Proteja seu PC

Os Perigos que Rondam seu Sistema & Como Escolher seu Kit de Proteção

Introdução:

Sua casa é seu castelo, diz o ditado, e sua casa virtual, o PC, deve ser igualmente segura. Mas proteger ambos exige vigilância contra uma multiplicidade de invasores, que variam dos meramente irritantes aos realmente perigosos.

Assim como você precisa proteger-se contra ladrões que tentam invadir sua casa ou seu escritório para fazer vandalismos e roubar, é necessário repelir vírus e hackers que tentam arrombar seu PC para causar estragos e surrupiar dados pessoais ou da empresa valiosos. E, da mesma forma que o pessoal de telemarketing pode perturbar seu jantar, download carregado de software espião e mensagens de spam intermináveis podem acabar com seu apetite de se conectar.

Você pode proteger o computador como faz com a casa ou o escritório, aliando estratégia a ferramentas certas. Neste artigo, apresentamos os perigos que rondam seu sistema e descobertas que vão ajudá-lo a escolher os melhores utilitários para seu kit de ferramentas de proteção: antivírus, firewalls, software que bloqueia a entrada de intrusos, programas e serviços anti-spam que desviam as estilingadas e as flechas das táticas de e-mail marketing.


Acabe com os vírus: 

Seu programa antivírus deve ser rigoroso, preciso e veloz. Do contrário, você não vai usá-lo — e negligenciar a vigilância é muito perigoso. Entre 200 e 300 vírus circulam no mundo por mês. Esses números vêm da WildList, uma lista mensal, reconhecida internacionalmente, de pragas que estão à solta.

O principal método de captura empregado por um antivírus é checar o código suspeito com um banco de dados de “assinaturas” de pragas conhecidas. Essas bases incluem entradas atuais e anteriores da WildList, bem como dezenas de milhares de pragas de laboratórios que usam truques que serão explorados por futuros vírus. Os antivírus também utilizam métodos como a heurística em um esforço contínuo para reconhecer comportamentos semelhantes em novas ameaças.

» O antivírus mais desejado
Os vírus de hoje, além de mais potentes do que seus antecessores, disseminam-se muita mais rápido. Nos anos 80, os vírus do setor de boot espalhavam-se por meio de disquetes trocados entre as pessoas. Em fins dos anos 90, o e-mail transportou vírus de macro em documentos Word anexados às mensagens.

Hoje, o perigo vem, sobretudo, dos worms de envio de massa – vírus que se replicam seqüestrando agendas de endereços eletrônicos e se enviando para diversos destinatários. O LoveLetter, por exemplo, era um vírus de script Visual Basic. Agora a maioria dos worms desse tipo são programas autônomos, como o SirCam e Klez, e representam a maior fatia do total de infecções. Os vírus de macro ocupam um distante segundo lugar e os de script vêm em um terceiro próximo. Os vírus do setor de boot correspondem a apenas 1% das contaminações.


Antivírus: Como testamos: 

O AV-Test.org realizou todos os testes de antivírus em PCs com Pentium III de 800 MHz, 256 MB de memória e unidades de disco rígido de 30 GB; cada sistema usou a versão final original do Windows XP Professional. A imagem das unidades de disco originais foi restaurada antes da instalação de cada antivírus. Definições de antivírus foram atualizadas para todos os produtos.

Os testes de pragas que já estão à solta foram realizados com base em amostras da WildList de fevereiro de 2002. Cada um dos 207 vírus foi representado de duas formas, para um total de 414 arquivos infectados. Vírus de boot foram armazenados em disquetes; todos os outros foram armazenados nas unidades de disco rígido dos sistemas de teste. O AV-Test.org mediu as taxas de detecção no caso de uma varredura completa das unidades infectadas e de acesso a arquivos.

Os testes com vírus de laboratório seguiram os mesmos procedimentos das varreduras completas anteriores, usando 13.007 vírus ou variantes de vírus diferentes em 42.522 arquivos infectados.


