O alerta foi dado pela Universidade de Michigan, no Estados Unidos: seu antivírus não é mais o mesmo. Os pesquisadores da universidade compararam 12 antivírus populares e descobriram que a detecção é de apenas 35% do malware — e o PC ainda fica vulnerável por períodos de até 48 dias. O fato é que a web 2.0 e a computação em nuvem estão mudando a maneira como as ameaças chegam aos internautas. Conseqüentemente, as táticas de combate precisam mudar também. Mas não é um processo imediato. Essa tarefa leva tempo e depende da evolução da infra-estrutura da internet e dos serviços.

As estatísticas de ataque evoluem em progressão aritmética. A cada hora, mais de 800 novos códigos maliciosos ameaçam os computadores, nas contas da Trend Micro. Em 2007, a Symantec detectou um aumento de 468% no número de novas ameaças em relação a 2006 — de 125,2 mil para 711,9 mil. No primeiro semestre de 2008, a F-Secure registrou mais ameaças (900 mil) do que o total detectado no decorrer do ano passado inteiro, que foi de 500 mil. Uma pesquisa da Panda Security revelou outro dado alarmante: mesmo usando antivírus atualizado, 72% das empresas e 23% das residências têm computadores contaminados. “Duas em cada dez máquinas com antivírus atualizado estão infectadas”, afirma Eduardo D’Antona, diretor-executivo da Panda.

Com a popularidade da web 2.0 e a explosão das redes sociais, a tendência é esse quadro se agravar. A Trend Micro descobriu, em março, que mais de 400 kits projetados para gerar sites de phishing tinham como alvo serviços da web 2.0, como redes sociais, compartilhamento de vídeos e VoIP, além de bancos e sites de webmail. As ameaças estão escondidas nas páginas de um site ou e-mail e, em geral, se instalam no computador do usuário mesmo que ele não clique em nada. Um banner publicitário aparentemente inocente, num site de rede social, pode instalar programas maliciosos no computador sem que a vítima perceba. “Ao abrir um e-mail, o usuário muitas vezes é direcionado a um site onde o código malicioso é injetado automaticamente”, diz Fábio Picoli, diretor da Trend Micro. “E esse arquivo pode acessar outros sites, que vão baixando códigos.” Detectar essas ameaças é um desafio que o antivírus não consegue encarar. “A vacina convencional só age quando o arquivo é executado no computador”, diz Picoli. Além disso, diante da rapidez da propagação de malware, fica cada vez mais difícil manter as vacinas atualizadas. O tempo para descobrir o vírus, entender como ele funciona, desenvolver o antídoto e distribuí-lo é cerca de uma hora. Os fabricantes trabalham para reduzir esse prazo. Mas isso exigiria uma atualização constante das vacinas no micro do usuário. “Como a quantidade de malware é grande, esse arquivo fica cada vez maior, exigindo mais tempo para o download”, diz Márcio Lebrão, presidente da McAfee.

Proteção na nuvem

Como enfrentar as novas ameaças? É aí que entram os novos conceitos de proteção, adotados por alguns fabricantes. Um deles é a proteção na nuvem, defendida por empresas como Trend, Panda e McAfee — e também pela Universidade de Michigan — como caminho para uma nova geração de antivírus. “Como não existem mais epidemias e sim ataques com focos específicos, mas em grande quantidade, a saída é levar os serviços para a nuvem para ganhar agilidade”, diz Eduardo D’Antona, da Panda. A idéia é evitar que o malware chegue ao computador do usuário — que, de qualquer forma, continuará tendo um antivírus. Esse aplicativo, contudo, passa a ter, na retaguarda, a proteção de servidores espalhados pelo mundo, na forma de um serviço web. Mantidos pelos fabricantes de antivírus, esses servidores armazenam as bases de dados sobre ameaças, que acumulam informações obtidas a partir de ocorrências registradas no mundo todo.

Quando um arquivo suspeito é detectado, as informações sobre ele são enviadas aos servidores na nuvem, onde são analisadas e comparadas para a identificação do malware. “Com isso, é possível criar correlacionamentos abrangendo o mundo todo e estabelecer padrões de vacina com maior velocidade”, afirma D’Antona. Outra vantagem desse conceito, segundo ele, está na economia de recursos do PC do usuário — já que o processamento é feito nos servidores. A Panda, que diz ter 13 milhões de vírus cadastrados em seu banco de dados, vem adotando a proteção na nuvem em soluções como o serviço de e-mail TrustLayer. Esse serviço usa um sistema heurístico (que busca soluções por meio de aproximações sucessivas) para bloquear, ainda na internet, ameaças desconhecidas. Para isso, antes de chegar ao computador do usuário, os e-mails são desviados para os servidores espalhados por mais de 50 países, onde são filtrados. O que é suspeito fica retido na nuvem. Além disso, os antivírus da Panda, tanto para empresas como para indivíduos, estão sendo reforçados por uma ferramenta que verifica o conteúdo da máquina em busca de ameaças que tenham furado o bloqueio. Também nesse caso, os arquivos suspeitos são enviados para análise nos servidores da Panda. “Se a anomalia já tiver sido identificada em outro local, é criado um padrão de vacina, que é espalhado para toda a base de clientes”, explica D’Antona.

A Trend Micro adotou o conceito de proteção na nuvem em sua nova geração de produtos de segurança chamada Smart Protection Network. O serviço da Trend entra em ação quando o usuário faz um upload, seja para acessar sua caixa de e-mail ou um site. Nesse caso, ele é direcionado à rede de servidores da Trend, que realiza, em média, 5 bilhões de pesquisas em páginas da web por dia. “A idéia é fazer consultas constantes à base de informações, que está na nuvem, bloqueando as ameaças antes que cheguem ao usuário e antes até de haver uma vacina”, afirma Fábio Picoli. Se não estiverem cadastrados no banco de dados de ameaças, os arquivos suspeitos ficam retidos até que os servidores confirmem se são maliciosos ou não. Nesse processo, entram as tecnologias de correlação (que analisa comportamentos para detectar aqueles que, em conjunto, representam ameaças) e de avaliação de reputação de e-mail (que valida o endereço IP) e de web (que verifica a credibilidade dos sites).
Para a McAfee, a computação em nuvem é mais uma ferramenta que pode complementar — e reforçar — o antivírus do micro. “É uma forma de evitar que o usuário tenha de manter um arquivo muito grande de vacinas no seu computador”, diz Márcio Lebrão. Com a computação em nuvem, a idéia é ter o arquivo de vacinas nos servidores, que vão enviar ao PC do usuário apenas o antídoto necessário para uma ameaça específica.