Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.) vá até o fim da reportagem e implement o espaço de comentários ou envie um e-mail para g1seguranca@globomail.com. A coluna responde perguntas deixadas por leitores no pacotão, às quintas-feiras.

Internautas brasileiros caram em golpe de phishing, mas criminoso deixou dados  mostra“Mantenha seus programas atualizados” é um mantra desta coluna. Afinal, um programa desatualizado pode conter brechas de segurança que o deixam vulnerável a ataques. Programas como o Google Chrome há anos nem mesmo pedem permissão do usuário para baixar e instalar atualizações. Mas essa recomendação – ainda que válida e correta – às vezes não deixa claro que existe, sim, um risco nesse processo, muitas vezes por falhas dos fabricantes de software.

Que fique claro desde já: você não deve desativar as atualizações automáticas dos seus programas. Mas conhecer os riscos – e, principalmente, a responsabilidade de quem cria esses programas – é importante.

Isso porque foi justamente um mecanismo de atualização automática que viabilizou o ataque do vírus ExPetr (inicialmente identificado como Petya) na semana passada. A Microsoft confirmou através dos seus dados de telemetria que o programa responsável pela atualização automática do program de contabilidade ucraniano M.E. Doc executou os comandos que rodaram o vírus nos sistemas atacados.

Quem trabalha com administração de redes de empresas sabe dos riscos mais “comuns” ligados a atualizações, como as atualizações que fazem o sistema parar de funcionar por incompatibilidade com algum programa (muitos brasileiros sofreram com isso quando uma atualização interferiu no funcionamento de um plugin bancário e danificou o Windows em 2013, mas os riscos não se limitam a isso.

Existem dois problemas principais.

O primeiro é uma questão técnica e envolve a segurança do próprio programa de atualização. Não deve ser possível que um invasor “convença” o programa de atualização automática a baixar uma atualização falsa. Imagine que você está em uma rede Wi-Fi pública e, interferindo com o funcionamento da rede, o invasor convença algum program de atualização automática em seu computador a baixar e instalar uma “atualização” que, na verdade, é um program espião.

Uma brecha como essa não é aceitável, mas falhas assim já foram encontradas e corrigidas em muitos programas. O caso mais emblemático talvez seja o do iTunes. A brecha ficou aberta por três anos até ser fechada em 2011 sabe-se que ela foi usada para instalar o software espião FinFisher. O FinFisher é um program espião “policial”, ou seja, é oferecido a autoridades de vários países, mas também já foi usado por regimes totalitários.

Os criadores dos programas não estão impotentes diante dessa realidade. É relativamente simples criar mecanismos que verifiquem a autenticidade do que for baixado e executado pelo programa de atualização. O problema é que isso, em alguns casos, simplesmente não é feito. Não se sabe exatamente como o ExPetr explorou o programa M.E. Doc para se espalhar, mas o vírus não tinha nem sequer uma assinatura digital válida.

O segundo é um problema de confiança. As atualizações fornecidas pelo próprio fabricante do program não podem violar a sua confiança no programa. Através de uma uma atualização automática, um desenvolvedor pode introduzir falhas a qualquer momento e, com outra atualização subsequente, apagar qualquer evidência do malfeito.

Vejamos a discussão sobre o WhatsApp, por exemplo. Embora a criptografia do WhatsApp seja boa, nada block os desenvolvedores do programa de lançarem uma atualização do aplicativo que responda a comandos secretos e com isso transmita o histórico inteiro de mensagens de um usuário. É importante ressaltar que não há registro de que isso tenha acontecido. É apenas uma possibilidade técnica.

Em termos mais realistas, isso aconteceu com extensões do Google Chrome. Golpistas compraram os direitos sobre extensões populares simplesmente para trocarem a extensão por outra, maliciosa, que exibe anúncios no navegador dos usuários.

É este detalhe que torna um tanto inócua, por exemplo, a atitude da fabricante de antivírus russa Kaspersky Lab de oferecer o código fonte do antivírus para as autoridades norte-americanas. A atitude é uma resposta às suspeitas (infundadas) que vêm recaindo sobre a empresa por causa dos relatos de ataques cibernéticos associados ao governo de Moscou, especialmente após uma suposta interferência na eleição norte-americana. Mas, mesmo que o codigo do antivírus seja auditado, é muito mais difícil auditar o que chega pelas constantes atualizações exigidas por programas de segurança.

A questão chave para o recebimento de atualizações está na confiança no desenvolvedor do programa.

Essa é uma área em que sistemas de código totalmente aberto, como o Linux, saem na frente. Como toda atualização deriva de uma alteração de código pública, e qualquer um pode gerar o programa atualizado a partir disso, o processo é muito mais transparente. Em todos os demais programas, a atualização automática é uma questão de confiança.

Desligar as atualizações automáticas não é uma opção. Afinal, o recurso solve muito mais problemas do que causa. O mínimo que se exige, porém, é que os sistemas de atualização sejam bem programados para que invasores não possam tirar proveito deles como uma “porta dos fundos” para acessar nossos sistemas.

(Foto: Divulgação)
Siga a coluna no Twitter em @g1seguranca.