Imunizando nossa Inteligncia contra Embustes Virtuais

Pedro Antnio Dourado de Rezende

CopyMarket.com Todos os direitos reservados. Nenhuma parte desta publicao poder ser reproduzida sem a autorizao da Editora.

Ttulo: Imunizando nossa inteligncia contra embustes virtuais Autor: Pedro Antonio Dourado de Rezende Editora: CopyMarket.com, 2000

A verdadeira estria do vrus do amor

Pedro Antonio Dourado de Rezende Sempre que uma epidemia causada por algum vrus de correio eletrnico atinge a Internet via extenses da HTML, como a do recente Iloveyou ou a do Melissa, espanto-me com o senso de impotncia e conformismo que perpassa notcias e discusses sobre o assunto, e com a quase unnime superficialidade e ingenuidade nos aconselhamentos para defesa oferecidos. {Tais conselhos se resumem geralmente a: mantenha atualizada a verso do seu antivrus, e no aceite qualquer programa que venha pela Internet. Ambos bvios, mas absolutamente incuos contra o surto inicial das epidemias citadas. Certamente o vrus do amor no ser o ltimo episdio deste drama, mas tal fato no nos impede de refletir sobre como o bvio se torna incuo, ou como um pouco de exerccio da nossa prpria inteligncia pode desfazer a frustrao generalizada e nos erguer defesas virtuais mais eficazes. Se o leitor estiver interessado em uma receita, poder recompensar-se lendo at o fim. Um pequeno detalhe no funcionamento de tais vrus, obscurecido em presena de sentimentos frustrantes, ser o fio condutor desta reflexo. Ele explica o alto grau de virulncia desses ataques e aponta o caminho mais simples para sua neutralizao. Tais vrus se replicam e/ou causam dano utilizando-se de uma extenso da linguagem HTML implementada no Internet Explorer verso 4 ou acima (VBScript), valendo-se principalmente de como comandos HTML em mensagens de email so interpretados pelo emailer deste software, o Outlook Express. (p.e: http://www.icsa.net/html/press_related/2000/05_04_00_loveletter.shtml ) Li algo (no recordo a fonte) que proclamava o fim do dogma de que dados no podem infectar: Agora, a mera leitura do texto de uma mensagem de correio eletrnico pode destruir seus dados. alertava o jornalista ao anunciar o Melissa. Aqui, na pouca informao, h muito de alarmismo e confuso. A confuso comea na mera leitura do texto. Pois vejamos. Um emailer, como o Outlook Express, o Eudora, o Netscape Messenger (Windows) ou o Pine (Unix), deve gerenciar a edio e formatao para transmisso, alm de organizar e visualizar mensagens de email. O protocolo SMTP base para o servio de email na Internet prev apenas texto como contedo de mensagens (7 bits). Tendo se tornado o servio mais utilizado na Internet, o SMTP foi por isso estendido para poder dar carona a outros tipos de contedo, atravs do formato MIME. Da por que alguns emailers atuais saibam gerenciar attachments. Um emailer deveria poder, para fins de visualizao, separar completamente o corpo das mensagens (a ser manipulado pelo emailer como texto) de seus anexos (cujo contedo no lhe deveria dizer respeito). Mas nem todos aceitam faz-lo de forma completa, apesar do MIME permitir ao emailer identificar, numa mensagem, tipos e fronteiras desses contedos. Mas porque o detalhe da separao completa? Para quem percebe os riscos inerentes revoluo digital a resposta obvia: Controle. Cdigo executvel parte da inteligncia de algum, delegada mquina. Quando executa, tal inteligncia interage com quem a aciona, para processar dados. Quem escreve programas, transfere assim parte de sua prpria inteligncia ao software que cria. Quem compra ou licencia software, julga til a proclamada inteligncia com o qual deseja interagir, transferida pelo autor ao software. Quem deseja interagir, guia-se por tais
CopyMarket.com

