Esta semana trazemos para vocês uma entrevista concedida pelo diretor do Laboratório da Panda Security (PandaLabs) Luis Corrons:

O conceito de vírus tem evoluído no tempo, agora encontramos o termo Malware; em geral, quais são as categorias de malware que estão na internet, ou quais são as principais e pode que nem muito conhecidas?

Pois é, antes basicamente tínhamos vírus, worms (vermes) e trojans. O termo Malware vem sendo utilizado faz menos de 10 anos e apareceu como causa da grande quantidade de novos tipos de software malicioso. Uma das formas que poderíamos classificar o malware é dividindo ele. Entre o malware clássico estão os tradicionais vírus, worms, e trojans, rootkits, exploits, adware, dialers e cookies. Temos outra categoria onde temos o cibercrime onde aparece o spyware, phishing, spam, etc. Em qualquer caso, o cibercrime é transversal ao tipo de malware, já que qualquer tipo de código malicioso pode ser aproveitado pelos ciber-criminosos. Como aparece no grafico abaixo, onde aparece as novas amostras recebidas pela PandaLabs em 2009, 66% de malware foi trojans, depois adware, vírus, e spyware. Os worms e outras categorias não chegam a 5% do total:

A explicação disto é muito clara: o trojan é a melhor ferramenta para roubar senhas, e até para controlar um computador completamente.

Os criadores de malware passaram de ser apenas técnicos com curiosidade para “empresários da insegurança”, isto é real, ou continuam sendo os “adolescentes curiosos” os responsáveis pela maior parte dos ataques de malware?

Sim, isto é real. Como você corretamente sinaliza, nos últimos anos temos sido testemunhas de uma mudança na dinâmica do malware causado por uma evolução nos motivos dos autores. Antes o que movimentava era a fama. Agora o motivo é apenas econômico: os hackers estão virando profissionais. Até 2004 as epidemias massivas eram cada vez mais rápidas e seus efeitos sempre muito evidentes. Buscava-se repercução na imprensa. Todos nós lembramos de “I love you” ou do “Blaster”.

Hoje temos a falsa percepção que não tem este tipo de epidemia. Porém, os dados são alarmantes e demonstram com total claridade, não apenas que tem muito mais malware que antes, mas que a motivação dos autores de malware tem mudado. A motivação é econômica, e existe toda uma indústria por trás que financia e impulsiona fazendo que estas pessoas estejam tornando-se profissionais cada vez mais capacitados. Por este motivo, cada dia são utilizadas tecnologias mais avançadas e o malware é cada vez mais sofisticado, desenvolvido especialmente para não ser detectado. Por este motivo, o novo malware é muito mais difícil para se combater.

Evidentemente, para todos os que fazem dinheiro ilegalmente é muito melhor ser sigiloso e pelo tanto, os autores de malware não estão interessados em criar epidemias, aparecer na mídia ou se fazer conhecer. As amostras de malware se fazem cada vez mais sigilosas, ocultam-se. Os hackers utilizam técnicas de ocultamento mais sofisticadas, por exemplo a utilização de rootkits entre outras técnicas.

Por este motivo as epidemias massivas tem mudado, agora falamos de epidemias sigilosas. Não porque sejam menos massivas, mas porque são menos evidentes e dificilmente o usuário fica sabendo delas. Os usuários infestados não sabem que em quanto utilizam seus PCs e notebooks (em casa e na empresa), estes sendo controlados por uma terceira pessoa para executar qualquer tipo de ação maliciosa.

Como tem sido a evolução (em números) do malware nos últimos anos? Panda Security nasceu no 1990 (nesse momento Panda Software), desde então, generalizou-se a internet (entre o 95 e 99) como tem aumentado a quantidade de malware detectado no mundo?

Temos passado de receber umas 400 amostras no mês, até a atualidade, 55.000 amostras por dia!!! A tendência de crescimento exponencial tem se mantido nos últimos anos, apenas no ano de 2009 foi detectado mais malware que em todos os anos anteriores juntos.

Recentemente as tecnologias têm evoluído para a nuvem, Panda tem levado a dianteira com várias tecnologias e produtos. Como estas novas tendências afetam a área de segurança e como você acha que irá evoluir?

Efetivamente, a Panda Security tem ficado um passo na frente em tecnologias e produtos na nuvem. Isto nos tem permitido recolher dez vezes mais amostras de malware que as empresas de antivírus tradicionais. Panda é a primeira empresa de segurança que tem estas tecnologias, infra-estrutura, conhecimento e experiência para aplicar este novo modelo de Inteligência Coletiva aos produtos disponíveis no mercado. Baseados na Inteligência Coletiva os produtos da Panda oferecem uma melhor proteção com menos consumo de memória e reduzindo o

impacto no PC. O modelo de segurança na nuvem ira evoluir á segurança como serviço. Em muito pouco tempo a maioria dos produtos irão ser serviços gerenciados sem necessidade de instalar nada no computador.

Quantos arquivos recebem por dia para análises no laboratório e quais são os passos para uma amostra enviada por um usuário vire uma vacina e desinfecção?

