Michael Stanton

WirelessBrasil

Ano 2000       Página Inicial (Índice)    

07/06/2000
• Dores de cotovelo causadas pelo verme de amor

Os recentes ataques que impediram acesso de usuários genuínos a sites conhecidos da Internet, como o amazon.com, e a infestação de milhares de computadores pessoais usando o software de correio Outlook Express pelo verme "I Love You" e seus sucedâneos nos sugerem a extrema vulnerabilidade deste meio revolucionário de comunicação, a Internet. (Em tempo, "I Love You" é classificado como verme e não vírus, pois ele não depende parasiticamente de outro software, e se reproduz e se espalha pela Rede de forma autônoma.)
Talvez o que mais causa preocupação nestes ataques seja a constatação que basta um programador de computador adquirir uns poucos conhecimentos técnicos para poder criar o caos generalizado.

Em comparação, o primeiro grande incidente de segurança da Internet, o verme de 1988, foi de autoria de um pesquisador e aluno de doutorado da Cornell University, e seu funcionamento complexo dependia do conhecimento e exploração de defeitos de software no sistemas operacional Unix, usado em servidores.
Ao invés de alunos de doutorado, os responsáveis pelos problemas de hoje são adolescentes e recém-formados de cursos de graduação, e os maiores estragos têm sido causados por pequenos programas escritos numa variedade de Visual Basic, que exploram e estragam o software e os arquivos guardados em computadores pessoais usando o sistema operacional Windows da Microsoft.

O incidente de 1988 foi salutar, pois levou a comunidade Internet a aprender a zelar pela segurança e integridade da Rede, promovendo o conserto dos defeitos de software, e a criação dos CERTs - Computer Emergency Response Teams - uma rede de organizações que dão ampla divulgação de ameaças à segurança e os seus antídotos. (Veja, por exemplo, a mais antiga em http://www.cert.org/).
Nesta infra-estrutura de informação sobre segurança se destaca o CERIAS (Center for Education and Research in Information Assurance and Security, da Purdue University - http://www.cerias.purdue.edu/ ) criado pelo prof. Gene Spafford, um dos primeiros a analisar tecnicamente o verme de 1988.
Num comentário sobre a atual onda de ataques, do tipo "I Love You", Spafford chama atenção ao fato que das 60.000 ameaças registradas até hoje, quase 52.000, ou 85% do total, são específicas das plataformas DOS/Windows/NT da Microsoft, sendo 6.000 destas dirigidas especificamente contra o Word, enquanto existem apenas 2 para a plataforma Macintosh, e umas 5 para Unix, o que inclui Linux.

O ponto aqui é que a propalada "vulnerabilidade da Internet" não é inerente ao seu uso, mas principalmente a seu uso através de computadores pessoais usando diferentes produtos da Microsoft, especialmente a combinação de Windows, Word e Outlook Express.
Para ser justo, é preciso reconhecer que a hegemonia da Microsoft no mercado de software para computadores pessoais foi galgado por essa empresa ter desenvolvido produtos que atendessem aos anseios de usuários de computadores isolados ou ligados às redes locais dos seus locais de trabalho, onde não seriam expostos às ameaças advindas da Internet.

O acesso à Internet abre uma porta para fora, permitindo potencialmente a importação e uso de arquivos transferidos pela Rede, e aí reside o perigo.
Com a utilização de correio eletrônico com anexos (attachments, em inglês), a importação destes arquivos se tornou muito simples - basta clicar no nome do arquivo importado para visualizá-lo.
No caso de arquivos .vbs (da Visual Basic scripting language) usados por "I Love You", os arquivos contêm comandos de uma linguagem de programação e seriam capazes de realizar ações arbitrárias, incluindo a destruição de arquivos e o reenvio de mais mensagens malignas.
O mesmo pode ocorrer com um arquivo .doc (de Word), pois este pode também incluir comandos de Visual Basic for Applications, na forma de macros.
Em ambos casos, existiriam mecanismos nos programas Outlook Express ou Word para desabilitar as ameaças, mas estes requerem que o usuário tome a iniciativa de desabilitá-las, e tomar os passos necessários não é nem um pouco intuitiva.

Na verdade, para não se expor a estes riscos em ambientes Windows/Word/Outlook Express, a solução para quem recebe uma mensagem é nunca abrir um arquivo anexo, que possa conter comandos executáveis, sem ter a absoluta certeza da origem e das intenções do remetente.
O pior do atual surto de ameaças é que subvertem as certezas, pois enviam mensagens de correio como se estas fossem remetidas por nossos conhecidos.
No caso específico de documentos .doc (de Word), estes problemas são evitáveis, pois seu conteúdo pode ser enviado no formato .rtf (Rich Text Format), que elimina as macros, ou simplesmente cortando e colando o conteúdo do arquivo .doc no corpo da mensagem de correio, ao invés de usar um anexo.
Isto tudo funciona, mas a maioria dos usuários não sabe disto e vai demorar para aprender.

Podemos concluir, então, que a vulnerabilidade da Internet se deve principalmente ao uso de software desenvolvido para ambientes antes isolados e, portanto, protegidos de ameaças via a Rede, tendo sido este software adaptado posteriormente para uso na Internet sem ter sido preparado adequadamente para enfrentar os riscos de segurança endêmicos no uso desta rede pública.
É possível se precaver contra estas ameaças através do treinamento dos usuários, orientando-os a não abrir anexos recebidos de desconhecidos, e fazendo uso das últimas versões de software anti-vírus.
Infelizmente a taxa de geração de novas ameaças já é tão grande que está superando a capacidade de reação dos criadores de antídotos.
Nas palavras do Spafford, o que se viu até o momento é apenas a ponta do iceberg.

Outros observadores voltam a lembrar que os danos atuais estão sendo causados por amadores, e especulam sobre o potencial para destruição se os ataques forem montados por profissionais realmente bem treinados, formando uma equipe financiada por uma empresas ou um governo.
Esta ciberguerra poderia ser uma opção substancialmente mais barata do que as alternativas, e irrespondível nos mesmos termos se o atacante não padecer das mesmas vulnerabilidades que o atacado.

O moral desta história é que a tecnologia usada na confecção de muitos produtos de software para acesso à Internet não levou em consideração as ameaças à segurança oriundas da rede, e o caminho mais curto para reverter esta situação seria o seu abandono e substituição por produtos menos vulneráveis às ameaças conhecidas, tanto ao nível de sistema operacional (por exemplo, Linux em lugar de Windows), quanto ao nível das aplicações (por exemplo, StarOffice em lugar do Office, e Eudora em lugar de Outlook Express).
Tais mudanças impossibilitariam quase todos os ataques feitos hoje com tanta facilidade, e provocariam enorme melhoria no nível geral de segurança da Internet.