Segurança Cibernética

[Sarcástico ligado] O Avast é certificado pela CIA: novo testador (in)dependente de antivírus

Jiří Sejtko, 26 Junho 2017

A CIA (Central Intelligence Agency) parece ser o novo testador independente de antivírus. Veja dicas de como desenvolver o seu antivírus e participar.

Selecionar a solução de segurança certa para proteger os seus dispositivos nem sempre é uma decisão fácil: seja porque você é um consumidor ou porque trabalha em uma empresa de porte. Felizmente, existem laboratórios independentes que fazem profissionalmente o trabalho de testar produtos, para que os usuários possam comparar e selecionar a solução que melhor se adapte às suas necessidades. Não é frequente que encontremos um novo laboratório (testador) no pedaço...

No passado dia 22, o Wikileaks publicou documentos da CIA sobre o projeto Brutal Kangaroo. Esses documentos mostram que a CIA testou várias soluções antivírus e, portanto, poderia ser reconhecida como mais um testador (in)dependente de segurança. Claro, os documentos são um pouco antigos, mas mesmo assim vale a pena comentá-los. Estou pessoalmente ansioso para ver a CIA se juntar à Organização de Testes e Padrões Anti-Malware (AMTSO), adotar e colaborar com os padrões de testes existentes e com os novos que deverão surgir...

Tenho o prazer de informar que o Avast Internet Security recebeu a certificação da CIA em seu teste (publicado no WikiLeaks) (procure "AIS" = Avast Internet Security). A Avast foi um dos poucos fornecedores de antivírus que conseguiram detectar que algo suspeito estava acontecendo quando a CIA testou o nosso arsenal virtual para descobrir quais proteções antivírus eles poderiam enganar. Provavelmente a CIA vai preferir que você use algum outro antivírus, ou porque eles não detectaram o malware da CIA ou porque somente acrescentaram informações no arquivo de log.

CIA WikileaksFonte: CIA Wikileaks

No entanto, do ponto de um testador, acho que há bastante espaço para a CIA melhorar. Aqui estão alguns pontos que esperamos que a CIA considere em seus futuros testes. Essas sugestões estão baseadas nas melhores práticas do setor, nas diretrizes da AMTSO e nos padrões recentemente desenvolvidos.

  • Os fornecedores de soluções de segurança devem ser notificados antes do teste e ter a capacidade de configurar corretamente seus produtos, certificando-se de que tudo funciona bem (conexão com a nuvem, atualizações e últimas definições instaladas, etc.). Especialmente se a CIA fizer testes utilizando ferramentas APT (Ameaças Persistentes Avançadas), que eles querem usar para atacar outros países e grandes organizações, é importante configurar corretamente os produtos de segurança a serem testados, caso contrário a CIA pode obter resultados falsos.

  • Desenvolver o seu próprio malware para os testes pode ser considerado antiético, mas alguns testadores de renome usam kits de ferramentas de exploração para testar a proteção dos antivírus. Eu concordo que as circunstâncias são diferentes, já que a CIA realmente deve usar os malwares que produz e precisa testá-los na prática. Testar o malware que você mesmo cria é somente um tipo diferente de teste, não um teste dia-0, nem um teste Mundo Real, mas um tipo de teste futuro. A CIA não é a única que faz isso, os cibercriminosos também fazem a mesma coisa.

  • Não fomos convidados para o processo de testes da CIA e não entendo porquê? A gente perdeu um e-mail deles? Sempre é obrigatório que os testadores confirmem a que as amostras são realmente maliciosas; que publiquem os logs e interações dos malwares usados no teste; contra quais produtos eles foram testados; etc. Sem isso, os fabricantes de antivírus não podem realmente ter certeza de que o teste foi bem executado.

Eu acho que isso já é suficiente e acredito que a CIA tomará algumas providências para se tornar um melhor testador de antivírus, pelo menos eu espero que sim ;).