Por Fabio Assolini

A Linha Defensiva conversou com Julio Canto, da Hispasec Sistemas, empresa espanhola mantenedora do serviço de análise de arquivos VirusTotal.com. O site se tornou muito popular entre internautas, pois permite que qualquer usuário envie um arquivo para ser analisado em 40 antivírus diferentes. Nesta entrevista, Canto fala sobre a criação do serviço e seu funcionamento.

Quem é Julio Canto
Julio Canto é Gerente de Projeto do VirusTotal.com na empresa espanhola Hispasec Sistemas desde 2002.
Entre outras tarefas que realizou previamente, foi editor na VNU Business Publications. Possui experiência como analista de fraudes na internet e auditor de sistemas de informação, com certificação CISA. Veja mais informações no LinkedIn »
Conte-nos sobre a criação do serviço VirusTotal. Quem é o mantenedor da estrutura utilizada? Como os fabricante de antivírus apoiam o projeto?
O VirusTotal foi criado como uma ferramenta interna de nossa companhia para monitorar várias questões relacionadas as tecnologias dos antivírus. Depois de algum tempo, foi decidido torná-la pública porque poderia ser útil para as pessoas.Nós a publicamos em junho de 2004 e desde então o serviço tem crescido muito — nós nunca pensamos que ele se tornaria tão popular. Nós mantemos a infraestrutura do VirusTotal em nosso datacenter. Hoje, 1/4 dos fabricantes de antivírus que participam do serviço ajudam a manter essa estrutura.

Estamos escaneando cerca de 60 a 70 mil arquivos por dia.

Qual o volume de dados recebidos diariamente? Vocês já sofreram algum tipo de ataque?
Isso varia, mas nesse momento estamos escaneando cerca de 60 a 70 mil arquivos por dia. Sim, já sofremos ataque de negação de serviço distribuída (DDoS) muitas vezes durante esse tempo.
Com que frequência os arquivos analisados são enviados para as companhias antivírus?
As amostras de malware são enviadas para os fabricantes de antivírus em tempo real. Nós acreditamos que é importante que eles as tenham o mais rápido possível para estudá-las e criar uma vacina contra as pragas.
Com o acesso rápido aos arquivos maliciosos através do VirusTotal, o poder de detecção dos antivírus tem melhorado desde a criação do serviço?
O sistema de distribuição foi criado justamente para isso, ajudando a comunidade enviando as amostras de malware para os fabricantes de antivírus de uma maneira que eles possam acessá-los rapidamente. O problema é que as taxas de detecção de malware criados em 2004 e os de agora são muito diferentes.

O VirusTotal não foi criado para fazer comparação de antivírus”

O VirusTotal pode ser usado como uma forma de comparação do programas antivírus?
Não, o VirusTotal não foi criado para fazer comparação de antivírus. Há muitas razões para isso, como o fato de nós usarmos versões de linha comando dos produtos, e há alguns deles que são orientados a gateway, ou alguns deles que usam o modo “heurística paranóica”. Isso porque os parâmetros usados em cada escâner é decidido por cada programa antivírus, e não por nós.
Por que vocês removeram a opção de não enviar o arquivo analisado para as empresas antivírus?
Muitas pessoas na indústria diziam que os criadores de malware estavam usando essa funcionalidade do serviço para fazer um “teste de qualidade”. Embora isso possa ser verdade — todas as ferramentas podem ser usadas para fins bons ou ruins –, nós fizemos alguns testes estatísticos e a maioria dos usuários dessa funcionalidade eram os CERTs, conhecidos analistas de malware e às vezes alguns fabricantes de antivírus. De qualquer forma, a opção ainda pode ser usada, mas somente por pedido dirigido a nós para ser incluído na ACL. Justamente agora há poucas pessoas usando essa função, basicamente o mesmo grupo que eu disse aparecer nas estatísticas (CERTs, pesquisadores de malware, etc).
Existe certa desconfiança de alguns usuários sobre o destino dos arquivos enviados a serviços similares de analise de malware. Como você vê a criação de outros sites oferecendo o mesmo serviço?
No final, tudo é uma questão de confiança. Nós estamos oferecendo o serviço desde junho de 2004 e eu penso que temos mostrado claramente a nossa posição na indústria da segurança. Sobre a criação de outros sites com o mesmo serviço, penso que isso é bom, o mais importante agora é ter o maior número possível de ferramentas para lutar contra o malware, mesmo com algo tão simples como um serviço agregador de antivírus.
Um usuário pode ajudar seu programa antivírus a obter uma melhor taxa de detecção simplesmente enviado um arquivo suspeito para o VirusTotal?
Com certeza, assim as companhias antivírus que ainda não detectam o arquivo irão recebê-lo rapidamente. Dessa forma você ajuda a si mesmo e a outros usuários de antivírus que podem ser afetados pelo mesmo problema.

Enquanto todas as leis ao redor do mundo continuarem frouxas ou ineficientes, a internet continuará a ser o playground dos “bad guys” — como é agora.

Como você vê o futuro dos programas antivírus?
Difícil mas sempre evoluindo, apesar de eles terem feito isso no passado, e dada a natureza das ameaças, eles terão de continuar evoluindo.O problema do malware é como uma corrida armamentista; sempre haverá melhorias de ambos os lados: uma única abordagem não será a solução universal. Em qualquer caso, minha humilde opinião é que justamente agora os níveis de risco deveriam ser baixados com duas medidas importantes, mas complicadas: a sensibilização dos usuários finais e um envolvimento real da polícia e da aplicação da lei.Enquanto todas as leis ao redor do mundo continuarem frouxas ou ineficientes, a internet continuará a ser o playground dos “bad guys” — como é agora.

Somente quando o presente tsunami da criação de malware diminuir para um nível administrável é que nós veremos um cenário mais equilibrado.

Escrito por Redação Linha Defensiva

Todos os posts Website

1 comentário

  1. XGENERALBAX 05/03/2012 às 18:17

    Ótimo post

    Curtir

    Responder

Deixe um comentário

Este site utiliza o Akismet para reduzir spam. Saiba como seus dados em comentários são processados.