May 30, 2005 – 11:55 am
Na tradicional pregação quanto à segurança eu sempre menciono o uso de trojans e backdoors em estações de usuários como uma ameaça séria. A coisa pelo visto está acontecendo, como podemos ver nesta notícia:
http://www.jpost.com/servlet/Satellite?pagename=JPost/JPArticle/ShowFull&cid=1117333096614
Pedaços de livros ainda sendo escritos roubados…será que os principais escritores do mundo, incluindo colunistas, jornalistas, etc, tem as noções básicas de segurança no uso do e-mail? Qual o risco de um trojan como esses na máquina de um jornalista investigativo? Imaginem o valor das informações da máquina de um funcionário da Veja nesses últimos dias, com as denúncias pipocando.
O mais interessante aí é que os “especialistas” normalmente dizem que atualizar o Windows, usar um firewall pessoal e um antivírus é a solução. Agora, quem disse que o antivírus vai ter a assinatura de um trojan feito “sob medida” para um caso desses? Ele não existe “in the wild”, dificultando muito a ação das empresas de antivírus. Além disso, é trivial criar um trojan que usa os recursos que tem acesso liberado à Internet no firewall para enviar as informações roubadas ao criador do trojan. Eu já cheguei a fazer em VB, em uma tarde, com meus mega-hiper-limitados conhecimentos de programação, uma prova de conceito que envia informações da máquina de maneira sorrateira via HTTP. O programinha usa componentes do IE, que obviamente já está autorizado a acessar a Internet em quase todos os firewalls pessoais instalados por aí.
Que arrumem o firewall para identificar o uso dessa técnica, vão dizer meus colegas. E lá vamos nós de novo correr atrás do próprio rabo, em uma gigantesca rodinha de fazer rato correr. Não vai funcionar. É mais um “teclado virtual”, solução mágica que só foi eficiente por algumas semanas e que custou uma fábula aos bancos.
OK Augusto, e aí, aonde você quer chegar com esse FUD todo? O ponto é que o usuário executa código desconhecido em sua máquina a todo momento. A partir daí, qualquer coisa é possível. Não tinha aquele cara que apareceu no New York Times, com cara de Sr. Todo Poderoso do Mal, a la O PROFESSOR, dizendo que conseguia quebrar a segurança das conexões SSL? Sabe como ele fazia? Enviando um e-mail para a vítima com um programinha que desabilitava os avisos de segurança do IE. Caramba, assim até meu cachorro faz isso (alias, não entendo porque alguém com a oportunidade de rodar código na máquina da vítima vai querer desabilitar as checagens de segurança do IE, sendo que pode fazer coisas muito mais efetivas)! Rodando código na máquina da vítima você manipula DNS, captura teclado, desabilita antivírus e o que mais houver de segurança rodando. É claro que cada coisa exige um certo nível de conhecimento, mas não há impossibilidades técnicas. Quer dizer que o problema não tem solução?
Se as pessoas continuarem rodando qualquer executável bonitinho que aparece pela frente, não tem mesmo. A gente pode forçar o uso de contas menos privilegiadas, como costuma acontecer no mundo Unix/Linux, mas nem sempre é possível. O foco deve ser na conscientização do usuário quanto ao que significa abrir um anexo executável, ou mesmo clicar em um link de um e-mail suspeito (ele precisa também aprender quando um e-mail é suspeito!). Algumas premissas são imutáveis. Enquanto houver código não confiável sendo executado, as ações de segurança possíveis terão sucesso limitado. Por enquanto, não há solução mágica, a não ser ensinar às pessoas que usar um computador é diferente de operar um liquidificador. Ou, se preferir, mostrar que o que elas estão fazendo equivale a enfiar a mão no copo com ele funcionando 
