Malwares - uma curta biografia

A doutrina da segurança da informação estabelece que pelo menos parte de uma estratégia para o planejamento da proteção contra as ameaças virtuais pode advir de um procedimento no qual a potencial vítima deve estudar e refletir profundamente sobre as suas próprias fraquezas/vulnerabilidades.

É difícil sustentar a assertiva de que uma ameaça atua de forma indiscriminada, sem que se atente seriamente contra o bom senso. Assim, assumir o ponto de vista da mesma quase sempre evidencia informações valiosas para o defensor sobre o provável comportamento da ameaça (seja ela automatizada ou não), uma vez que é axiomático supor que um atacante racional invariavelmente o fará. No fim das contas, a estratégia da ameaça sempre estará fortemente baseada nas informações sobre as fraquezas do alvo, de forma a maximizar sua chance de sucesso, por explorá-los pontualmente.

Em outras palavras, e para o caso geral, aparenta ser bastante razoável supor que qualquer ameaça séria sempre é moldada em função das fraquezas e particularidades do alvo. Partindo da premissa de que tal doutrina tem sido observada diligentemente pelos defensores, que razões justificariam a ameaça como dos malwares continuar a obter crescente sucesso?

A caixa de Pandora

Segundo a taxonomia aceita pela comunidade de segurança da informação onde são categorizados genericamente como um malware, os vírus de computador proliferaram especialmente nos últimos 20 anos. É fato, no entanto, que alguns dos principais conceitos filosóficos e funcionais embarcados nos atuais virus digitais advém de esforços anteriores de pesquisa tipicamente acadêmica. Com o passar do tempo o conceito se assemelha a uma praga digital, mas não há paradoxo diante de sua origem acadêmica: os vírus são, em essência, provas de conceito.

No fim dos anos 50, John von Neumann propôs os autômatas auto-replicadores e, ainda em 1961, o Bell Labs criou a simulação Darwin. As primeiras provas de conceito, no entanto, remontam apenas de meados da década de 70, quando o primeiro vírus conhecido, o Pervade, infectou equipamentos Univac.

A disseminação no grande público, por outro lado, dependeu do advento dos computadores pessoais, quando em 1982 o vírus Elk Cloner, criado por um adolescente de 15 anos, infectou a arquitetura Apple II. Somente em 1983, no entanto, surgiu a primeira definição formal dos vírus digitais, atribuída a Fred Cohen, como descrita em seu trabalho acadêmico Computer Viruses - Theory and Experiments (no original: “...a computer program that can affect other computer programs by modifying them in such a way as to include a possibly evolved copy of itself...”). Com a criação e popularização da Internet, a rede rapidamente se revelou como o substrato ideal para a sua disseminação instantânea, e em massa, resultando nas características epidêmicas atualmente observadas.

Entrementes, algumas contramedidas tecnológicas começaram a surgir, com o primeiro anti-vírus assim reconhecido sendo atribuído (não sem alguma controvérsia) a Bernd Fix, e pouco depois a IBM reinvidicando (aqui também há controvérsias, para variar) o lançamento do que seria o primeiro anti-vírus comercial, seguida por outras companhias que quase que imediatamente surgiram com foco específico nesta perspectiva de um novo e significativo segmento de mercado. Os engenhos de detecção eram então bastante eficazes e baseados em técnicas simples de reconhecimento de padrões, particularmente as assinaturas dos vírus inseridos em seus respectivos programas hospedeiros. Assim, a simples análise de amostras dos vírus era suficiente para que os fabricantes pudessem gerar uma nova base de assinaturas atualizada e eficaz na detecção, e distribuí-la para seus clientes.

Darwinismo digital, ainda que artificialmente induzido ?

Não surpreendentemente, novos conceitos foram sendo incorporados aos novos vírus de forma a tentar dificultar a detecção. Em 1990, a aparição do 1260 (sim, esse foi o seu nome de batismo) evidenciou uma importante inovação, posteriormente imitada pelo Tequila em 1991, quando as análises destes demonstraram os mesmos serem os primeiros vírus disseminados largamente que incorporavam o conceito de polimorfismo, por mudar sua aparência a cada nova infecção, confundindo as heurísticas ortodoxas de detecção. Desde então se tem observado uma corrida pela implementação de novos conceitos, tanto nos vírus, quanto nas heurísticas e engenhos de detecção.

A ameaça se agravaria em breve com a disponibilização, em 1992, do DAME (Dark Avenger Mutation Engine), uma caixa de ferramentas que permitia transformar vírus comuns em espécies polimórficas, seguido logo depois de uma iniciativa que causou muita consternação à época: o VCL (Virus Creation Laboratory), um kit completo para a criação de novos vírus. Tais ferramentas, é ocioso dizer, potencializaram tanto a produção em massa de espécies ainda desconhecidas, quanto a disseminação de novas cepas.

As crenças se voltam contra os crentes

Nessa época, diante das características até então observadas, algumas crenças começaram a ser disseminadas na comunidade de usuários, e entre elas a de que somente arquivos executáveis típicos poderiam ser infectados. Paralelamente também surgiram aconselhamentos aos usuários, amplamente divulgados e aceitos, para que somente confiassem em anexos de e-mails oriundos de pessoas conhecidas. Tal informação massificada, que redundava em previsões sobre o comportamento futuro dos usuários, como é de se esperar, não passou em branco para os artífices da ameaça.

Hoje, no conforto da observação em perspectiva histórica, pode-se questionar a validade, generalização e eficácia de tais medidas, mas com o que se conhecia do cenário à época, tais iniciativas aparentavam fazer bastante sentido. O problema evidente nessa linha de pensamento, no entanto, residia em que tais medidas se baseavam em duas premissas não muito confiáveis: a de que estariam esgotadas a motivação e a fonte de novos conceitos embarcáveis nos vírus, bem como estaria estagnada a evolução da própria tecnologia-vítima, no que concerne aos sistemas operacionais e serviços. A experiência demonstra, no entanto, que não é seguro vaticinar sobre limites da inteligência humana.

Tais crenças que surgem periodicamente, e em particular na área de segurança da informação, são bastante comuns entre os usuários (especialistas ou não), que as tomam como verdadeiros axiomas. Isso pode ser explicado, pelo menos em parte, pelo comportamento inerentemente humano, na incessante busca por uma panacéia para um problema incômodo diante do qual se vê, eventualmente, impotente. É, pois, inerente à natureza humana a busca por um instrumento, ferramenta ou procedimento, eficaz contra qualquer ameaça. Tal comportamento dos usuários e informatas em geral, caracteristicamente dogmático e bem conhecido pela comunidade de segurança da informação, é extensiva e eficazmente usado pela ameaça para seus propósitos.

Com efeito tal previsão não tardou a se concretizar, deixando os usuários crentes perplexos, por um lado, e os informatas indignados, pelo outro. Em 1999 uma nova abordagem começou a ser utilizada, ainda que pelo uso de um vetor bastante conhecido (e-mail), mas por meio de uma técnica ainda desconhecida, ao utilizar arquivos anexados até então aparentemente inofensivos (porém igualmente danosos), fato agravado pela exploração das relações pessoais de confiança entre os usuários da rede. A espécie conhecida como Melissa, disfarçada de comandos macro embarcados em documentos criados por processadores de texto populares e anexado num e-mail, era enviado a endereços constantes na agenda do Microsoft Outlook do usuário infectado. Esse novo conceito resultou na infecção mais rápida conhecida até então, estimada em 1 milhão de computadores tipo PC, apenas nas primeiras 48 horas após sua primeira infecção conhecida.

Como uma mandala, e previsivelmente, nova crença se seguiu: a de que bastava que o usuário não executasse o eventual conteúdo de um e-mail para evitar uma infecção. Isto, de fato, se mostrou uma profilaxia válida para o caso específico do Melissa, mas não necessariamente para o caso geral de vírus dissemináveis por correio eletrônico. Aproveitando-se de características da tecnologia-alvo, o Bubble Boy entrou na história como o primeiro malware que não dependia da abertura, pelo usuário, de um arquivo anexo a um e-mail para que a infecção se perpetrasse. Esses novos conceitos, por se mostrarem eficazes, foram imediatamente implementados em vários novos vírus hoje bastante conhecidos, e entre eles encontra-se a espécie denotada por The Love Virus (mais conhecido como ILOVEYOU), que adicionalmente furtava usernames e passwords, e as remetia a um certo endereço na rede, provavelmente acessível pelo autor do mesmo.

