Anti-vírus prometem, mas não cumprem.

Vou começar este post com uma frase de efeito: os anti-vírus são uma droga! Nenhum deles funciona como deveria, nem perto do que prometem. É claro que nenhum profissional de segurança, por mais anti-convencional que seja ( ), recomendaria o seu desuso, porém é nítido que as longas promessas não se cumpriram. A cada dia, mais e mais ameaças chegam até nós, principalmente via email e web, nas mais diferentes formas e variedades. E o nosso antivírus, mesmo que atualizado diariamente, deixa-nos uma vez ou outra, na mão. As empresas se defendem dizendo que possuem a “mais avançada tecnologia de detecção”… que “tem dezenas de profissionais” trabalhando na elaboração de vacinas e “as libera antes da concorrência”… e a minha predileta “que a Internet está cada vez mais ameaçadora, com novas ferramentas de invasão a cada dia”. Tudo isso pode até ser verdade, mas não justificam as toscas falhas que seus produtos apresentam, permitindo que malwares comuns, muitas vezes tão comuns que reutilizam código de outros mais antigos, continuem contaminando as máquinas de seus usuários.

Falo isso de experiência. Como meu email é público (tá lá na página “sobre mim”), recebo avalanches de emails todos os dias e a grande maioria, com algum tipo de conteúdo malicioso. Vezes ou outra noto na minha caixa-postal algo que não deveria ter passado pelos filtros do antivírus (é, sim eu uso Windows em casa… longa história… versão resumida: sou casado! rsrsrsrs…). Pego o arquivo e envio para o maravilhoso site do VirusTotal só para ver se aparece algo. Para minha surpresa, quase sempre o vírus não é reconhecido pela maioria dos antívirus, as vezes por nenhum.

Nessas hora me pergunto cadê o “detecção avançada – ahead of the threat – contra vírus conhecidos e desconhecidos“? Onde está a “advanced heuristic behavior-based analysis and detection” que comprei (e que nem tenho coragem de traduzir)? Pô! Me sinto lesado!

A verdade seja dita, qualquer promessa de te proteger contra vírus ou ameaças desconhecidas é falsa, basicamente porque os antívirus continuam se baseando na mesma tecnologia de detecção de 20 anos atrás: as assinaturas de deteção baseadas em “pattern-match“. Alguns avanços nos algoritmos usados foram realmente feitos, visando a melhoria da performance, melhor integração com o sistema operacional e melhores interfaces com o usuário, mas no fundo a coisa já tem duas décadas. A analise heurística prometida consome tantos recursos da máquina, que o usuário tem que decidir entre usar o antivírus ou suas aplicações, isso quando ela se presta a algo. Assim, a tecnologia de assinaturas se perpetua. As empresas se defendem, mas não vi nenhuma resposta convincente.

Os amantes das “teoria de conspiração” adoram afirmar que não há nenhum interesse por parte das empresas em desenvolver o “anti-vírus definitivo” porque uma vez que um produto que realmente cumprisse o prometido – eliminar ameaças conhecidas e desconhecidas – fosse lançado no mercado, os fabricantes teriam que dar adeus a milhões de dólares anuais provenientes da receita com updates e upgrades das vacinas e engines de detecção.

Teorias a parte, a verdade é que é hora de mudar. As empresas devem abrir mão dessa tecnologia arcaica e começar a cumprir o prometido, pois a cada nova contaminação de uma máquina dita “protegida” elas perdem o crédito e a confiança dos seus usuários e do mercado. As grandes empresas já estão percebendo que existem formas de diminuir a dependência nestes produtos usando apenas melhores práticas na gestão do software básico e dos privilégios de acesso de seus usuários. Logo, mais do que nunca, pratiquem segurança em camadas e diminuam a dependência nesse produto. Não o eliminem da sua rede, mas não confiem nele da forma como deveríamos se fosse verdade o que eles prometem e não cumprem.

Em parte a culpa é nossa. Na verdade acho que toda a culpa é nossa. Nós não exigimos o prometido. Ninguém reclama da forma como deve. Não conheço nenhuma empresa que na hora de renegociar os contratos de licença jogue na mesa a verdade – seu produto não funciona – porque é tabu não usar anti-vírus. Mesmo com todos os defeitos, ninguém tem coragem de condenar o seu uso. Qual especialista em segurança, eu me incluo, deseja ser o responsável por recomendar a alguém que pare de gastar com anti-vírus, pois eles não funcionam como deveriam, e depois ser apontado como culpado por uma contaminação? Nenhum, lógico. O ditado “ruim com ele, pior sem ele” é a expressão máxima do nosso relacionamento com estes produtos.

Vejam por exemplo, este novo produto da Symantec o “Norton Antibot“. Leiam o descritivo do produto e me respondam o seguinte: o seu antívirus já não prometia fazer isso? O que há de novo aí? Grande estrátegia de marketing isso sim…

É por essas e outras que eu prego o seguinte: Anti-vírus, evolução ou morte!