Antivírus é a salvação?

Os desenvolvedores de antivírus reagiram razoavelmente bem às ameaças, a julgar pela nossa avaliação de sete produtos: ETrust EZ Antivirus 5.4, da Computer Associates, Anti-Virus Personal Pro 4, da Kaspersky Lab, McAfee VirusScan 6.02, da Network Associates, Virus Control 5.2, da Norman, Antivirus Platinum 6.25, da Panda, Norton AntiVirus 2002, da Symantec, e PC-cillin 2002, da Trend Micro. Avaliamos programas destinados para uso em casa ou em pequenos escritórios, mas as desenvolvedoras também oferecem licenças multi-estações ou linhas de produtos baseadas em servidor.

Os produtos da Symantec, da Kaspersky e da McAfee foram mais eficientes na tarefa de extermínio dos vírus, mas o Norton ganhou o Best Buy graças à interface intuitiva.

Para avaliar os programas, foi feita uma parceria com o AV-Test.org (http://av-test.org), um órgão dirigido pela Universidade de Magdeburg, na Alemanha. O laboratório testou inicialmente como os programas lidavam com a WildList de 2002, composta de 207 vírus reunidos em 414 arquivos. Usando as configurações padrões de cada programa e as atualizações de assinaturas mais recentes, medimos as taxas de detecção tanto de uma varredura completo da unidade do disco rígido quanto de um de acesso a arquivos (detecção feita quando um arquivo é copiado ou aberto). Dos programas avaliados, seis identificaram a presença de, no mínimo 99% dos vírus que estavam à solta, resultado esperado, já que todos os desenvolvedores rastreiam regularmente a WildList.

As varreduras só fracassaram no vírus do setor de boot. O PC-cillin, da Trend Micro, deixou passar todos os 22 vírus do setor de boot durante nossos acessos aos arquivos. Depois de alertada, a Trend Micro distribuiu uma correção que permitiu ao PC-cillin descobrir todos os vírus do setor de boot nos testes de unidade de disco rígido e acesso a arquivos.

Para os testes de vírus de laboratório, mais difíceis (9.138 vírus em 42.426 arquivos infectados), o AV-Test.org ativou as configurações de segurança mais alta das aplicações. Os arquivos incluíam muitos milhares de cavalos de Tróia e programas backdoor – anexos ou downloads que se mascaram de arquivos úteis, mas contêm elementos destrutivos ou podem abrir seu sistema para hackers. (A WildList não mantém o rastro dessas ameaças, mas são monitoradas em outra lista menos conhecida, a TrojanList.) O AV-Test.org também testou vírus polimorfos e worms, que sofrem mutação à medida que se propagam, tornando-se mais difíceis de serem reconhecidos pelos antivírus.

O Kaspersky Anti-Virus, o McAfee VirusScan e o Norton AntiVirus foram os melhores nos testes com vírus de laboratório. Também descobrimos algumas sentinelas sonolentas. O ETrust EZ Antivirus falhou em mais da metade dos cavalos de Tróia e programas backdoor e em mais de um quarto dos vírus de script. O Norman Virus Control e o Panda Antivirus Platinum deixaram de detectar cerca de 20% dos vírus polimorfos.

Os vírus de hoje, além de mais potentes do que seus antecessores, disseminam-se muita mais rápido. Nos anos 80, os vírus do setor de boot espalhavam-se por meio de disquetes trocados entre as pessoas.


Entrar onde não é chamado

Tão importantes quanto os tipos de praga que um antivírus é capaz de detectar são os locais onde eles vasculham. Seu protetor contra pestes virtuais, por exemplo, deve cavar arquivos compactados – até os arquivos .ZIP dentro de arquivos .ZIP. Também deve analisar anexos em e-mails. Onde encontrar uma infecção, o programa deve removê-la sem destruir arquivos valiosos.