Atualmente estamos recebendo uns 75.000 arquivos diários, dos que 55.000 são malware. Até o ano 2009, tínhamos contabilizado mais de 40 milhões de novos vírus. Nossa previsão para finais de 2009 era de 30: nossa previsão ficou, lamentavelmente, muito curta.

Os passos principais têm mudado muito de como era feito anteriormente. O sistema de Inteligência Coletiva é uma tecnologia muito inovadora, é um sistema automatizado que analisa e classifica milhares de amostras novas produzindo veredictos (malware ou goodware) de forma automática. Este sistema é a base da Inteligência Coletiva, o novo modelo de segurança da Panda Security que permite detectar novos malwares que não forem classificados corretamente incluso por outras soluções de segurança.

Este sistema foi desenvolvido pela Panda Research e fica na rede de datacenter`s da Panda, gerenciados diretamente pelo PandaLabs (Laboratório de analises da Panda). O sistema coleta e salva de forma centralizada informações e logs do comportamento de programas maliciosos, características de arquivos, e novas amostras de malware enviadas ou coletadas pela comunidade. Esta extensa capacidade de coleta de informação aporta uma maior visibilidade das ameaças que estão ativas na internet.

A continuação, analisa e classifica automaticamente as milhares de amostras por dia, para isto o sistema inteligente, compara os dados recebidos pela comunidade com o banco de dados de malware conhecido pela PandaLabs. Com esta correlação de dados o sistema gera uma resposta afirmativa ou não sobre o risco de ser vírus do novo arquivo (malware ou goodware).

Por último, o conhecimento extraído é entregado aos usuários pelas vacinas automáticas, ou diretamente pelos serviços na nuvem.

No momento, 4 milhões de computadores formam parte da rede de Inteligência Coletiva (comunidade) da Panda Security. O 99,4% do malware detectado pelo PandaLabs já é analisado por este sistema. Isto é complementado pelo trabalho de vários equipes especializados em cada tipo de malware (vírus, worms, troyans, spyware, phishing, spam, etc) que trabalham 24 horas por 7 dias na semana.

Luis, nos fale sobre algum tipo de vírus, rootkit, etc que tenha chamado sua atenção pela tecnologia ou funcionamento.

Não é tanto que tenha nos chamado a atenção pelo funcionamento, mas como tem mudado as vias de distribuição. As redes sociais (principalmente Facebook, twitter, Youtube ou Digg), assim como os ataques SEO feitos por websites falsos (fakes). Estas técnicas tem sido as preferidas pelos cyber-criminosos que tem consolidado o modelo de negocio underground aumentando consideravelmente seus benefícios.

Uma das famílias de malware que mais tem dado o que falar nos últimos anos é a família dos rogueware ou falsos antivírus. Estas aplicações levam vários anos em circulação, mas só no inicio de 2008 quando tem aparecido de forma massiva. Lembremos que se trata de aplicações que simulam ser soluções anti-vírus e detectam varias ameaças inexistentes nos computadores das vítimas. Porém, quando os usuários tentam eliminar estas ameaças utilizando esta aplicação (rogueware) é solicitado que comprem a licença. Evidentemente todo isto esta acompanhado por avisos e alertas falsas de forma contínua, por um lado, para preocupar o usuário, e por outro, para acabar com a paciência e conseguir assim que comprem a licença.

Cada dia aparece novas versões, praticamente idênticos entre eles, utilizam os mesmos ícones, interface, mensagens de alerta, normalmente o único que muda é o nome.

Existe algum procedimento ou dica especial que nos permita dormir mais tranquilos, quando temos estas milhares de pragas?

Não existe uma dica especial, mas utilizar o sentido comum é de muita utilidade. Como segunda coisa, instalar todos os patchs de segurança do software que usamos (aplicações e sistema operacional). Como terceira recomendação, ter um bom firewall e antivírus instalado e atualizado.

Panda faz algum tempo que tem incrementado muito sua presença nas comunidades online (twitter, blogs, etc), qual é o motivo e qual é a melhor forma de ficar por perto das novidades?

Pois é, na Panda estamos convencidos da utilidade das redes sociais e dos blogs para não apenas informar, mas para escutar as sugestões e comentários sobre nossos produtos, soluções, suporte técnico, etc. Queremos estar abertos a tudo o que rodeia a segurança e estabelecer um canal de comunicação com a comunidade.

É necessário informar, e educar sobre a segurança. Isto é uma tarefa a fazer dia a dia e temos que fazer um espaço na mente dos usuários para melhorar a situação que lamentavelmente cada dia fica pior.

Twitter, Facebook, e nossos blogs são a melhor forma de nos fazer chegar perguntas e sugestões, também pode ser via e-mail ou telefone. O importante é receber um feedback para fazer de nossa empresa e produtos os melhores dia após dia.

Tem alguma outra coisa que queira compartilhar?

Uma proposta assim é perigosa (rsrsrs), se começo a falar posso passar horas sem ficar calado. Meu último conselho, naveguem pela internet e desfrutem, mas sempre sejam precavidos. Se quiserem podem me seguir no twitter: http://twitter.com/luis_corrons e Obrigado a KuboIT pela oportunidade.