Imunizando nossa inteligncia contra embustes virtuais Pedro A. D. Rezende

proclamaes que so promessas para julgar tal utilidade. Quem julga tem, quando no neutralizado em tais licenas, o cdigo de defesa do consumidor para desestimular engodos nessas promessas, tais como exageros e omisses grosseiras ou m-f. Mas poucos percebem que as licenas de software proprietrio geralmente anulam este efeito desestimulante, e menos ainda que a mera investigao e divulgao de tais engodos ser criminalizada com o UCITA, Uniform Computer Information Transactions Act. (voc j leu e entendeu completamente alguma licena de uso de software proprietrio? Veja http://www.cnn.com/2000/TECH/computing/03/07/ucita.idg/index.html ) Se o computador fosse como nossa casa, armazenar dados nele eqivaleria a receber correspondncia ou mantimentos nela. E rodar software nele eqivaleria a convidar algum para entrar nela. Metforas podem ser teis, mas tambm perigosas, e eis que tais analogias terminam quando retornamos confuso na mera leitura do texto. Em estados normais de conscincia, confiamos que nenhum envelope ou saco de batatas ir se transformar num assaltante, quando lhe dermos as costas em nossa casa. Por outro lado, a distino entre dado e cdigo executvel pode ser apenas uma questo de contexto. Ao processar dados, a inteno do software pode ser a de interpret-los como seqncia de instrues (a serem remetidas ao processador) ou manipul-los como informaes (a serem despachados memria ou a perifricos, tais como monitor, HD, impressora, modem, etc.) Sintaxe (formato correto) e contexto (inteno ao processar) que fazem ou no dos dados um cdigo executvel, transformando sacos de bytes em agentes inteligentes. Aquela confuso est na ambigidade do sujeito da frase. Antes que algum usurio leia uma mensagem na tela, e para que possa meramente faz-lo, leua tambm (i.e, processou-a) o emailer. As promessas na interface grfica de um emailer podem sugerir que certo contedo ser manipulado como texto para leitura -- oposto a interpretado como instruo para execuo --, quando na verdade ora uma, ora outra coisa podem estar sendo feitas. Cdigo executvel no pode ser confundido com extenso .EXE em nomes de arquivo. Se algum der o nome X.EXE a um arquivo de texto, no ir transform-lo com isto em cdigo executvel. Por outro lado, qualquer arquivo em formato VBS, VBX, DLL, PostScript ou HTML , para seus respectivos interpretadores e independente do seu nome, cdigo executvel. A extenso no nome do arquivo serve apenas para indicar ao sistema operacional o interpretador adequado ao cdigo ali supostamente contido. Um software um mero jogo entre promessas e confianas. Onde, para o reprter, h mera leitura de texto, h por trs o olvidado emailer, onde pode ter havido interpretao. isso o que ocorre naquele emailer, que detm a inabalvel inteno de interpretar qualquer contedo de attachment em formato HTML a linguagem das pginas da web como se fizesse parte do corpo da mensagem. Ou seja, como nos casos dos citados vrus, ativados e propagados pelo Outlook. Inicialmente destinada formatao visual, a linguagem HTML foi, como o SMTP, depois estendida, mas neste caso para que as pginas web pudessem se assemelhar a programas (com ActiveX, JavaScript, Applets, CGI, etc.). Um controle ActiveX por exemplo, pode fazer o mesmo que qualquer outro programa no Windows 98, exceto ser diretamente carregado como aplicativo. Esse poder implica em riscos, e deu no que deu. Por isso aquele detalhe, sobre quando o software estar, ao processar, interpretando ou apenas manipulando bytes, ser crucial para podermos controlar nossa exposio a riscos de embustes virtuais. a questo de quem, no conjunto usuriosoftware, controla o processamento de bits e bytes, questo que se torna mais aguda quando a mquina nos conecta ao ciberespao. Nesse lugar virtual, onde o mundo se afunila e fica como a rua da nossa casa, e a rua do mundo fica estreita como o fio de telefone, e a porta de nossa casa se encolhe ao formato do conector RJ11 na placa do modem, ao encaixarmos o fio do telefone ao modem abrimos esta porta, e ao discarmos por acesso proclamamos sua abertura. A partir da, quem controla a passagem do mundo por nossa porta o software de rede e os aplicativos que dele se servem (browsers, emailers, irc, etc.), apesar de termos a impresso de que so apenas nossos cliques. Antes disso detnhamos algum controle sobre o que entrava, quer como executvel ou no, devido ao suporte
CopyMarket.com

Imunizando nossa inteligncia contra embustes virtuais Pedro A. D. Rezende

fsico que os traziam. Podamos guardar rastros e evidncias do cumprimento ou no de promessas no HD, nos disquetes e CDs originais. Mas nesse novo lugar mal podemos tentar, pois l rastros, promessas e tudo que h so etreos simulacros. Depois do modem ou da placa de rede ter mordido a ma RJ11 que lhes oferecemos, os computadores passaram a poder ocultar intenes por trs das inteligncias que abrigam. Voc saberia dizer, por exemplo, qual programa instalou, ou usa, ou o que faz, cada DLL em seu Windows? E o Registry dele saberia? No me agrada a receita reformatar e reinstalar para quando as coisas desandam. Nesses tempos, quando h crises de confiana em vrios nveis, meu computador delas no escapa e a integridade do que nele toma forma e transita passa a ser, cada vez mais, de meu prprio interesse e responsabilidade. Alguns, principalmente os que tem algo a ganhar com isso, tentam me convencer que havero tecnologias para assumir tal responsabilidade e proteger esta integridade: Atualize seu antivrus!, me aconselham. Mas isso no tudo, e algo ainda me cheira mal. No gosto da atitude de empresas de software que embutem na arquitetura de seus produtos o julgamento a priori da incompetncia (ou da burrice) dos usurios para decidirem o que pode ou no ser executado em suas prprias mquinas. Acho-a perigosa. Tecnologia no panacia, e nunca ir substituir responsabilidades humanas. Se eu for omisso, alguma inteligncia alheia decidir por mim. Circulam estimativas de que o vrus do amor corrompeu (inviabilizando undeletes) mais de 3 milhes de arquivos pelo mundo, antes que o primeiro antdoto com sua assinatura ganhasse as rotas de download dos antivrus que sabiam reconhec-lo (posso imaginar a velocidade da minha conexo, se dele ento precisasse). Esta gerao de vrus que mistura em boas doses a engenharia social [que nome interessante!...] e a integrao de recursos do Outlook Express, tem conseguido alastrar seus surtos iniciais de ataque global em cerca de dois dias, menos da metade do tempo com que a industria de antivrus pode ser acionada e responder. Obviamente esta incrvel virulncia s possvel devido densidade de Outlooks na Internet, e da automao quase total oferecida ao ciclo infeccioso pelos recursos desse emailer. Principalmente o recurso da interpretao automtica de contedo HTML em mensagens, que o usurio no pode ali desabilitar e que permite ao vrus reduzir a participao humana neste ciclo a um simples clique (o tal, para mera leitura de mensagem). E que, juntos na Internet, transformam o Outlook em perigoso dispositivo para reaes em cadeia. A lio aqui oculta a de que precisamos enxergar intenes em sacos de bytes. Em qualquer um, em qualquer lugar. O alerta: Agora, a mera leitura ... nada fala de software. Teria sido mais informativo se dissesse: No Outlook Express, a mera leitura (etc.). Diminuiria o risco de se estar passando a falsa e alarmante impresso de que qualquer emailer faz o mesmo. A teoria econmica afirma que a preferncia por marcas pode, num mercado perfeito, ser tomada como medida de qualidade. Mas no caso do mercado de browsers (que incorporam emailers) seria muito ingnuo acreditar na sua perfeio, haja vista a deciso do tribunal que condenou, por iniciativa do departamento de Justia dos EUA e em primeira instncia, seu fabricante por prticas monopolizantes. Portanto a preferncia pelo Outlook no deve ser confundida com qualidade. claro que, como diz seu presidente, tal browser um great software. Mas pelo que d aos acionistas da empresa e no pelo que oferece a mim, pois um emailer que me torna alvo fcil de embustes para que minha caixa de correio fique sempre floreada no me ser til. Confundir tais referncias seria to ingnuo como atribuir sabedoria ao dinheiro, quando este apenas meio de troca ou veculo de ambio. No posso imaginar razes seno subjetivas nessa inteligncia do Outlook Express, que toma qualquer contedo HTML anexado como parte da mensagem, ferindo o esprito do protocolo SMTP e do formato MIME descritos em RFCs do Internet Engineering Task Force, e suas recomendaes de segurana. Muito menos na do fabricante, quando seu presidente diz precisar manter a integrao do seu browser ao Windows para melhor desenvolver proteo aos usurios, comentando com a imprensa sobre o vrus do amor. Quem h de querer mais recursos furtivos como este, que num clique dispe de sua mquina a quem quer que seja, pelo ttulo de um email? Mas o que mais me intriga em tudo isso, que a vasta maioria dos consumidores acredita ser vantagem a
CopyMarket.com

Imunizando nossa inteligncia contra embustes virtuais Pedro A. D. Rezende

convenincia de se optar pelo browser j embutido no sistema operacional de sua escolha, a ter que ponderar e avaliar objetivamente os riscos entre opes de browser que envolvam alguma instalao adicional. Abdicam assim do controle que deveriam exercer sobre o que executa em suas prprias mquinas enquanto estiverem a ler mensagens de email. Vrus so descobertos ao atacarem, mas grampos de senhas so bem mais dissimulados (veja a parte 2 sobre troianos abaixo). De novos hbitos ningum gosta, mas neste caso a inrcia e a miopia da confiana beiram o cmico, levando-os a agir como manada, e a serem tratados como tal por cibervndalos. Para quem precisa usar um browser no Windows, h pelo menos uma opo igualmente gratuita, cujo cdigo aberto e em cujo emailer texto apenas texto, se o usurio assim o determinar. No Netscape Messenger, para se precaver contra cdigo embusteiro em extenses MIME buscando explorar seus recursos, ou contra a ignorncia antiviral acerca de novos embustes em emails, basta um clique para desabilitar a opo View Attachments Inline no menu View. Aps isso, ao se abrir um email contendo qualquer contedo MIME este ser apresentado como arquivo anexado e no ser ali interpretado. Pode-se ento, como normalmente se faz com attachments cujo tipo o emailer no sabe interpretar, inferir provveis razes para aquela mensagem estar trazendo aquele arquivo. Por exemplo, verificando-se no corpo da mensagem, alem da sua utilidade, alguma referncia ao nome ou funo desse arquivo, como seria de se esperar em mensagens bem intencionadas. E s ento decidir, com um clique sobre o cone do attachment, abri-lo ou no. Ou para a interpretao do Netscape Navegator ou ento, mantendo inerte o saco de bytes, para a inspeo do antivrus, para a visualizao atravs de software incuo (Notepad), para gravao em disco ou para a lixeira. J no Outlook Express (IE5), a nica forma de se evitar a interpretao automtica de contedo HTML desabilitando a visualizao completa de todas as mensagens. S assim, ou selecionando-se em grupo na lista de mensagens (com a tecla Shiftsobre vizinhos), pode-se descartar emails suspeitos sem visualiz-los. Para mim a opo do Netscape sensata e sua receita de cautela no parece difcil. Umas poucas travadas a mais, devido obscuridade nas APIs do Windows que atormenta os programadores fora da sua fbrica, como os da Netscape, pode ser um preo aceitvel para se poder exercer o direito de se controlar o cdigo que ir executar em nossa prpria mquina. Decidir d medo e cansa, mas no decidir pode machucar. Tive a sorte de poder dar meu relato ao leitor antes que o Windows e seu browser passassem a ser distribudos sob o regime do UCITA, segundo o qual estaria, por meio desta reflexo, praticando crime econmico e difamatrio contra um great software. Reflexo que termina com um pensamento: o verdadeiro bug do milnio essa miopia fiducial coletiva, a Internet ridiculamente simples que a publicidade nos oferece.

Braslia 11 de Maio de 2000

CopyMarket.com

Imunizando nossa inteligncia contra embustes virtuais Pedro A. D. Rezende

CopyMarket.com Todos os direitos reservados. Nenhuma parte desta publicao poder ser reproduzida sem a autorizao da Editora.

Ttulo: Imunizando nossa inteligncia contra embustes virtuais Autor: Pedro Antonio Dourado de Rezende Editora: CopyMarket.com, 2000

Pior que os vrus so os Troianos e seus Backdoors

Pedro Antonio Dourado de Rezende Vrus so descobertos quando atacam (veja acima a verdadeira estria do vrus do amor). Mas h outro tipo de programa embusteiro que pode causar dano sem com isso revelar sua existncia. Programas ou mdulos de programa furtivos, destinados espionagem, ao acesso no autorizado a arquivos, ou a interceptao de processos no computador da vtima para fraudes, destruio de evidncias ou outros fins escusos, geralmente chamados de backdoors. Para que um backdoor se torne ativo no computador da vtima, sem que esta perceba a inteno de embuste no processo, necessrio que algum programa aparentemente inofensivo vtima o inclua ou faa sua instalao. Estes programas so chamados de troianos, ou cavalos de Tria. Um troiano pode, por exemplo, instalar um grampo de teclado na mquina da vtima. Um grampo de teclado um tipo de backdoor que, carregado como servio de background (assim como o antivirus e o software de rede), intercepta toda transmisso do driver de teclado a qualquer aplicativo. Pode assim registrar toda atividade de quem digita documentos no computador, capturar senhas de acesso a servios remotos, inclusive aquelas para autenticao e movimentao de contas bancrias, antes de serem encriptadas para transmisso. A instalao de grampos de teclado para Windows por um troiano pode ser muito simples e, se o computador estiver indevidamente protegido, passar desimpedida e desapercebida por quem executa o troiano. {No meu curso regular de Segurana de Dados na Universidade de Braslia os alunos escolhem o trabalho final que desejam fazer. Nos ltimos dois anos, em cada turma tem sempre havido algum interessado em implementar grampos de teclado para Windows, como trabalho final. O motivo que a mim justifica esta escolha para que se convenam da relativa simplicidade do mecanismo de embuste e da intrnseca falta de segurana deste sistema operacional. Apenas com a descrio informal encontrada em livros e discutida em aula sobre o que faz tal grampo, estes alunos tem conseguido sempre, ao final do semestre, apresentar um grampo que funciona. A experincia deles indica que a forma mais simples para se escrever um grampo de teclado para o Windows atravs da linguagem VBScript, nele usada extensivamente para controle e comunicao entre processos, e na qual foi escrito e propagam o Melissa e o Vrus do Amor. No Internet Explorer e no Outlook, mas no em outros browsers ou emailers, o VBScript considerado extenso da linguagem HTML (active scripting). Um grampo de teclado pode ser sofisticado, no sentido de ocultar sua prpria instalao (apagando o troiano que o instalou), sua presena (eliminando seu nome da lista de tarefas do Windows) e o destino de sua desova (abrindo uma porta de comunicao TCP onde escuta e atende solicitaes para envio de arquivo contendo as atividades de teclado j registradas, ao invs de transmiti-la para um endereo fixo do espio). O j famoso administrador remoto para Windows denominado Back Oriffice, por exemplo, pode ser troianizado e contem um grampo de teclado que no s oculta o destino de sua desova, mas tambm pode autenticar o espio que a solicita. Entretanto, sempre exigi que, para a apresentao do trabalho de meus alunos, a instalao do grampo fosse no furtiva, isto , que a instalao fosse executada a partir de um aplicativo (via cdigo de tipo EXE) que anunciasse seu propsito, para evitar posteriores contaminaes acidentais. A instalao furtiva de software embusteiro escrito em VBScript enormemente facilitada em computadores de usurios do Outlook devido interpretao automtica de contedo HTML, pois neste caso o troiano pode ser um simples attachment em uma mensagem incua, da qual a vtima no teria em princpio motivo para levantar suspeitas. A instalao seria furtiva porque o Outlook sequer informa o usurio que, ao abrir tal mensagem, um attachment foi interpretado. A disseminao acidental de cdigo embusteiro um risco real mas tambm um libi para a atividade criminosa. No caso do Virus do Amor, por exemplo, os suspeitos de sua disseminao
CopyMarket.com

Imunizando nossa inteligncia contra embustes virtuais Pedro A. D. Rezende

alegam acidentalidade, e parece que as autoridades policiais das Filipinas no tem conseguido elementos para caracterizar a veracidade ou no deste argumento de defesa. E, para a justia, a defesa deve ter o benefcio da dvida caso a culpabilidade por negligncia imprudente no prevalea. Por estes motivos, no processo de estabelecimento de padres do IETF chegou-se ao consenso, em 1991, de que attachments ao protocolo SMTP em formato MIME no devem ser interpretados automaticamente, recomendao ignorada pelos engenheiros da Microsoft no projeto do Outlook, provavelmente porque os riscos inerentes refutao da recomendao no foram considerados relevantes quando a deciso foi tomada, em vista da funcionalidade pretendida. Mas o momento agora outro, o perfil desses riscos evoluiu -- como tudo na Internet, muito rapidamente -- e parece no haver hoje justificativas para se manter aquela deciso. Considero portanto a interpretao automtica de contedo HTML no Outolook uma falha de projeto, cujas conseqncias se tornam cada vez mais catastrficas enquanto no for revista. O aviso na epidemia do Melissa no foi entendido, e um novo alerta est sendo dado agora pelo Vrus do Amor. {Igualmente alarmante em tudo isto, o fato de que a industria antivirus pode estar contrubuindo para ofuscar o problema. Veja o diretor de marketing da companhia de segurana ISS (Internet Security Systems) no Brasil tem a dizer sobre decises de projeto, em entrevista reporter do Jornal do Brasil em 18 de maio de 2000: "A Microsoft teria que adivinhar qual seria a atitude dos hackers, e isto impossvel". No bem assim. A atitude dos "hackers" to previsvel quanto o movimento de fluxo da gua, que o de ir pelo caminho de menor resistncia. No caso dos crackers, pelo caminho de menor resistncia do sistema subverso de seus controles e funes. Clarssimo no caso do acesso em VBScript lista de endereos e interpretao online de HTML, sendo que a pedra j havia sido cantada antes em todas as listas de segurana que assino, e depois pelo ExploreZip, e finalmente pelo Melissa. Esta explicao do diretor de marketing cheira a simbiose que pode estar havendo entre o fabricante do Windows e Outlook e a industria antivirus, conforme alertou Peter Neumann da SRI International em sua Risks Digest 20.88. O desenvolvimento de software proprietrio um processo j amadurecido na seguinte rotina: O marketing diz aos engenheiros qual funcionalidade o usurio quer (ou deve querer), os engenheiros de desenvolvimento dizem quais as alternativas para sua implementao e as respectivas dificuldades decorrentes. E quando o software complexo, os engenheiros de segurana dizem quais vulnerabilidades e riscos decorrem dessas alternativas de implementao, e quais implementaes adicionais poderiam minorar estes riscos e como. H na empresa um processo de deciso onde algum ento decide e banca. A indstria de software proprietrio prisioneira deste modelo, pois precisa continuar oferecendo novas funcionalidades para justificar upgrades e manter seu fluxo de caixa. A nica alternativa hoje conhecida a este modelo a do software livre. O engenheiro de segurana computacional pago para prever qual o caminho de menor resistncia do software ao embuste, e quem cr na impossibilidade desta atividade obviamente no pode nunca vir a ser um engenheiro de segurana, embora possa vir a ser um timo marqueteiro. Em minha atividade de formao de tais profissionais de segurana, sempre encontro algum com tais crenas, que vem a detestar (e bombar) em meus cursos. O que parece impossvel prever, entretanto, e que impacta a avaliao da gravidade dos riscos embutidos nos caminhos de menor resistncia do software, o caminho que seguir a Internet como mecanismo ou estrutura de interao social. O problema com a Microsoft que, na sua estratgia para esse processo de deciso, a funcionalidade sempre prevaleceu sobre os riscos (dito em outras palavras na mesma reportagem do JB por Andr Zambrini, da Computer Associates). Esta estratgia da Microsoft sempre foi pblica e, at esta semana, motivo de orgulho para a empresa. Mas parece que agora, com seus problemas na justia, est acordando para o fato de que tal estratgia, embora lucrativa, pode estar minando a confiana do pblico nos seus produtos (entre os literati, sem dvida est), e que a longo prazo pode tambm minar sua lucratividade na ausncia das alavancas do monoplio.

Braslia, 16 de Maio de 2000

6

CopyMarket.com

Imunizando nossa inteligncia contra embustes virtuais Pedro A. D. Rezende