Os produtos da Kaspersky e McAfee foram os que melhor se saíram com arquivos compactados, com o da Panda logo atrás. O desempenho dos outros antivírus ficou entre mediano e fraco. O pior: Etrust, que só pegou dois de cada 24 vírus compactados. Os antivírus Kaspersky, McAfee, Norton, Panda e PC-cillin interceptam e analisam os anexos presentes nas mensagens eletrônicas antes que elas aterrissem no disco rígido. Mas o Norton e o PC-cillin só trabalham com programas de correio compatíveis com POP3 e o Kaspersky só funciona com Outlook, Outlook Express e programas-cliente do Exchange, da Microsoft. O Panda varre anexos POP3, Exchange e até AOL.

Ao encontrar um vírus, a maioria dos produtos removeu-o sem danificar os arquivos, mas somente o Norton fez um trabalho perfeito. O ETrust teve os resultados mais fracos: reparou com êxito apenas 18 dos 30 arquivos de teste infectados.


Aparência

Testes de laboratório só contam parte da história. O antivírus mais sofisticado é inútil se você não souber como usar. Com novas pragas aparecendo o tempo todo, a fácil atualização de definições de vírus é essencial. Os programas testados, exceto o Etrust, oferecem atualizações agendadas automáticas; mas nossa aprovação nesse quesito vai para o Norton, que, por padrão, verifica a existência de novas atualizações assim que você o instala e a cada quatro horas depois.

O Norton merece destaque por ter a interface mais lógica também. De um mesmo lugar, você tem acesso ao status e a configurações do programa e pode ativar varreduras no sistema. Também pode acessar a ótima base de conhecimento da Symantec, na Web, para se informar sobre vírus.

Outras soluções, como a da Kaspersky, têm uma curva de aprendizado íngreme, mas o Norton é fácil de dominar. E, depois de instalado, examina a unidade de disco rígido e ativa cada recurso caçador de vírus relevante. Muitos concorrentes não fazem isso. Esses recursos excelentes, mais a proeza em caçar vírus, fizeram do Norton nosso Best Buy.


Barrados no baile

Embora ofereça proteção contra muitos programas maliciosos, o antivírus talvez não seja capaz de acabar com todos os tipos de ameaça. Um hacker pode tentar bisbilhotar seu sistema em busca de senhas privadas, por exemplo, você pode baixar um arquivo ou receber um documento anexo por e-mail contendo um programa backdoor ou um cavalo de Tróia que rouba dados ou explora vulnerabilidades. Um firewall o defende dessas categorias de ataques, vigiando continuamente todos os dados que entram e saem do sistema.

Analisamos seis firewalls baseados em software – BlackICE PC Protection 3.5, da Internet Security Systems, McAfee Firewall 3.02, da Network Associates, Personal Firewall Pro 5, da Sygate Technologies, Norton Personal Firewall 2002, da Symantec, Freedom Personal Firewall 3.2, da Zero-Knowledge Systems, e ZoneAlarm Pro 3, da Zone Labs – para descobrir qual fornece a melhor proteção sem interferir com aplicações comuns, nem inundar o PC com falsos alarmes. Para fins de comparação, também examinamos o Internet Connection Firewall que acompanha o Windows XP (mas é desativado por padrão). O AV-Test.org realizou todos os testes de laboratório em sistemas Windows XP Professional, usando as configurações de segurança padrões dos firewalls.

Ficamos muito bem impressionados com o Personal Firewall Pro 5, da Sygate, e o ZoneAlarm Pro 3, da Zone Labs, que mereceram nosso prêmio Best Buy. O produto da Sygate se destaca por oferecer o controle mais rígido sobre a comunicação entre programas habilitados para Internet. O ZoneAlarm Pro ficou ainda melhor depois do acréscimo de novas ferramentas de bloqueio de anúncios, filtragem de e-mail e um tutorial de configuração aprimorado. Tanto o produto da Sygate quanto o da Zone Labs também estão disponíveis em edições gratuitas que fornecem os recursos de firewall básicos.


