Por Fabio Assolini
A Linha Defensiva conversou com Julio Canto, da Hispasec Sistemas, empresa espanhola mantenedora do serviço de análise de arquivos VirusTotal.com. O site se tornou muito popular entre internautas, pois permite que qualquer usuário envie um arquivo para ser analisado em 40 antivírus diferentes. Nesta entrevista, Canto fala sobre a criação do serviço e seu funcionamento.
Julio Canto é Gerente de Projeto do VirusTotal.com na empresa espanhola Hispasec Sistemas desde 2002. |
Entre outras tarefas que realizou previamente, foi editor na VNU Business Publications. Possui experiência como analista de fraudes na internet e auditor de sistemas de informação, com certificação CISA. Veja mais informações no LinkedIn » |
- Conte-nos sobre a criação do serviço VirusTotal. Quem é o mantenedor da estrutura utilizada? Como os fabricante de antivírus apoiam o projeto?
- O VirusTotal foi criado como uma ferramenta interna de nossa companhia para monitorar várias questões relacionadas as tecnologias dos antivírus. Depois de algum tempo, foi decidido torná-la pública porque poderia ser útil para as pessoas.Nós a publicamos em junho de 2004 e desde então o serviço tem crescido muito — nós nunca pensamos que ele se tornaria tão popular. Nós mantemos a infraestrutura do VirusTotal em nosso datacenter. Hoje, 1/4 dos fabricantes de antivírus que participam do serviço ajudam a manter essa estrutura.
Estamos escaneando cerca de 60 a 70 mil arquivos por dia.
- Qual o volume de dados recebidos diariamente? Vocês já sofreram algum tipo de ataque?
- Isso varia, mas nesse momento estamos escaneando cerca de 60 a 70 mil arquivos por dia. Sim, já sofremos ataque de negação de serviço distribuída (DDoS) muitas vezes durante esse tempo.
- Com que frequência os arquivos analisados são enviados para as companhias antivírus?
- As amostras de malware são enviadas para os fabricantes de antivírus em tempo real. Nós acreditamos que é importante que eles as tenham o mais rápido possível para estudá-las e criar uma vacina contra as pragas.
- Com o acesso rápido aos arquivos maliciosos através do VirusTotal, o poder de detecção dos antivírus tem melhorado desde a criação do serviço?
- O sistema de distribuição foi criado justamente para isso, ajudando a comunidade enviando as amostras de malware para os fabricantes de antivírus de uma maneira que eles possam acessá-los rapidamente. O problema é que as taxas de detecção de malware criados em 2004 e os de agora são muito diferentes.
O VirusTotal não foi criado para fazer comparação de antivírus”
- O VirusTotal pode ser usado como uma forma de comparação do programas antivírus?
- Não, o VirusTotal não foi criado para fazer comparação de antivírus. Há muitas razões para isso, como o fato de nós usarmos versões de linha comando dos produtos, e há alguns deles que são orientados a gateway, ou alguns deles que usam o modo “heurística paranóica”. Isso porque os parâmetros usados em cada escâner é decidido por cada programa antivírus, e não por nós.
- Por que vocês removeram a opção de não enviar o arquivo analisado para as empresas antivírus?
- Muitas pessoas na indústria diziam que os criadores de malware estavam usando essa funcionalidade do serviço para fazer um “teste de qualidade”. Embora isso possa ser verdade — todas as ferramentas podem ser usadas para fins bons ou ruins –, nós fizemos alguns testes estatísticos e a maioria dos usuários dessa funcionalidade eram os CERTs, conhecidos analistas de malware e às vezes alguns fabricantes de antivírus. De qualquer forma, a opção ainda pode ser usada, mas somente por pedido dirigido a nós para ser incluído na ACL. Justamente agora há poucas pessoas usando essa função, basicamente o mesmo grupo que eu disse aparecer nas estatísticas (CERTs, pesquisadores de malware, etc).
- Existe certa desconfiança de alguns usuários sobre o destino dos arquivos enviados a serviços similares de analise de malware. Como você vê a criação de outros sites oferecendo o mesmo serviço?
- No final, tudo é uma questão de confiança. Nós estamos oferecendo o serviço desde junho de 2004 e eu penso que temos mostrado claramente a nossa posição na indústria da segurança. Sobre a criação de outros sites com o mesmo serviço, penso que isso é bom, o mais importante agora é ter o maior número possível de ferramentas para lutar contra o malware, mesmo com algo tão simples como um serviço agregador de antivírus.
- Um usuário pode ajudar seu programa antivírus a obter uma melhor taxa de detecção simplesmente enviado um arquivo suspeito para o VirusTotal?
- Com certeza, assim as companhias antivírus que ainda não detectam o arquivo irão recebê-lo rapidamente. Dessa forma você ajuda a si mesmo e a outros usuários de antivírus que podem ser afetados pelo mesmo problema.
Enquanto todas as leis ao redor do mundo continuarem frouxas ou ineficientes, a internet continuará a ser o playground dos “bad guys” — como é agora.
- Como você vê o futuro dos programas antivírus?
- Difícil mas sempre evoluindo, apesar de eles terem feito isso no passado, e dada a natureza das ameaças, eles terão de continuar evoluindo.O problema do malware é como uma corrida armamentista; sempre haverá melhorias de ambos os lados: uma única abordagem não será a solução universal. Em qualquer caso, minha humilde opinião é que justamente agora os níveis de risco deveriam ser baixados com duas medidas importantes, mas complicadas: a sensibilização dos usuários finais e um envolvimento real da polícia e da aplicação da lei.Enquanto todas as leis ao redor do mundo continuarem frouxas ou ineficientes, a internet continuará a ser o playground dos “bad guys” — como é agora.
Somente quando o presente tsunami da criação de malware diminuir para um nível administrável é que nós veremos um cenário mais equilibrado.
Ótimo post
CurtirCurtir