Novos vírus criados para testes: Necessidade ou tolice?

02/09/2006 Written by Roberto Preatoni (SyS64738)

virus_onA Con­sumer Reports recen­te­mente pub­li­cou um artigo que crit­i­cava as empre­sas antivírus pela cri­ação de aprox­i­mada­mente 5,500 novas vari­antes de vírus para tes­tar em novos pro­du­tos antivírus. Atual­mente eles ape­nas mod­i­fi­cam vírus con­heci­dos em grande escala para tes­tar seus soft­wares, e nen­hum destes vírus foi encon­trado fora de seus lab­o­ratórios.

A respeito disto, o “método de teste” rece­beu duras críti­cas.

Mais de 100 espe­cial­is­tas em segu­rança de dezenas de com­pan­hias como Microsoft, HP, F-​Secure, McAfee, Sophos e Syman­tec assi­naram uma carta que soa como uma resposta conta a ini­cia­tiva da Cos­tumer Reports. A declar­ação é baseada no princí­pio que “não é necessário… 

…e não é útil escr­ever vírus de com­puta­dor para apren­der como se pro­te­ger deles”.

A declar­ação é apoiada por uma imensa bib­li­ografia incluindo con­tribuições de uni­ver­si­dades ao redor do mundo. O que os críti­cos mais reclama é em con­sid­er­ação que existe mil­hares de vírus em cir­cu­lação  e não pre­cisamos de out­ros novos!

Mas atual­mente, a cri­ação de um novo mal­ware con­tribui para um teste mais efe­tivo dos antivírus, e como o expert  Jur­gen Scmidt apon­tou em sua revisão sobre os raios da segu­rança, isto é defin­i­ti­va­mente necessário. Ele escreveu:

Con­hecer os vírus não rep­re­senta mais um grande perigo para os  usuários com soft­wares antivírus. Seria bom se todos os pro­du­tos recon­hecessem e fos­sem con­fiáveis. Mas o perigo real é que todos os dias estimam-​se que 250 novos mal­wares são cri­a­dos. E recon­hecer estas novas ameaças é o que a maio­ria dos pro­du­tos antivírus con­tin­uam fal­hando. Isto é um fato chocante que sim­ples­mente mod­i­f­i­cando um vírus exis­tente ele não é mais recon­hecido pelo scan­ner do antivírus. Quando me des­pertei para este fato eu criei um “novo vírus”, irrecon­hecível para a maio­ria dos scan­ners antivírus, por que ele era rel­a­ti­va­mente novo, o vírus era o “I love you”, sim­ples­mente encon­trando e tro­cando as var­iáveis de nomes ele se torno irreconhecível.

Testes reg­u­lares em cen­tros de testes usando triv­i­ais CIH, Optix e RDBot vari­antes con­fir­mam estes resul­ta­dos todos os dias. Nat­u­ral­mente este é somente o que as empre­sas antivírus não gostam de ouvir. Eles ficam felizes com as pro­pa­gan­das feitas com­para­ndo seus pro­du­tos, como Clu­ley, os tes­ta­dores com arsonistas.

Uma alter­na­tiva aceitável para a cri­ação de novos vírus pode­ria ser “testes ret­ro­spec­tivos”, que iriam uti­lizar scan­ners com assi­nat­uras desat­u­al­izadas para recon­hecer vírus novos. Esta solução não seria efe­tiva porque todos os cri­adores de vírus influ­en­cia­riam nos resul­ta­dos, mais do que isto estes testes não mostram uma análise de soft­wares mali­ciosos e não per­mite deter­mi­nar a facil­i­dade dos vírus serem detec­ta­dos por eles.

Então. A resposta para a questão “seria necessário?” Pode ser que sim, mas sobre a outra questão… isto é “e se estes novos vírus tivessem uma maneira de ser dis­tribuí­dos?” Talvez o fato de ter algum novo mal­ware a nossa volta não rep­re­sente um prob­lema, mas não podemos dizer agora.

Qual­quer futura con­sid­er­ação será para nos­sos leitores.


Share this content: