O papel dos antivírus nas recentes crises de segurança


4/1/18 às 23h04

As três últimas grandes dores de cabeça relacionadas à segurança digital — WannaCry, Meltdown e Spectre — têm algo em comum: softwares antivírus são inúteis para proteger o usuário de ataques baseados nelas.

No caso da falha Meltdown, os antivírus podem, na realidade, atrapalhar: como a atualização da Microsoft mexe no kernel do Windows, uma parte sensível e super restrita, alguns impedem a sua aplicação. Isso levou a Microsoft a segurar a distribuição da correção em sistemas com antivírus incompatíveis, a fim de evitar problemas ainda maiores como as famigeradas telas azuis de morte.

Não me entenda mal, não estou dizendo que antivírus são dispensáveis. (Talvez sejam, talvez não, mas não é esse o debate agora.) A questão é os vetores de ataque e as falhas dos sistemas deixaram de ser pontuais, logo, a prevenção e a mitigação também precisam mudar. Ou, como disse Zeynep Tufeck, segurança digital deve estrutural tanto quanto possível.

Acompanhe o Manual do Usuário por e-mail (newsletter), Twitter e Telegram.

7 comentários sobre “O papel dos antivírus nas recentes crises de segurança”

  1. Conclui-se que os antivírus fazem bem seu papel. Se alguma recente crise de segurança pudesse ser impedida por antivírus e não fosse, aí sim eles deveriam ser criticados.

  2. Eu entendo o propósito da matéria, mas, nesse caso discordo da eficácia dos AntiVírus.
    A falha é de hardware (coisa que o antivírus, não tem eficácia), não software (onde tem ação efetiva dos Antivírus).

    Estão usando software para “contornar” e não “corrigir” a falha (que dependeria ou de mudança de design ou de firmware dos processadores, coisas que o antivírus, não tem acesso também).

    1. A falha é de hardware, mas os ataques que exploram essas falhas são via software. E, nesses casos, os antivírus não conseguem distinguir um software benigno de um mal intencionado. Por isso, inúteis.

      1. Não é bem assim, Ghedin.
        Esse tipo de controle (de acesso baixo nível onde o acesso é interpretado pelo kernel + hardware), não cabe ao antivírus (e nenhum outro sistema).

        Primeiro porque ele NÃO tem acesso a esse tipo de ação (isso é somente entre processador + memória + kernel), segundo, que NADA deveria ter acesso a essa tríade e terceiro, que em teoria, o antivírus não poderia invadir o acesso de um aplicativo que o kernel esta fornecendo acesso (mesmo que indevido), que seria estouro de pilha ou interception (que se um antivírus poderia fazer, qualquer outro também poderia).

        Tanto que a correção veio direto do kernel (Até que possam criar um firmware atualizado), porque ninguém deveria ter acesso livre, a ele.

        Para nível de comparação, é como se você culpasse o motorista em um acidente, porque o pneu furou. Quando você esta dirigindo, não tem acesso ao pneu… que por um problema externo, acabou causando um acidente, na qual o motorista nada tinha o que fazer.

        Nem por isso, o motorista, é inútil… rs

        1. Meu conhecimento é limitado, por isso me corrija se eu estiver enganado. A falha realmente em nada tem a ver com antivírus, mas os ataques são feitos via softwares adulterados ou preparados para explorá-las, correto? Nesse caso, seria o papel do antivírus barrá-la sim. Não o farão porque a natureza da falha torna os vetores (apps mal intencionados) praticamente indistinguíveis dos comuns.

          O meu ponto, de qualquer maneira, é mais amplo. Durante muito tempo, vendeu-se a ideia de que você precisava ter um antivírus para se proteger das ameaças maiores e mais recorrentes. Não é o mais o caso. O WannaCry, que é algo mais mundano, não era barrado por antivírus, tanto que causou estragos em muitas redes corporativas, que são ainda mais vigiadas e seguras que computadores pessoais.

          Segurança digital, hoje, parece-me algo mais estrutural, daí o comentário que cito no post. Manter sistemas atualizados acaba sendo uma garantia maior de não ser pego de surpresas por decorrências de falhas de segurança e ataques do que ter um antivírus.

          1. Eu concordo com boa parte, com você!
            É que você englobou várias coisas, e me de certa forma, ficou parecendo que eu defendo o antivírus em si! rs

            Vamos, por partes!
            No caso do Spectre + MeltDown, não poderiam ser defendidos pelo antivírus, porque nenhum antivírus tem acesso tão profundo em um sistema, a ponto de Interceptar streams entre ações de kernel + memória + processador. O antivírus tem acesso somente ao que o SO permite ele ter… e ainda bem que é assim.
            Afinal, se um antivírus poderia xeretar a nível tão profundo, logo, qualquer outros software poderia… e ai, sim.. estaríamos lascados! rs

            Então, nesse caso eles são inúteis sim, mas, não por problema relacionado a eles, e sim, ao fato de que não podem fazer nada! rs

            Sobre o uso do antivírus, eu ainda tenho muito cuidado.
            Não acho que seja indispensável como era anos atrás (Até porque as melhoras nos SO’s foram muito grandes nesse período).

            Mas, eles ainda tem uma parcela grande de maior segurança.
            Por exemplo, você comentou sobre o WannaCry. Concordo que os Antivírus, DEVERIAM ter pego ele sim.

            Mas, se colocarmos na balança, só o Avast! bloqueou mais de 1 milhão de ataques… se juntar todos os antivirus, imagine quantos usuários… não teriam sofrido?

            Enfim, ainda acho um mal necessário! rs

  3. Os antivírus da atualidade, são como os antibióticos tentando acompanhar a evolução das bactérias. Eles não acompanham a evolução no nível de complexidade dos malwares.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *