Um antivírus é capaz de detectar uma praga desconhecida usando técnicas de “heurística”? Um software antivírus, sozinho, pode ser capaz de detectar todas as pragas? A rede Tor é mesmo uma rede anônima segura, ou é uma rede espiã? Confira as respostas no pacotão da coluna Segurança para o PC de hoje. E não esqueça de deixar sua dúvida na área de comentários, que agora não exige mais cadastro.

Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e utilize a seção de comentários, que está aberta para todos os leitores. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.

>>> Análise Heurística
Um ataque direcionado (com um vírus modificado e inédito) não pode ser detectado pela análise heurística de um antivírus?
Carlos Eduardo Cariado


Antivírus não têm 'receita mágica' para detectar pragas desconhecidas.Antivírus não têm 'receita mágica' para detectar
pragas desconhecidas. (Foto: Divulgação)

“Heurística” é um termo um tanto mágico. Os fabricantes de antivírus falam muito das funções heurísticas dos produtos, que dão aos softwares a capacidade de detectar pragas digitais antes de elas terem sido analisadas e inseridas no banco de dados do programa. Mas “heurística” na verdade não descreve exatamente o que o antivírus faz para que isso aconteça.

Os antivírus hoje usam ainda outras ferramentas para detectar vírus desconhecidos, como por exemplo, a análise de comportamento.

Mesmo assim, em um ataque direcionado – ou seja, não estamos falando aqui de ataques “em massa” pela web – o atacante normalmente cria um vírus específico para a invasão planejada. Um invasor competente saberá qual é o antivírus usado pela instituição que ele planeja atacar, porque isso não é difícil de descobrir. Então o código malicioso pode ser testado nessa ferramenta de segurança para garantir que ele não seja detectado.

Vírus desconhecidos podem ser detectados de várias formas. Como empresas são os alvos mais comuns, existem controles em redes e sistemas empresariais que permitem detectar e visualizar anomalias nos sistemas ou no tráfego da rede, que imediatamente será modificado pela ação do vírus, seja por ele se espalhar na rede interna ou por enviar dados ao seu criador.

Um usuário doméstico estaria indefeso, mas esse tipo de ataque costuma atingir apenas corporações.

>>> Um antivírus pode detectar tudo?
Um único antivírus é capaz de remover todos os vírus do meu computador?
Ivan

Definitivamente não. Mas dá para ir mais longe: todos os antivírus, juntos, ainda não são capazes de detectar “todos” os códigos maliciosos. Um código recém criado ou direcionado, como o acima, pode ser feito para não ser detectado.

Isso não quer dizer que antivírus são totalmente inúteis. A tarefa do antivírus é proteger seu computador contra grande parte das pragas, mesmo que não consiga fazê-lo contra todas, e, além disso, detectar alguma invasão que possa ter acontecido no sistema. Com isso, você saberá que seu sistema foi comprometido e que ele não pode ser confiado, mesmo que nem todos os códigos maliciosos sejam detectados (uma infecção hoje em dia envolve vários arquivos bem diferentes que precisam ser colocados separadamente na base do antivírus).

E lembre-se: instalar dois antivírus não resolverá o problema. Em casos extremos, é melhor usar algum serviço como o VirusTotal para analisar o arquivo específico em vários softwares sem precisar instalá-los no seu PC.

>>> Tor: rede espiã?
Não haveria a possibilidade de o Tor ser justamente uma rede espiã para algum governo descobrir a identidade de pessoas que querem publicar informações (principalmente políticas) anônimas? É difícil acreditar que em um mundo de hipervigilância se consiga publicar algo anonimamente.
Marceleza
Na ponta final da conexão do Tor, computador 'nó de saída' tem acesso a todos os dados transmitido.Na ponta final da conexão do Tor, computador 'nó de
saída' tem acesso a todos os dados transmitido.
(Foto: EFF/Creative Commons)

O Tor é um excelente software para anonimato. Mas existem, sim, muitos “exit nodes” (nós de saída), que são os computadores responsáveis por transmitir as conexões, que capturam o tráfego que passa por eles. Alguns desses sistemas, há quem diga, são controlados por agências de segurança e inteligência de vários governos ao redor do mundo.

Outras exit nodes são controladas por indivíduos maliciosos ou que querem simplesmente pregar alguma peça. Ainda outras são controladas por pessoas que querem dar a manifestantes em países opressores a possibilidade de veicular as ideias de forma mais segura.

Os dados que circulam na rede Tor sem criptografia ou proteção adequada podem sim ser capturados. Embora o anonimato da rede em si seja um fato, a captura dessas informações pode, às vezes, atrapalhar o objetivo do anonimato se, digamos, um servidor de e-mail de um determinado local por acessado, há suposições que podem ser feitas a respeito da pessoa que está fazendo uso do serviço.

O Tor consegue transmitir informações de forma anônima, mas ele não torna segura a transmissão ou o acesso a qualquer lugar. Portanto, o Tor não é um programa que deve ser usado quando se quer segura, e sim quando se quer, especificamente, publicar ou acessar algo de forma anônima.

A coluna Segurança para o PC fica por aqui. Não esqueça de deixar sua dúvida nos comentários (que não exigem o cadastro nas colunas). Tudo que é deixado nessa área é lido e pode ser respondido como uma dúvida no próximo pacotão. Até lá!

* Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades. Na coluna “Segurança para o PC”, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários. Acompanhe também o Twitter da coluna, na página http://twitter.com/g1seguranca.