuidadoso e nada ousado no uso do computador e da Internet. Esta solução funciona muito bem para ele que é alguém muito sistemático e disciplinado. Mas não funciona para 99.999% das pessoas, incluindo os filhos e filhas adolescentes, bem como funcionários de empresas que têm uma rotina frenética, leem centenas de e-mails por dia e acessam quase outra centenas de sites para desempenhar seus trabalhos.

Não sou capaz de indicar uma solução de segurança específica neste momento. O teste que fiz dois anos atrás não é mais expressão da verdade uma vez que todos os produtos tiveram duas ou três atualizações neste período. Quem sabe viabilizo fazer um novo teste como aquele...

Não quero ferir o orgulho das empresas que fazem solução de segurança, mas atesto com total segurança que há 6 ou 7 fornecedores que têm produtos equivalentes. Qualquer pessoa estará extremamente bem servida e segura com quaisquer destas soluções. Claro que o produto A tem um recurso que o produto B não tem e estas diferenças podem nortear a escolha de cada um. Mas a mensagem é clara. NÃO HÁ COMO deixar de ter uma ferramenta de segurança moderna e atualizada em seu computador de casa, do trabalho (PC ou MAC) e mais atualmente nos smartphones.

vide figura 10 – cada um com sua proteção , isso que importa (clique para ampliar)!!

figura 11 – todo cuidado é pouco, ameaças estão à espreita