Hoje deparei-me com uma situação caricata quando enviei um email para para alertar um cliente de um problema de segurança, mais propriamente, denunciar a presença de um backdoor/shell no seu website.

Nesse email alojado na Netcabo, para além de acompanhar um texto introdutório do problema e a sua solução, enviei um screenshot da shell r57 (detectado em muitos antivírus).

Recebi uma resposta automática do Sr. Netcabo com a seguinte informação:

Na mensagem, “Problema de segurança no XXXXXXXXXXX”, que lhe foi enviada por “xxxxxxxx “, foi detectado um vírus “PHP/C99Shell.R”. O ficheiro infectado, “Body of Message”, foi automaticamente apagado pelo antivírus instalado nos servidores de mail da NetCabo.

Por um lado compreendo este tipo de solução de analisar possíveis conteúdos maliciosos mas considerar vírus o
texto no corpo do meu email (apenas referência ao termo “r57shell”) e um anexo de um screenshot com o titulo “screenshot-site.jpg”?

Pessoalmente já usei este serviço do clam num servidor de email e reparei que efectua muitos falsos positivos o que pode levar aos emails de envio a serem destinados a uma blacklist caseira ou ao “mau nome” do remetente.

De referir que a resposta automática da Netcabo veio como SPAM HIGH e que o cliente recebeu o email tal e qual como foi enviado sem qualquer referência de vírus.

DS

Um dos meus autores favoritos, Bruce Schneier, publicou um artigo sobre a importancia dos antivirus nos tempos que correm.

Saliento algumas partes que acho interessante:

Security is never black and white. If someone asks, “for best security, should I do A or B?” the answer almost invariably is both. But security is always a trade-off. Often it’s impossible to do both A and B — there’s no time to do both, it’s too expensive to do both, or whatever — and you have to choose. In that case, you look at A and B and you make you best choice. But it’s almost always more secure to do both.

Certainly security would be improved if people used whitelisting programs such as Bit9 Parity and Savant Protection — and I personally recommend Malwarebytes’ Anti-Malware — but a lot of users are going to have trouble with this. The average user will probably just swat away the “you’re trying to run a program not on your whitelist” warning message or — even worse — wonder why his computer is broken when he tries to run a new piece of software.

One of the newest trends in IT is consumerization, and if you don’t already know about it, you soon will. It’s the idea that new technologies, the cool stuff people want, will become available for the consumer market before they become available for the business market. What it means to business is that people — employees, customers, partners — will access business networks from wherever they happen to be, with whatever hardware and software they have.

In “Is Antivirus Dead?” by Bruce Schneier

Um dos pontos negativos de ter um antivírus passa pelo consumo de memória, processamento, disco, etc que tem num sistema operativo, principalmente no Microsoft Windows onde predomina o mercado dos antivírus. Existem alguma maneiras de suavizar este aspecto, por exemplo, uma restrição de permissões de acesso no sistema operativo ou o uso de uma “whitelist” de aplicações, deixando assim o antivírus apenas verificar emails e conteúdos web.

Programar um antivírus é uma tarefa bastante complicada principalmente quando lidamos com vírus que estão constantemente a sofrer mutações. É de máxima importância manter o antivírus actualizado para, de certa forma, minimizar ameaças ao seu sistema operativo.

Uma das soluções que tenho lido/visto por especialistas na área é a da integração de limites e bloqueios no núcleo do sistema operativo para que nenhuma entidade terceira possa usar engenharia inversa no sistema e insira registos de informação. A ver vamos num futuro próximo…

DS

Li agora na newsletter da Tek Sapo mais um estudo lançado pela empresa anti-virus Panda.

Espanha e os Estados Unidos são os países mais infectados com bots, malware utilizado para envio de spam e propagação de vírus. Portugal está em 13º do ranking, com 1% de todos os computadores infectados por bots, mostram os dados da PandaLabs relativos a Outubro.

De acordo com a Panda Security, estes programas permitem aos hackers controlar remotamente os sistemas que infectam e levar a cabo uma série de acções como o envio de spam e o download de vírus, worms e Trojans, entre outras ameaças à segurança.

Com 44,9% das infecções por bots a nível mundial, Espanha lidera de forma destacada este ranking, sendo seguida pelos Estados Unidos com mais de 14,4% dos computadores comprometidos e o México, com 9,3%. O 13º lugar de Portugal coloca o país numa boa posição nesta lista.

In “1% dos computadores infectados com bots são portugueses”

(Fonte: Panda)

Pessoalmente, acho que este tipo de estudos deveriam ser feitos com base num conjunto de dados de vários software anti-vírus e não assumir que este estudo espelha a realidade em Portugal. O software da Panda nunca me convenceu, pois a sua taxa de detecção foi sempre ultrapassada por anti-vírus mais baratos e com menor carga a nível de memória consumida.

DS

No domingo, as autoridades anti-vírus da China alertaram os utilizadores de computadores a se protegerem contra uma mutação do vírus Hack_Kido (variante do Conficker), que pode impedir os utilizadores  o download de actualizações do sistema operativo Microsoft Windows.

De acordo com National Computer Virus Emergency Response Center em Tianjin, o vírus pode monitorizar os utilizadores online e encerrar qualquer website relacionado à Microsoft, impedindo a obtenção de ajuda do site da Microsoft.

Fonte: China Daily

GZ

Um dos maiores lideres de software de segurança para PCs acredita que os utilizadores de Mac já não podem dizer que são imunes aos vírus que tanto atacam o sistema Windows.

A Kaspersky Labs lançou o seu primeiro anti-vírus para Mac, prometendo protecção contra infecções.

Segundo Andreas Lamm, Director Administrativo da Kaspersky Lab Europe:

“Apple’s success in growing market share has been reflected with increased interest from cyber criminals…”

“Over the last nine months we have seen a rapid escalation in Mac threats which have gained much publicity within the Apple community.”

Mas isso não significa que o OS X nunca seja comprometido, a Kaspersky está a confiar que a sua experiência nos sistemas Windows possa assegurar uma protecção igual aos utilizadores do sistema operativo da Apple.

Kaspersky Anti-Vírus para Mac está disponível para venda por 39,99€ por uma licença de um ano para um utilizador.

Fonte: MacUser

GZ