Michael Stanton

WirelessBrasil

Ano 2000       Página Inicial (Índice)    


30/10/2000
A invasão da Microsoft: o rei está nu

Não é de hoje que as pessoas criticam as brechas de segurança que caracterizam os principais produtos da Microsoft, onde aumentar o número de "facilidades" (features) é preferível a tornar o software mais seguro. Tratei deste assunto na primeira coluna publicada neste espaço (7 de junho), depois dos ataques do verme "ILOVEYOU", e outros autores examinaram o assunto em maior profundidade (veja, por exemplo, slate.msn.com/Features/lovebug/lovebug.asp). Recorda-se que esse contágio foi espalhado pelo correio eletrônico, e replicado pela simples abertura de um attachment incluído numa mensagem recebida de um conhecido. Foi enorme o número das suas vítimas, pois estas acreditavam que não poderiam ser maléficos uma mensagem e seu attachment recebidos de origem tão confiável. (Este tipo de ataque é conhecido genericamente como um "cavalo de Tróia", depois da invasão ingeniosa dessa cidade pelos gregos, recontada na poesia de Homero.) Comenta-se que foram dezenas de milhões de vítimas no mundo todo, e que o custo total dos estragos somaram vários bilhões de dólares, pela perda de produção das máquinas afetadas, enquanto elas não foram recuperadas. É importante observar que este verme não era muito sofisticado, pois seu efeito era apenas de se reproduzir, ao custo de canibalizar recursos de cada sistema invadido, assim revelando logo sua presença.

Apontada a extrema facilidade de enganar as vítimas deste tipo de ataque, era apenas uma questão de tempo antes de aparecerem ataques mais sofisticados, onde não seria revelada imediatamente a presença do contágio. Em julho foi encontrado o verme QAZ (www.F-Secure.com/v-descs/qaz.htm), que também seria espalhado pelo correio eletrônico, mas era muito mais sutil. O QAZ tem dois componentes. Um efetua algumas modificações simples no sistema (Windows, evidentemente): primeiro garante que será sempre ativado quando ligado o computador, segundo se disfarça como o comando notepad.exe, mudando o nome do programa original com este nome para note.com, e finalmente promove sua propagação através da sua instalação em todos os demais computadores na rede local, onde seria possível escrever nos seus discos remotamente (usando recursos de compartilhamento de discos de Windows). A contaminação de um sistema por QAZ é comunicada através do envio de uma mensagem de correio eletrônico para um endereço na China. O outro componente de QAZ abre uma porta de fundos para a máquina atacada, possibilitando seu controle remoto através da Internet. Entre os comandos disponíveis a um usuário remoto através desta porta é a carga de um outro programa (arbitrário) pela Rede, e sua ativação subseqüente.

Desde agosto as empresas de software antiviral passaram a incluír o QAZ no elenco de vermes tratados. Porém, neste jogo de gato e rato entre atacantes e defensores, a iniciativa sempre fica com os primeiros. Foi o que aconteceu agora com a Microsoft. A Microsoft já havia sido atingida em cheio pelas vermes "Melissa" e "ILOVEYOU". Neste último contágio, seus servidores de correio ficaram desligados durante dois dias, para efetuar a descontaminação. Na semana passada, a Microsoft anunciou ao mundo que havia sido descoberta uma invasão que usara o verme QAZ para abrir a porta. Havia sido atingida a rede interna onde estavam armazenados os programas fonte dos seus principais produtos (os sistemas operacionais da família Windows, as aplicativos de Office) e estes foram copiados pelos atacantes, tendo sido enviadas as cópias para um endereço na Rússia. Pior, o exame dos registros de atividade revelou que a invasão poderia ter durado três meses antes da sua descoberta. Finalmente, a Microsoft "achava" que não haviam sido modificados os programas-fonte em questão.

Sem sombra de dúvida, esta invasão representa uma marca importante na história da Internet e sua segurança, comparável com o verme de Morris em 1988. A seqüência de eventos suscita vários comentários. Em primeiro lugar reforça a opinião de que os produtos da Microsoft estão excessivamente vulneráveis à ação de delinqüentes. Até a própria empresa se tornou vítima destes defeitos - um caso claro do feitiço virando contra o feiticeiro. Foi inclusive revelado que o verme QAZ havia sido criado usando Visual C++, uma das principais ferramentas usadas pela Microsoft para produzir software!

Em segundo lugar, podem ser examinadas as conseqüências do acesso aos programas fonte dos seus produtos. Aqui tem dois aspectos: a divulgação destes programas, e sua eventual contaminação. Microsoft sempre manteve sigilosos os seus programas fonte, considerando-os patrimônio intelectual da empresa, e abrindo-os apenas para empresas colaboradoras, sujeito a contrato de não divulgação. A informação contida neles poderia ser útil para uma concorrente, ou poderia até ser colocado no domínio público, revelando os segredos industriais do gigante do software. Por outro lado, é considerada pouco provável a eventual contaminação destes programas nos servidores da Microsoft, para diminuir ainda mais sua segurança ou sua correção, pois a empresa já teria sido iniciado um exame minucioso de todas as modificações deste programas registrados nos últimos três meses, para identificar a origem de cada uma.

Talvez o mais importante é que foi demonstrada a vulnerabilidade de uma empresa que tinha tudo para ficar livre deste tipo de problema. Se a Microsoft pode ser invadida desta maneira, quais são as chances de outras empresas menores contra este tipo de ataque? O verme QAZ já foi identificado, mas uma pequena reflexão deve revelar que outros vermes semelhantes ou ainda mais sutis virão na sua esteira, podendo ser usados para alvejar empresas específicas. Comparado com "ILOVEYOU", que não tinha sutileza nenhuma, um verme desta nova estirpe poderia se estabelecer e trabalhar por muito tempo sem se revelar. Como pode ser realizada uma defesa contra este tipo de contágio? Uma resposta radical foi aquela proposta na coluna de 7 de junho, de procurar alternativas menos vulneráveis do que os produtos da Microsoft. Evidentemente, muitas empresas já investiram bastante em "soluções" da Microsoft, e não querem ou não ousam abandonar este investimento. No caso destas empresas, só resta sugerir que invistam também em medidas adicionais de segurança, certamente na linha de vigilância permanente advogada por Bruce Schneier, e descrita na coluna de 23 de outubro. Como Schneier diz, todas empresas enfrentam riscos. Acabamos de descobrir que os riscos são maiores do que se pensava.