Home > Notícias

O software para segurança se transformou em um risco?

Engenheiro de segurança de empresa alemã conclui que os antivírus são falhos e que basta um e-mail para uma corporação se dar mal

Por IDG News Service

04/12/2007 às 14h56

seguranca_bomba_150.jpg
Foto:

seguranca_bomba_150Será que os softwares que estamos usando para nos proteger de ataques online está se tornando uma ameaça? Thierry Zoller acha que sim. Nos últimos dois anos, o engenheiro de segurança da empresa de consultoria alemã n.runs AG analisou atentamente o modo como o software antivírus inspeciona tráfego de e-mail e concluiu que as empresas que tentam melhorar a segurança checando dados com mais de uma ferramenta antivírus talvez estejam piorando as coisas.

Isso porque os bugs no software “parser” (analisador), utilizado para examinar formatos de arquivos diferentes, pode ser explorado facilmente por atacantes. Portanto, aumentar a utilização de software antivírus equivale a aumentar as chances de ser atacado com êxito.

O software antivírus tem que abrir e inspecionar dados em centenas ou até milhares de formatos de arquivo. Um bug no software que faz isso pode levar a uma grande vulnerabilidade na segurança.

Zoller e seu colega Sergio Alvarez investigaram este problema nos últimos dois anos e descobriram mais de 80 bugs de parser em software antivírus, a maioria ainda sem correção.++++
seguranca_bomba_150
As vulnerabilidades encontradas envolvem todos os importantes fornecedores de antivírus. Grande parte delas permitiria que os atacantes executassem código não autorizado no sistema da vítima.

”As pessoas pensam que instalar uma ferramenta antivírus após a outra é uma forma de defesa profunda. Elas acreditam que, se uma ferramenta não conseguir pegar o worm, a outra pegará”, diz Zoller. “Mas você não reduziu a superfície de ataque, você a aumentou porque todos os antivírus têm bugs.”

Embora os atacantes explorem bugs de parser em browsers há anos com relativo sucesso, Zoller acredita que, como o software antivírus roda em toda parte, e freqüentemente com direitos administrativos ainda maiores do que nos navegadores, estas vulnerabilidades podem gerar problemas mais graves no futuro. A moral da história é que o software antivírus é falho, afirma Zoller. “Basta um e-mail para você se dar mal.”

A pesquisa sobre bugs de parser foi estimulada pelo foco crescente, nos últimos anos, em “fuzzing” software, que é empregado por pesquisadores para “inundar” software com um vasto volume de dados inválidos para ver se o produto quebra. Em geral, este é o primeiro passo para descobrir uma maneira de rodar software não autorizado na máquina de uma vítima.

Um bug de parser no modo como o browser Safari processava arquivos gráficos .tiff  foi usado recentemente para burlar controles rígidos da Apple sobre qual software pode ser instalado no iPhone. ++++
seguranca_bomba_150
Zoller recebeu críticas de companheiros da indústria de segurança por “questionar aquilo que se constitui no amálgama da segurança de TI”, mas ele crê que, por ter trazido o assunto à baila, a indústria será obrigada a abordar este grande problema de segurança.

Entre 2002 e 2005, quase metade das vulnerabilidades descobertas em software antivírus era explorável remotamente, ou seja, os atacantes poderiam lançar seus ataques de qualquer lugar na internet. Hoje, este número está próximo de 80%.

A empresa de Zoller vislumbra uma oportunidade de negócio nesta área. A n.runs está desenvolvendo um produto, com o codinome ParsingSafe, que ajudará a proteger software antivírus software contra o tipo de ataque (parsing) que ele documentou.

Russ Cooper, cientista sênior da Verizon Business, critica o trabalho da n.runs. “A pesquisa quase que incita os criminosos a se aprimorar nos ataques a vulnerabilidades... o que dificilmente é útil”, afirma.

“Não há dúvida de que a lista de vulnerabilidades em produtos de segurança que eles já publicaram é assustadora. Mas, historicamente, não temos visto este tipo de vulnerabilidade ser explorado.”

Apesar de concordar que as vulnerabilidades de parsing de arquivo em software antivírus são um risco, Cooper diz que elas ainda não foram alvo de ataques disseminados de criminosos por várias razões.++++
seguranca_bomba_150
Uma delas é que os criminosos já são suficientemente eficazes com suas atuais táticas, como o envio de anexos de e-mail maliciosos. Uma segunda razão é que software de segurança tende a ser mais fiscalizado. Qualquer vulnerabilidade explorada seria corrigida rapidamente e haveria maior probabilidade de o criminoso ser pego.

Os fornecedores de soluções de segurança conhecem há muito tempo as vulnerabilidades de seu software, de acordo com Marc Maiffret, chief technology officer da eEye Digital Security.

“Software de segurança é tão vulnerável quanto qualquer outro”, compara. “Todos nós contratamos os mesmos desenvolvedores que freqüentaram as mesmas universidades que os da Microsoft e aprenderam os mesmos maus hábitos.”

Robert McMillan-IDG News Service, EUA

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail