Imunizando nossa

Inteligncia contra
Embustes Virtuais
Pedro Antnio Dourado
de Rezende
CopyMarket.com Imunizando nossa inteligncia contra embustes virtuais Pedro A. D. Rezende


1

CopyMarket.com
Todos os direitos reservados.
Nenhuma parte desta publicao poder ser
reproduzida sem a autorizao da Editora.
Ttulo: Imunizando nossa inteligncia contra embustes virtuais
Autor: Pedro Antonio Dourado de Rezende
Editora: CopyMarket.com, 2000


A verdadeira estria do vrus do amor
Pedro Antonio Dourado de Rezende

Sempre que uma epidemia causada por algum vrus de correio eletrnico atinge a Internet via extenses da
HTML, como a do recente Iloveyou ou a do Melissa, espanto-me com o senso de impotncia e
conformismo que perpassa notcias e discusses sobre o assunto, e com a quase unnime superficialidade e
ingenuidade nos aconselhamentos para defesa oferecidos.
{Tais conselhos se resumem geralmente a: mantenha atualizada a verso do seu antivrus, e no aceite
qualquer programa que venha pela Internet. Ambos bvios, mas absolutamente incuos contra o surto inicial
das epidemias citadas. Certamente o vrus do amor no ser o ltimo episdio deste drama, mas tal fato no nos
impede de refletir sobre como o bvio se torna incuo, ou como um pouco de exerccio da nossa prpria
inteligncia pode desfazer a frustrao generalizada e nos erguer defesas virtuais mais eficazes. Se o leitor estiver
interessado em uma receita, poder recompensar-se lendo at o fim.
Um pequeno detalhe no funcionamento de tais vrus, obscurecido em presena de sentimentos frustrantes, ser o
fio condutor desta reflexo. Ele explica o alto grau de virulncia desses ataques e aponta o caminho mais simples
para sua neutralizao. Tais vrus se replicam e/ou causam dano utilizando-se de uma extenso da linguagem
HTML implementada no Internet Explorer verso 4 ou acima (VBScript), valendo-se principalmente de como
comandos HTML em mensagens de email so interpretados pelo emailer deste software, o Outlook Express. (p.e:
http://www.icsa.net/html/press_related/2000/05_04_00_loveletter.shtml )
Li algo (no recordo a fonte) que proclamava o fim do dogma de que dados no podem infectar: Agora, a mera
leitura do texto de uma mensagem de correio eletrnico pode destruir seus dados. alertava o jornalista ao
anunciar o Melissa. Aqui, na pouca informao, h muito de alarmismo e confuso. A confuso comea na
mera leitura do texto. Pois vejamos. Um emailer, como o Outlook Express, o Eudora, o Netscape Messenger
(Windows) ou o Pine (Unix), deve gerenciar a edio e formatao para transmisso, alm de organizar e
visualizar mensagens de email.
O protocolo SMTP base para o servio de email na Internet prev apenas texto como contedo de
mensagens (7 bits). Tendo se tornado o servio mais utilizado na Internet, o SMTP foi por isso estendido para
poder dar carona a outros tipos de contedo, atravs do formato MIME. Da por que alguns emailers atuais
saibam gerenciar attachments. Um emailer deveria poder, para fins de visualizao, separar completamente o
corpo das mensagens (a ser manipulado pelo emailer como texto) de seus anexos (cujo contedo no lhe deveria
dizer respeito). Mas nem todos aceitam faz-lo de forma completa, apesar do MIME permitir ao emailer
identificar, numa mensagem, tipos e fronteiras desses contedos. Mas porque o detalhe da separao completa?
Para quem percebe os riscos inerentes revoluo digital a resposta obvia: Controle.
Cdigo executvel parte da inteligncia de algum, delegada mquina. Quando executa, tal inteligncia
interage com quem a aciona, para processar dados. Quem escreve programas, transfere assim parte de sua
prpria inteligncia ao software que cria. Quem compra ou licencia software, julga til a proclamada inteligncia
com o qual deseja interagir, transferida pelo autor ao software. Quem deseja interagir, guia-se por tais
CopyMarket.com Imunizando nossa inteligncia contra embustes virtuais Pedro A. D. Rezende


2
proclamaes que so promessas para julgar tal utilidade. Quem julga tem, quando no neutralizado em tais
licenas, o cdigo de defesa do consumidor para desestimular engodos nessas promessas, tais como exageros e
omisses grosseiras ou m-f. Mas poucos percebem que as licenas de software proprietrio geralmente anulam
este efeito desestimulante, e menos ainda que a mera investigao e divulgao de tais engodos ser criminalizada
com o UCITA, Uniform Computer Information Transactions Act. (voc j leu e entendeu completamente alguma
licena de uso de software proprietrio?
Veja http://www.cnn.com/2000/TECH/computing/03/07/ucita.idg/index.html )
Se o computador fosse como nossa casa, armazenar dados nele eqivaleria a receber correspondncia ou
mantimentos nela. E rodar software nele eqivaleria a convidar algum para entrar nela. Metforas podem ser
teis, mas tambm perigosas, e eis que tais analogias terminam quando retornamos confuso na mera leitura
do texto. Em estados normais de conscincia, confiamos que nenhum envelope ou saco de batatas ir se
transformar num assaltante, quando lhe dermos as costas em nossa casa. Por outro lado, a distino entre dado e
cdigo executvel pode ser apenas uma questo de contexto. Ao processar dados, a inteno do software pode
ser a de interpret-los como seqncia de instrues (a serem remetidas ao processador) ou manipul-los como
informaes (a serem despachados memria ou a perifricos, tais como monitor, HD, impressora, modem,
etc.)
Sintaxe (formato correto) e contexto (inteno ao processar) que fazem ou no dos dados um cdigo
executvel, transformando sacos de bytes em agentes inteligentes. Aquela confuso est na ambigidade do
sujeito da frase. Antes que algum usurio leia uma mensagem na tela, e para que possa meramente faz-lo, leu-
a tambm (i.e, processou-a) o emailer. As promessas na interface grfica de um emailer podem sugerir que certo
contedo ser manipulado como texto para leitura -- oposto a interpretado como instruo para execuo --,
quando na verdade ora uma, ora outra coisa podem estar sendo feitas. Cdigo executvel no pode ser
confundido com extenso .EXE em nomes de arquivo. Se algum der o nome X.EXE a um arquivo de texto,
no ir transform-lo com isto em cdigo executvel. Por outro lado, qualquer arquivo em formato VBS, VBX,
DLL, PostScript ou HTML , para seus respectivos interpretadores e independente do seu nome, cdigo
executvel. A extenso no nome do arquivo serve apenas para indicar ao sistema operacional o interpretador
adequado ao cdigo ali supostamente contido. Um software um mero jogo entre promessas e confianas.
Onde, para o reprter, h mera leitura de texto, h por trs o olvidado emailer, onde pode ter havido
interpretao. isso o que ocorre naquele emailer, que detm a inabalvel inteno de interpretar qualquer
contedo de attachment em formato HTML a linguagem das pginas da web como se fizesse parte do corpo
da mensagem. Ou seja, como nos casos dos citados vrus, ativados e propagados pelo Outlook. Inicialmente
destinada formatao visual, a linguagem HTML foi, como o SMTP, depois estendida, mas neste caso para que
as pginas web pudessem se assemelhar a programas (com ActiveX, JavaScript, Applets, CGI, etc.). Um controle
ActiveX por exemplo, pode fazer o mesmo que qualquer outro programa no Windows 98, exceto ser
diretamente carregado como aplicativo. Esse poder implica em riscos, e deu no que deu. Por isso aquele detalhe,
sobre quando o software estar, ao processar, interpretando ou apenas manipulando bytes, ser crucial para
podermos controlar nossa exposio a riscos de embustes virtuais. a questo de quem, no conjunto usurio-
software, controla o processamento de bits e bytes, questo que se torna mais aguda quando a mquina nos
conecta ao ciberespao.
Nesse lugar virtual, onde o mundo se afunila e fica como a rua da nossa casa, e a rua do mundo fica estreita
como o fio de telefone, e a porta de nossa casa se encolhe ao formato do conector RJ11 na placa do modem, ao
encaixarmos o fio do telefone ao modem abrimos esta porta, e ao discarmos por acesso proclamamos sua
abertura. A partir da, quem controla a passagem do mundo por nossa porta o software de rede e os aplicativos
que dele se servem (browsers, emailers, irc, etc.), apesar de termos a impresso de que so apenas nossos cliques.
Antes disso detnhamos algum controle sobre o que entrava, quer como executvel ou no, devido ao suporte
CopyMarket.com Imunizando nossa inteligncia contra embustes virtuais Pedro A. D. Rezende


3
fsico que os traziam. Podamos guardar rastros e evidncias do cumprimento ou no de promessas no HD, nos
disquetes e CDs originais. Mas nesse novo lugar mal podemos tentar, pois l rastros, promessas e tudo que h
so etreos simulacros.
Depois do modem ou da placa de rede ter mordido a ma RJ11 que lhes oferecemos, os computadores
passaram a poder ocultar intenes por trs das inteligncias que abrigam. Voc saberia dizer, por exemplo, qual
programa instalou, ou usa, ou o que faz, cada DLL em seu Windows? E o Registry dele saberia? No me agrada a
receita reformatar e reinstalar para quando as coisas desandam. Nesses tempos, quando h crises de confiana
em vrios nveis, meu computador delas no escapa e a integridade do que nele toma forma e transita passa a ser,
cada vez mais, de meu prprio interesse e responsabilidade. Alguns, principalmente os que tem algo a ganhar
com isso, tentam me convencer que havero tecnologias para assumir tal responsabilidade e proteger esta
integridade: Atualize seu antivrus!, me aconselham. Mas isso no tudo, e algo ainda me cheira mal. No
gosto da atitude de empresas de software que embutem na arquitetura de seus produtos o julgamento a priori da
incompetncia (ou da burrice) dos usurios para decidirem o que pode ou no ser executado em suas prprias
mquinas. Acho-a perigosa.
Tecnologia no panacia, e nunca ir substituir responsabilidades humanas. Se eu for omisso, alguma
inteligncia alheia decidir por mim. Circulam estimativas de que o vrus do amor corrompeu (inviabilizando
undeletes) mais de 3 milhes de arquivos pelo mundo, antes que o primeiro antdoto com sua assinatura
ganhasse as rotas de download dos antivrus que sabiam reconhec-lo (posso imaginar a velocidade da minha
conexo, se dele ento precisasse). Esta gerao de vrus que mistura em boas doses a engenharia social [que
nome interessante!...] e a integrao de recursos do Outlook Express, tem conseguido alastrar seus surtos
iniciais de ataque global em cerca de dois dias, menos da metade do tempo com que a industria de antivrus pode
ser acionada e responder. Obviamente esta incrvel virulncia s possvel devido densidade de Outlooks na
Internet, e da automao quase total oferecida ao ciclo infeccioso pelos recursos desse emailer. Principalmente
o recurso da interpretao automtica de contedo HTML em mensagens, que o usurio no pode ali desabilitar
e que permite ao vrus reduzir a participao humana neste ciclo a um simples clique (o tal, para mera leitura de
mensagem). E que, juntos na Internet, transformam o Outlook em perigoso dispositivo para reaes em cadeia.
A lio aqui oculta a de que precisamos enxergar intenes em sacos de bytes. Em qualquer um, em qualquer
lugar. O alerta: Agora, a mera leitura ... nada fala de software. Teria sido mais informativo se dissesse: No
Outlook Express, a mera leitura (etc.). Diminuiria o risco de se estar passando a falsa e alarmante impresso de
que qualquer emailer faz o mesmo. A teoria econmica afirma que a preferncia por marcas pode, num mercado
perfeito, ser tomada como medida de qualidade. Mas no caso do mercado de browsers (que incorporam emailers)
seria muito ingnuo acreditar na sua perfeio, haja vista a deciso do tribunal que condenou, por iniciativa do
departamento de Justia dos EUA e em primeira instncia, seu fabricante por prticas monopolizantes. Portanto
a preferncia pelo Outlook no deve ser confundida com qualidade. claro que, como diz seu presidente, tal
browser um great software. Mas pelo que d aos acionistas da empresa e no pelo que oferece a mim, pois um
emailer que me torna alvo fcil de embustes para que minha caixa de correio fique sempre floreada no me ser
til. Confundir tais referncias seria to ingnuo como atribuir sabedoria ao dinheiro, quando este apenas meio
de troca ou veculo de ambio.
No posso imaginar razes seno subjetivas nessa inteligncia do Outlook Express, que toma qualquer
contedo HTML anexado como parte da mensagem, ferindo o esprito do protocolo SMTP e do formato
MIME descritos em RFCs do Internet Engineering Task Force, e suas recomendaes de segurana. Muito menos na
do fabricante, quando seu presidente diz precisar manter a integrao do seu browser ao Windows para melhor
desenvolver proteo aos usurios, comentando com a imprensa sobre o vrus do amor. Quem h de querer
mais recursos furtivos como este, que num clique dispe de sua mquina a quem quer que seja, pelo ttulo de um
email? Mas o que mais me intriga em tudo isso, que a vasta maioria dos consumidores acredita ser vantagem a
CopyMarket.com Imunizando nossa inteligncia contra embustes virtuais Pedro A. D. Rezende


4
convenincia de se optar pelo browser j embutido no sistema operacional de sua escolha, a ter que ponderar e
avaliar objetivamente os riscos entre opes de browser que envolvam alguma instalao adicional. Abdicam
assim do controle que deveriam exercer sobre o que executa em suas prprias mquinas enquanto estiverem a ler
mensagens de email. Vrus so descobertos ao atacarem, mas grampos de senhas so bem mais dissimulados
(veja a parte 2 sobre troianos abaixo). De novos hbitos ningum gosta, mas neste caso a inrcia e a miopia da
confiana beiram o cmico, levando-os a agir como manada, e a serem tratados como tal por cibervndalos.
Para quem precisa usar um browser no Windows, h pelo menos uma opo igualmente gratuita, cujo cdigo
aberto e em cujo emailer texto apenas texto, se o usurio assim o determinar. No Netscape Messenger, para se
precaver contra cdigo embusteiro em extenses MIME buscando explorar seus recursos, ou contra a ignorncia
antiviral acerca de novos embustes em emails, basta um clique para desabilitar a opo View Attachments
Inline no menu View. Aps isso, ao se abrir um email contendo qualquer contedo MIME este ser
apresentado como arquivo anexado e no ser ali interpretado. Pode-se ento, como normalmente se faz com
attachments cujo tipo o emailer no sabe interpretar, inferir provveis razes para aquela mensagem estar
trazendo aquele arquivo. Por exemplo, verificando-se no corpo da mensagem, alem da sua utilidade, alguma
referncia ao nome ou funo desse arquivo, como seria de se esperar em mensagens bem intencionadas. E s
ento decidir, com um clique sobre o cone do attachment, abri-lo ou no. Ou para a interpretao do Netscape
Navegator ou ento, mantendo inerte o saco de bytes, para a inspeo do antivrus, para a visualizao atravs de
software incuo (Notepad), para gravao em disco ou para a lixeira.
J no Outlook Express (IE5), a nica forma de se evitar a interpretao automtica de contedo HTML
desabilitando a visualizao completa de todas as mensagens. S assim, ou selecionando-se em grupo na lista de
mensagens (com a tecla Shiftsobre vizinhos), pode-se descartar emails suspeitos sem visualiz-los. Para mim a
opo do Netscape sensata e sua receita de cautela no parece difcil. Umas poucas travadas a mais, devido
obscuridade nas APIs do Windows que atormenta os programadores fora da sua fbrica, como os da Netscape,
pode ser um preo aceitvel para se poder exercer o direito de se controlar o cdigo que ir executar em nossa
prpria mquina. Decidir d medo e cansa, mas no decidir pode machucar. Tive a sorte de poder dar meu relato
ao leitor antes que o Windows e seu browser passassem a ser distribudos sob o regime do UCITA, segundo o
qual estaria, por meio desta reflexo, praticando crime econmico e difamatrio contra um great software.
Reflexo que termina com um pensamento: o verdadeiro bug do milnio essa miopia fiducial coletiva, a
Internet ridiculamente simples que a publicidade nos oferece.

Braslia 11 de Maio de 2000

CopyMarket.com Imunizando nossa inteligncia contra embustes virtuais Pedro A. D. Rezende


5

CopyMarket.com
Todos os direitos reservados.
Nenhuma parte desta publicao poder ser
reproduzida sem a autorizao da Editora.
Ttulo: Imunizando nossa inteligncia contra embustes virtuais
Autor: Pedro Antonio Dourado de Rezende
Editora: CopyMarket.com, 2000


Pior que os vrus so os Troianos e seus Backdoors
Pedro Antonio Dourado de Rezende

Vrus so descobertos quando atacam (veja acima a verdadeira estria do vrus do amor). Mas h outro tipo de
programa embusteiro que pode causar dano sem com isso revelar sua existncia. Programas ou mdulos de
programa furtivos, destinados espionagem, ao acesso no autorizado a arquivos, ou a interceptao de
processos no computador da vtima para fraudes, destruio de evidncias ou outros fins escusos, geralmente
chamados de backdoors. Para que um backdoor se torne ativo no computador da vtima, sem que esta perceba a
inteno de embuste no processo, necessrio que algum programa aparentemente inofensivo vtima o inclua
ou faa sua instalao. Estes programas so chamados de troianos, ou cavalos de Tria.
Um troiano pode, por exemplo, instalar um grampo de teclado na mquina da vtima. Um grampo de teclado
um tipo de backdoor que, carregado como servio de background (assim como o antivirus e o software de rede),
intercepta toda transmisso do driver de teclado a qualquer aplicativo. Pode assim registrar toda atividade de
quem digita documentos no computador, capturar senhas de acesso a servios remotos, inclusive aquelas para
autenticao e movimentao de contas bancrias, antes de serem encriptadas para transmisso. A instalao de
grampos de teclado para Windows por um troiano pode ser muito simples e, se o computador estiver
indevidamente protegido, passar desimpedida e desapercebida por quem executa o troiano.
{No meu curso regular de Segurana de Dados na Universidade de Braslia os alunos escolhem o trabalho final
que desejam fazer. Nos ltimos dois anos, em cada turma tem sempre havido algum interessado em
implementar grampos de teclado para Windows, como trabalho final. O motivo que a mim justifica esta escolha
para que se convenam da relativa simplicidade do mecanismo de embuste e da intrnseca falta de segurana
deste sistema operacional. Apenas com a descrio informal encontrada em livros e discutida em aula sobre o
que faz tal grampo, estes alunos tem conseguido sempre, ao final do semestre, apresentar um grampo que
funciona. A experincia deles indica que a forma mais simples para se escrever um grampo de teclado para o
Windows atravs da linguagem VBScript, nele usada extensivamente para controle e comunicao entre
processos, e na qual foi escrito e propagam o Melissa e o Vrus do Amor. No Internet Explorer e no Outlook,
mas no em outros browsers ou emailers, o VBScript considerado extenso da linguagem HTML (active scripting).
Um grampo de teclado pode ser sofisticado, no sentido de ocultar sua prpria instalao (apagando o troiano que
o instalou), sua presena (eliminando seu nome da lista de tarefas do Windows) e o destino de sua desova
(abrindo uma porta de comunicao TCP onde escuta e atende solicitaes para envio de arquivo contendo as
atividades de teclado j registradas, ao invs de transmiti-la para um endereo fixo do espio). O j famoso
administrador remoto para Windows denominado Back Oriffice, por exemplo, pode ser troianizado e contem
um grampo de teclado que no s oculta o destino de sua desova, mas tambm pode autenticar o espio que a
solicita. Entretanto, sempre exigi que, para a apresentao do trabalho de meus alunos, a instalao do grampo
fosse no furtiva, isto , que a instalao fosse executada a partir de um aplicativo (via cdigo de tipo EXE) que
anunciasse seu propsito, para evitar posteriores contaminaes acidentais.
A instalao furtiva de software embusteiro escrito em VBScript enormemente facilitada em computadores de
usurios do Outlook devido interpretao automtica de contedo HTML, pois neste caso o troiano pode ser
um simples attachment em uma mensagem incua, da qual a vtima no teria em princpio motivo para levantar
suspeitas. A instalao seria furtiva porque o Outlook sequer informa o usurio que, ao abrir tal mensagem, um
attachment foi interpretado. A disseminao acidental de cdigo embusteiro um risco real mas tambm um
libi para a atividade criminosa. No caso do Virus do Amor, por exemplo, os suspeitos de sua disseminao
CopyMarket.com Imunizando nossa inteligncia contra embustes virtuais Pedro A. D. Rezende


6
alegam acidentalidade, e parece que as autoridades policiais das Filipinas no tem conseguido elementos para
caracterizar a veracidade ou no deste argumento de defesa. E, para a justia, a defesa deve ter o benefcio da
dvida caso a culpabilidade por negligncia imprudente no prevalea.
Por estes motivos, no processo de estabelecimento de padres do IETF chegou-se ao consenso, em 1991, de que
attachments ao protocolo SMTP em formato MIME no devem ser interpretados automaticamente,
recomendao ignorada pelos engenheiros da Microsoft no projeto do Outlook, provavelmente porque os riscos
inerentes refutao da recomendao no foram considerados relevantes quando a deciso foi tomada, em vista
da funcionalidade pretendida. Mas o momento agora outro, o perfil desses riscos evoluiu -- como tudo na
Internet, muito rapidamente -- e parece no haver hoje justificativas para se manter aquela deciso. Considero
portanto a interpretao automtica de contedo HTML no Outolook uma falha de projeto, cujas conseqncias
se tornam cada vez mais catastrficas enquanto no for revista. O aviso na epidemia do Melissa no foi
entendido, e um novo alerta est sendo dado agora pelo Vrus do Amor.
{Igualmente alarmante em tudo isto, o fato de que a industria antivirus pode estar contrubuindo para ofuscar
o problema. Veja o diretor de marketing da companhia de segurana ISS (Internet Security Systems) no Brasil
tem a dizer sobre decises de projeto, em entrevista reporter do Jornal do Brasil em 18 de maio de 2000: "A
Microsoft teria que adivinhar qual seria a atitude dos hackers, e isto impossvel". No bem assim. A atitude
dos "hackers" to previsvel quanto o movimento de fluxo da gua, que o de ir pelo caminho de menor
resistncia. No caso dos crackers, pelo caminho de menor resistncia do sistema subverso de seus controles e
funes. Clarssimo no caso do acesso em VBScript lista de endereos e interpretao online de HTML,
sendo que a pedra j havia sido cantada antes em todas as listas de segurana que assino, e depois pelo
ExploreZip, e finalmente pelo Melissa. Esta explicao do diretor de marketing cheira a simbiose que pode estar
havendo entre o fabricante do Windows e Outlook e a industria antivirus, conforme alertou Peter Neumann da
SRI International em sua Risks Digest 20.88.
O desenvolvimento de software proprietrio um processo j amadurecido na seguinte rotina: O marketing diz
aos engenheiros qual funcionalidade o usurio quer (ou deve querer), os engenheiros de desenvolvimento dizem
quais as alternativas para sua implementao e as respectivas dificuldades decorrentes. E quando o software
complexo, os engenheiros de segurana dizem quais vulnerabilidades e riscos decorrem dessas alternativas de
implementao, e quais implementaes adicionais poderiam minorar estes riscos e como. H na empresa um
processo de deciso onde algum ento decide e banca. A indstria de software proprietrio prisioneira deste
modelo, pois precisa continuar oferecendo novas funcionalidades para justificar upgrades e manter seu fluxo de
caixa. A nica alternativa hoje conhecida a este modelo a do software livre.
O engenheiro de segurana computacional pago para prever qual o caminho de menor resistncia do software
ao embuste, e quem cr na impossibilidade desta atividade obviamente no pode nunca vir a ser um engenheiro
de segurana, embora possa vir a ser um timo marqueteiro. Em minha atividade de formao de tais
profissionais de segurana, sempre encontro algum com tais crenas, que vem a detestar (e bombar) em meus
cursos. O que parece impossvel prever, entretanto, e que impacta a avaliao da gravidade dos riscos embutidos
nos caminhos de menor resistncia do software, o caminho que seguir a Internet como mecanismo ou
estrutura de interao social.
O problema com a Microsoft que, na sua estratgia para esse processo de deciso, a funcionalidade sempre
prevaleceu sobre os riscos (dito em outras palavras na mesma reportagem do JB por Andr Zambrini, da
Computer Associates). Esta estratgia da Microsoft sempre foi pblica e, at esta semana, motivo de orgulho
para a empresa. Mas parece que agora, com seus problemas na justia, est acordando para o fato de que tal
estratgia, embora lucrativa, pode estar minando a confiana do pblico nos seus produtos (entre os literati, sem
dvida est), e que a longo prazo pode tambm minar sua lucratividade na ausncia das alavancas do monoplio.

Braslia, 16 de Maio de 2000