Logo após o atentado de 11 de setembro de 2001 o Nimda vira notícia por atingir rapidamente centenas de milhares de computadores no mundo inteiro, fato explicado por implementar simultaneamente 5 diferentes métodos de infecção. Não muito tempo depois o Sircam, o CodeRed e o BadTrans, por conceitos bastante semelhantes, também causaram muitos problemas por algum tempo.

Com o incremento das formas de infecção, a espécie worm conhecida como Slammer (a.k.a. Sapphire) tornou-se pouco depois a de maior velocidade de disseminação, alcançando 75.000 computadores em aproximadamente 10 minutos de sua liberação. Em seguida o MyDoom (também tecnicamente um worm), inova por se espalhar também pela funcionalidade de compartilhamento de arquivos em rede, permitindo inclusive o acesso remoto ao disco rígido do equipamento infectado. O alvo primário identificado tratava-se do SCO Group (Santa Cruz Operation, na época um conhecido fabricante de um sistema operacional baseado no Unix, o SCO Unix), que ofereceu publicamente uma recompensa de US$ 250 mil por informações que levassem a identificar seu autor. A propósito, como não há evidências conhecidas de que o SCO Group tenha oferecido um único cent para quem resolvesse rapidamente o problema do seu próprio produto vulnerável, tal fato fez com que surgisse uma corrente de pensamento que acabou por concluir que os fabricantes de produtos vulneráveis, ao terem seu sossegado cochilo interrompido pelo som da campanhia para receberem uma carta com uma notícia desta natureza (que usualmente vai de encontro ao seu discurso/propaganda), sempre aproveitam a ocasião para uma vendetta, assassinando o carteiro.

Arsenal para a Ciberguerra

Como a proposta deste post-biografia é ser (muito) breve, pode-se dizer, grosso modo, que a coisas andaram nesse vai-e-vém desde então, sem mudanças paradigmáticas significativas. No entanto, muito recentemente, o Stuxnet (também um worm), causou (e ainda causa) bastante apreensão ao explorar vulnerabilidades no sistema operacional da Siemens denotado por SCADA - Supervisory Control and Data Acquisition), que é um sistema utilizado para operação e controle de, entre outras coisas, plantas de enriquecimento de urânio.

Descoberto em meados de 2010 por conta de vários sintomas apresentados na operação de uma planta de enriquecimento de urânio no Irã (e isso fez com que vários dedos acusadores apontassem diretamente para Israel, como suspeito de sempre), pelo que se conhece oficialmente (mas há quem duvide disso, por razões óbvias), o Stuxnet foi o primeiro malware a embarcar um rootkit 100% funcional especificamente para atacar infra-estruturas críticas de geração de energia de estados/nações. Pelo divulgado até agora, no entanto, além do Irã, também foram afetados pelo worm a Indonésia, os Estados Unidos, a Austrália, a Inglaterra, a Índia, a Malásia e também o Paquistão.

Não é sem razão, portanto, que as termelétricas, hidrelétricas e outras infra-estruturas de geração de energia (todas elas evidentemente infra-estrutura crítica de qualquer país), todas elas também usuárias - e com fortíssima dependência - de sistemas informatizados igualmente dedicados, assim como também as infra-estruturas de distribuição e operação de energia de tais sistemas geradores, já são considerados alvos, pelo menos em tese, equiprováveis. A rigor, a lista de candidatos-alvo é bem mais extensa, não se limitando apenas ao setor energético, mas sim o setor industrial quase como um todo.

Entre as razões para tanta apreensão estão os fatos:

  • Não tanto a geração mas (e principalmente) tanto distribuição de energia bem como as estruturas de operação/controle da malha energética estão cada vez mais integradas, por conta de alguns importantes e bem conhecidos benefícios funcionais e de contingenciamento. Na prática, portanto, menos estanques tecnologicamente;

  • São (muito) poucos os produtos e fabricantes de sistemas dedicados a esta tarefa, extremamente especializada, e (muito) poucos países (fabricantes) a dominam. Enquanto esse cenário aparenta não ser muito diferente no que concerne aos fabricantes de sistemas operacionais não-dedicados (Windows, Unix...), estes são bem mais escrutinados pelos usuários por conta da enorme base instalada, tornando seus problemas mais evidentes a todos e resolvidos bem mais rapidamente. Isso, sem surpresa, torna a infra-estrutura industrial dos países compradores reféns de possibilidades tecnicamente palpáveis como os Worms e Cavalos de Tróia, entre outros, em caso de sério conflito entre aqueles e os países vendedores;

  • O Stuxnet tinha claramente como objetivo estratégico o SCADA, até por conta de suas possibilidades, mas para chegar até lá explorou vulnerabilidades em outras camadas anteriores. Entre elas, e não supreendentemente, algumas das vulnerabilidades do Windows (reforçando sua má fama de sempre estar no topo de qualquer lista de suspeitos). Este, ainda que mais escrutinado e conhecido que o SCADA, oferendo pouca resistência, permitiu a intrusão em maior profundidade;

  • Apenas para a camada Windows, o Stuxnet se utilizou de 4 (quatro) ataques zero-day, mais uma vulnerabilidade já conhecida como CPLINK, e também uma outra vulnerabilidade já anteriormente explorada pelo também worm Conficker. Adicionando-se a isto o que foi feito às outras camadas, tudo isso coloca o Stuxnet bem além do que poderia ser considerado apenas mais uma espécie comum da fauna digital;

  • Não é preciso muito esforço para se admitir que os interessados na manutenção do status quo (i.e. os governos estabelecidos), a depender das circunstâncias, terão motivação suficiente para atacar a infra-estrutura de TI de suporte ao negócio dos seus adversários, mas a estória não se encerra aqui. Contrastando com um conflito convencional, ataques às infra-estruturas de tecnologia de suporte à indústria podem acontecer mesmo sem a menor participação de governos, e mesmo à completa margem destes. As guerras convencionais que já foram decididas (pelo menos simbolicamente), via combate singular entre representantes, culminando com confrontos entre nações inteiras usando uma enormidade de efetivos e material, na variante ciberguerra está a assumir uma nova configuração. Uma vez que um ciberataque dispensa tanto recursos econômicos dignos deste nome, efetivos militares convencionais, material bélico, além de toda uma enorme e complexa logística associada, estes podem ser bancados, planejados, implementados e disparados por um único sujeito (um civil, por que não?), este certamente extraordinário, mas com recursos provavelmente ordinários.

Tangenciando o foco deste post vale lembrar que, há algum tempo atrás, rumores disseminaram uma teoria de que, salvo engano de minha parte e dependendo da versão do rumor, todo um efetivo aéreo de caças de fabricação norte-americana (mas sob outra bandeira) ficaram estranha e repentinamente com parte da sua eletrônica embarcada inoperante ou em disfunção, às vésperas de um conflito iminente em que, ainda segundo os rumores, "os americanos não estariam interessados na causa dos compradores de seus equipamentos". Observem que, mesmo que o rumor não refletisse a verdade (até porque, convém não esquecer, a estória é reconhecida como apócrifa), isso não implicaria necessariamente que não faria absolutamente nenhum sentido, numa visão mais ampla, caso verdadeira.

Dizem que a história, quando se repete, usualmente ocorre como uma farsa. Segundo muita gente competente, e em linha gerais, os conflitos aparentam ser motivados ou pela tentativa de mudar o status quo (por quem está incomodado com uma situação como esta se apresenta no momento), ou para exatamente o oposto, ou seja, manter o status quo (por quem está confortável com ela, naturalmente).

Assim sendo, uma vez que razões mesmo que opostas aparentam impelir as partes na direção do conflito, resta estar a postos para quando este ocorrer, e isso nos remete ao conhecido adágio Si vis pacem, para bellum, onde cada jogador tenta montar o cenário mais favorável a si de forma a impor sua vontade rapidamente. Quando surge um jogador completamente indiferente às regras artificialmente impostas, e tira da manga um tabuleiro completamente diferente recusando qualquer outro, todos os alarmes disparam.

Não vou estranhar, portanto, que as Convenções de Genebra, em alguma data no futuro, passem a incorporar também protocolos ou outros dispositivos sobre a CiberGuerra e suas "armas" (malwares, por exemplo), como já o fez com certas armas convencionais. O objetivo não é outro, senão ajustar o cenário e os atores de forma que ocorram somente os (sempre previsíveis, e portanto desejáveis) conflitos convencionais, onde a força tende a se impor por conta do enormes orçamentos e recursos militares que só os grandes podem dispor. Para o (ciber)terrorismo, onde regras de quaisquer espécie são olimpicamente desprezadas, pois não atendem aos seus interesses, isso equivale e se tentar revogar a lei da gravidade por meio um decreto. No vernáculo: com o peso da balança começando a pender ameaçadoramente para o outro lado, são os meios, ainda que exdrúxulos, tentando impor os conhecidos fins (a depender do ponto de vista de cada interessado): mudar ou manter o "status quo", para uns, ou retornar ao "status quo ante", para outros.

O trabalho de Sísifo

Com poucas variações, a história tem se mostrado algo cíclica. A evolução do desenvolvimento dos malwares demonstrou um ritmo inesperado, profícuo em abordagens inovadoras e explorando crenças e vulnerabilidades das tecnologias usadas nos ambientes de TI, sistemas embarcados, e agora em infra-estruturas críticas. Apesar de cientes das imperfeições das analogias, não seria de todo imprudente supor que os engenhos de detecção, por filosofia e construção, aparentam sofrer de limitação à qual também está submetida, grosso modo, a indústria farmacêutica: como produzir um medicamento ou vacina para um mal ainda desconhecido?

A tecnologia dos malwares, como qualquer outra tecnologia (a bomba atômica, por exemplo), não tem como ser "desinventada". Superar a limitação dos sistemas-alvo conhecidos, reconhecidamente vulneráveis, de forma a se recolocar definitivamente o gênio de volta para dentro da garrafa, pressupõe uma abordagem revolucionária e ainda não há perspectiva otimista séria de quando isso possa vir a acontecer. A rigor, a tecnologia (e portanto a eficácia) dos malwares está intimamente associada à tecnologia (e portanto às vulnerabilidades) dos sistema-alvo. Enquanto estes não mudarem radicalmente sua concepção e tecnologia, haverá alvos vulneráveis para a ameaça.

Talvez já seja hora de retornar à pergunta ainda pendente que finalizou o terceiro parágrafo deste post. Ao que tudo indica, as estratégias de defesa tem priorizado desenvolver e aplicar uma política de contenção focando muito mais na ameaça, que nas vulnerabilidades dos sistemas.

A situação como se apresenta atualmente, portanto, confere à comunidade de usuários de TI (e de quaisquer negócios em que a TI dê suporte) uma condição, para todos os efeitos, de duplos-reféns: da iniciativa e criatividade da ameaça, por um lado, e das vulnerabilidades dos sistemas que utiliza, pelo outro. Uns chegam a afirmar que, com as abordagens e tecnologias convencionais adotadas pelos anti-vírus convencionais, não há como "ganhar uma guerra" onde, tal como o mítico Sísifo, estamos condenados a "limpar" periodicamente nossos computadores, ad infinitum. Outros chegam à beira do fatalismo, ao defenderem que os vírus são simplesmente "inevitáveis". Nem todo mundo concorda – Marco Carnut, por exemplo, propõe uma abordagem alternativa para manter nossos computadores próximos da condição inicial pós-instalação, indefinidamente e sem muito esforço.

Para evitar o pânico (e as suas perdas comerciais) sobre os riscos aos quais estão submetidos os sistemas de TI que suportam as infra-estruturas (energia, água, telecomunicações, transportes etc), os fabricantes continuam a repetir o velho e monotônico mantra (que os fatos, simplesmente, rejeitam): de que estes são sistemas (super, hiper, mega) especiais, críticos, e portanto são cuidadosamente concebidos, projetados e implementados, de forma que não possuem tantas vulnerabilidades exploráveis como afirmam alguns arautos do juízo final.

Teriam tais fabricantes inventado tecnologia e engenharia de software desconhecidas do público, tão revolucionárias e eficazes quanto secretas, de forma que as vulnerabilidades no software existiriam apenas nos sistemas operacionais de propósito geral que nós, meros mortais, usamos diariamente? Antes de tentarem responder a essa pergunta, sugiro que cliquem neste link aqui, postado poucas horas atrás.

Comentários
Aceita-se formatação à la TWiki. HTML e scripts são filtrados. Máximo 15KiB.

 
Enviando... por favor aguarde...
Comentário enviado com suceso -- obrigado.
Ele aparecerá quando os moderadores o aprovarem.
Houve uma falha no envio do formulário!
Deixei uma nota para os admins verificarem o problema.
Perdoe-nos o transtorno. Por favor tente novamente mais tarde.