O que entra? O que sai?

A principal tarefa de um firewall é monitorar cada um dos endereços de porta TCP e UDP possíveis que seu sistema usa para se comunicar com outros computadores. Se nenhuma aplicação no sistema estiver usando uma determinada porta, o firewall deverá repelir os pacotes de dados destinados a ela.

A maioria dos ataques externos são simples varreduras de porta, resultado das tentativas de hackers de descobrir servidores mal configurados, vulneráveis. Considerando-se que poucos usuários mantêm aplicações servidoras de FTP, Telnet e Web que os hackers costumam procurar, essas tentativas de conexão, em geral, são inofensivas. Por outro lado, cavalos de Tróia, programas backdoor e falhas de configuração – habilitar o compartilhamento de arquivos sem restrições, por exemplo – podem abrir vulnerabilidades e dar aos hackers a capacidade de copiar ou remover arquivos ou assumir o controle de seu PC e usá-lo como uma plataforma para lançar ataques a servidores comerciais.

Usando aplicações de varredura de porta comuns em todos os firewalls (incluindo o do Windows XP), descobrimos que a maioria deles protege todas as portas contra ataques. Porém, nas configurações padrões com o acesso à Internet habilitado, o BlackICE PC Protection, o Norton Personal Firewall e o McAfee Firewall não fecharam a porta 5000, que o recurso Universal Plug and Play das versões recentes do Windows usa para detectar dispositivos conectados em rede. Poucos produtos são compatíveis com UPnP atualmente, mas o recurso vem habilitado por padrão no Windows XP, abrindo uma porta do servidor. Um representante da McAfee diz que talvez a desenvolvedora acrescente uma caixa de seleção às versões mais novas do firewall para que os usuários fechem a porta 5000. Quando você estiver lendo este artigo, o Norton deverá ter uma nova regra de firewall que você poderá baixar para fechar a porta.

O BlackICE não só deixa a porta 5000 aberta, como também não fecha nenhuma porta acima do número 1.024. Segundo a ISS, se o nível de segurança padrão Cautious é mudado para Nervous, todas as portas TCP são fechadas; o nível mais alto, Paranoid, fecha todas as portas UDP também.


De olho nas aplicações

O maior perigo para a maioria dos PCs não está nos ataques externos, mas nos internos: cavalos de Tróia e programas backdoor que você instala porque parecem ser downloads úteis ou anexos de e-mail inofensivos. Depois que se escondem no seu sistema, esses programas podem transformá-lo em um servidor vulnerável, abrindo portas para invasores ou coletando dados – tais como senhas – e os enviando a hackers. Um antivírus atualizado é a primeira linha de defesa contra cavalos de Tróia e código backdoor, mas, se um deles consegue entrar, então um firewall é quem vai fornecer a proteção mais eficaz.

O firewall do Windows XP só monitora ataques externos, mas os outros seis produtos analisados tentam impedir a ação de cavalos de Tróia e programas backdoor, controlando quais aplicações no seu sistema podem conectar com que servidores remotos. A maior parte dos firewalls avisa quando uma aplicação quer ter acesso à Internet e possibilita que você conceda ou negue a permissão. O Norton Personal Firewall, da Symantec, facilita o processo de identificação usando um banco de dados de assinaturas de aplicações conhecidas e seguras – por exemplo, navegadores Web e programas-cliente de correio eletrônico – para configurar regras de acesso automaticamente. Se a aplicação não constar no banco de dados, o Norton lhe pede para estabelecer permissões.

Infelizmente, o Norton não nos alertou quando substituímos uma aplicação autorizada por outra que tinha o mesmo nome de arquivo – truque que um cavalo de Tróia ou programa backdoor poderia tentar usar para passar pelo firewall. O Norton pediu permissão para que o programa substituto fosse executado, mas o identificou apenas pelo nome de arquivo. Da mesma forma, o BlackICE PC Protection e o McAfee Firewall não observaram que o arquivo original tinha sido alterado.

O BlackICE também apresentou outros problemas. Em análises anteriores, conferimos o Best Buy a versões passadas do programa por causa da sua habilidade em bloquear e rastrear ataques vindos de fora. Desta vez, demos mais atenção a controle sobre as aplicações, um recurso novo na versão atual, mas que não satisfez os requisitos. Por padrão, o BlackICE garante privilégios de Internet completos a qualquer aplicação já instalada no seu PC. Por causa dessa configuração, foi o único firewall (além do existente no Windows XP) que não conseguiu bloquear um programa backdoor pré-instalado no nosso sistema de teste. Você pode restringir aplicações depois de instalar o BlackICE, mas, para isso, tem que examinar a lista com centenas de arquivos executáveis instalados no PC e configurar regras para cada um deles.

A estrela dos testes de controle sobre aplicações, o Personal Firewall Pro, da Sygate, foi o único firewall que resistiu às nossas tentativas de fechá-lo usando uma aplicação de monitoramento de sistema de terceiros, simulando um truque que alguns cavalos de Tróia e worms empregam para desabilitar o software de segurança do PC.


Feedback e controle

A maioria dos seis programas não Microsoft testados faz um bom trabalho ao reportar possíveis ataques externos: muda o ícone da bandeja do sistema do utilitário, abre uma caixa de diálogo de alerta, emite algum som ou faz as três coisas ao mesmo tempo. Mas os alertas do Freedom Personal Firewall são um pouco vagos e você não perde muita informação, mantendo-os desabilitados, como estão por padrão. Todos os seis produtos exibem relatórios em tempo real sobre tráfego suspeito que entra no PC, mostrando o endereço IP de origem, o tipo de ataque e, na maior parte dos casos, a gravidade. Além disso, Freedom, Sygate e ZoneAlarm usam a ferramenta de rastreio Who-is que, às vezes, localizam com precisão a origem. O firewall da Sygate também permite traçar uma rota que mostra o caminho exato que o ataque tomou, da origem até o seu PC. Ambas as técnicas ajudam a identificar o provedor de um provável invasor para que você possa denunciar o abuso.

No que diz respeito às aplicações, todos os firewalls não Microsoft, exceto o Freedom, permitem que você manipule configurações de controle e especifique se um programa pode estabelecer uma comunicação externa (atuando como um cliente) ou receber pedidos de conexões iniciadas remotamente (atuando como um servidor). A Sygate oferece o maior nível de controle, possibilitando que você determine até dias e horários em que um programa pode comunicar-se.


Proteja-se com hardware

Muitos escritórios pequenos e residências conectadas usam gateways/roteadores baratos para compartilhar a conexão com a Internet, arquivos e impressoras ou outros periféricos. Os fabricantes desses equipamentos, com freqüência, anunciam firewalls embutidos. Como esse tipo de proteção se compara a um firewall baseado em software?

Usando o Network Address Translation and Dynamic Host Control Protocol, um gateway/roteador básico distribui endereços IP privados a computadores na rede. O equipamento transforma esses endereços privados no endereço IP público durante o processo de envio de dados a servidores de Internet. Como não possuem seus próprios endereços IP públicos, os PCs individuais devem estar protegidos de ataques externos.

Roteadores mais caros acrescentam outras salvaguardas, incluindo Stateful Packet Inspection (SPI), que examinam tanto os cabeçalhos dos endereços quanto o conteúdo dos pacotes de dados em busca de sinais de comportamento suspeito. Vários firewalls baseados em software que analisamos também usam SPI. Em compensação, firewalls que utilizam regras estáticas só examinam os cabeçalhos de endereços e são mais suscetíveis a ataques avançados que disfarçam a verdadeira origem do pacote.

Porém, nem mesmo os firewalls baseados em hardware avançados conseguem realizar a checagem de aplicação que os produtos de software fazem. E os fabricantes de hardware de firewall concordam que o software adiciona uma camada de proteção extra.