|||
A palavra "spyware" gera uma reação imediata em qualquer pessoa que tenha navegado na Internet nos últimos anos. Anúncios pop-up, conexões com a Internet que de repente se tornam lentas e ícones estranhos que aparecem misteriosamente na área de trabalho e se recusam a ser removidos – todos esses são eventos associados a um tipo de programa denominado spyware. Embora seja menos comum, esses pequenos incômodos podem extrapolar e apresentar um comportamento claramente malicioso. Por exemplo, o programa pode procurar e roubar informações confidenciais, como nomes de usuário e senhas, para fins fraudulentos.
Como o spyware é um fenômeno relativamente novo e vários programas acabaram agrupados nessa categoria, há muita confusão em relação aos programas e ao risco à segurança que eles representam para os usuários domésticos e as empresas. Com mais de 20 anos de experiência na proteção de indivíduos e empresas contra ameaças de malware, a Symantec pode ajudá-lo a entender melhor e a lidar com o problema do spyware. A abordagem anti-spyware exclusiva da Symantec é orientada pelas necessidades de nossos clientes e parceiros, e nossos anos de liderança na comunidade de segurança. Por meio de nossa abordagem anti-spyware, capacitamos os usuários e as empresas a retomarem o controle de seu ambiente e sistemas, permitindo-lhes manter o software necessário e, ao mesmo tempo, remover os programas indesejados.
Enquanto ameaças como o Blaster, o Welchia e outros malwares notórios infestavam a Internet em 2003, um problema silencioso surgia à medida que programas de spyware proliferavam em sistemas de usuários. Em resposta a esse novo tipo de risco (que a Symantec denominou ameaças expandidas), passamos a ajudar os clientes permitindo que eles detectassem spyware e outros programas indesejados em seus computadores usando os produtos Norton™ e Symantec™ AntiVirus. Essa proteção forneceu a ajuda necessária para um problema pouco compreendido que era ofuscado por ameaças de malware mais evidentes e verdadeiramente destrutivas.
Os tempos são outros e a abordagem da Symantec ao que antes era conhecido como ameaças expandidas evoluiu para enfrentar os desafios impostos por programas agora coletivamente chamados de spyware. Nossa abordagem anti-spyware está centralizada em definições claras, na análise prática do risco representado por programas de spyware e adware e em ajudar nossos clientes a entender e a controlar facilmente os programas presentes em seus sistemas por meio de diretrizes objetivas e da remoção rigorosa de software indesejado.
Essa abordagem se baseia em anos de experiência lidando com questões de segurança semelhantes. Por exemplo, durante anos, os produtos da Symantec têm permitido que os usuários determinem se um conteúdo, aceitável para alguns, mas questionável para outros (como conteúdo adulto), é permitido em seus sistemas. Nossa experiência em enfrentar desafios como esse, que dependem das preferências do usuário e da localização do computador (por exemplo, em casa ou no escritório), demonstrou que informação e flexibilidade são essenciais. Com isso em mente, a meta da Symantec é orientar os clientes a tomarem a melhor decisão para si próprios, sua família e sua empresa.
Também entendemos a importância de não "exagerar" os problemas de segurança, o que cria níveis desnecessários de medo e dúvida enquanto dessensibiliza as pessoas em relação a ameaças mais importantes. Para isso, a Symantec faz uma distinção clara entre ameaças de malware (como vírus) e aplicativos possivelmente indesejados (como spyware e adware), que categorizamos como riscos à segurança. Além do spyware e do adware, os riscos à segurança também incluem programas discadores, utilitários de acesso remoto, ferramentas de hacking e outros tipos de aplicativos que podem ou não ser desejáveis em um sistema.
Embora as definições usadas por grupos do setor, acadêmicos, empresas anti-spyware e outras entidades sejam semelhantes, ainda não se chegou a uma descrição comum para essa área, muitas vezes, confusa e de rápida evolução. A Symantec define spyware e adware da seguinte forma:
Spyware: programas que têm a capacidade de verificar os sistemas ou monitorar a atividade e transmitir informações para outros computadores ou locais no ciberespaço. Entre as informações que podem ser obtidas e disseminadas de maneira ativa ou passiva pelo spyware estão senhas, detalhes de login, números de conta, informações pessoais, arquivos individuais ou outros documentos pessoais. O spyware também pode obter e distribuir informações relacionadas ao computador, aplicativos em execução no computador, uso do navegador da Internet ou outros hábitos de computação do usuário.
Com freqüência, o spyware tenta permanecer desapercebido, ocultando-se ativamente ou simplesmente não se fazendo notar em um sistema conhecido pelo usuário. Esses tipos de programas podem ser obtidos por download em websites (geralmente dedicados a shareware ou freeware), mensagens de e-mail e mensagens instantâneas. Além disso, um usuário pode receber e/ou ativar um spyware sem saber ao aceitar um contrato de licença de usuário final (EULA) de um programa de software vinculado ao spyware, ou ao visitar um website que transfira o spyware com ou sem um desses contratos.
Adware: programas que facilitam a exibição de conteúdo publicitário ao usuário por meio de sua própria interface ou da interface de outro programa. Em alguns casos, esses programas podem reunir informações do computador do usuário, inclusive informações relacionadas ao uso do navegador da Internet ou outros hábitos de computação, e transmitir essas informações para um computador remoto ou outro local no ciberespaço.
O adware pode ser obtido por download em websites (geralmente dedicados a shareware ou freeware), mensagens de e-mail e programas de mensagens instantâneas. Além disso, um usuário pode receber e/ou ativar um adware sem saber ao aceitar um contrato de licença de usuário final de um programa de software vinculado ao adware, ou ao visitar um website que transfira o adware com ou sem um desses contratos.
As definições da Symantec não implicam um juízo de valor sobre a adequação de programas de spyware e adware ou as empresas que apóiam seu desenvolvimento e distribuição. As definições da Symantec descrevem a funcionalidade desses programas para que eles possam ser classificados de acordo com seu perfil de risco.
Embora os riscos à segurança na forma de spyware e adware possam ser vistos como uma extensão do problema representado pelo malware, o sistema de classificação existente para ameaças como worms e vírus - que sempre são indesejáveis e devem ser removidos automaticamente de um computador - não abrange essa nova categoria de aplicativos possivelmente indesejáveis. Como há diferenças importantes entre ameaças de malware e programas de risco à segurança, a Symantec elaborou um sistema de classificação de riscos para avaliar adware e aplicativos relacionados que orienta os usuários na tomada de decisões conscientes sobre o que manter em seus computadores e o que remover deles (consulte a Figura 1). Usando uma calculadora de riscos, esse sistema classifica o impacto geral dos aplicativos em quatro categorias, fornecendo uma designação final do aplicativo como "alto", "médio" ou "baixo" risco e uma recomendação sobre os procedimentos a serem adotados. As quatro categorias usadas nesse sistema de classificação de riscos - impacto sobre o desempenho, impacto sobre a privacidade, facilidade de remoção e dissimulação -, junto com uma visão geral desse sistema de classificação, serão abordadas com detalhes a seguir.
Impacto sobre o desempenho
Uma das áreas mais problemáticas para os usuários e administradores é o impacto inesperado que programas de spyware e adware podem ter sobre o desempenho de um sistema ou rede. Travamentos do sistema, conexões lentas com a Internet e comportamento incomum do navegador da Web são indicadores pertencentes à categoria de "impacto sobre o desempenho", que mede o efeito de um programa de risco à segurança sobre a estabilidade, a velocidade e o desempenho de um sistema. Programas com pontuação mais alta nessa categoria podem gerar horas de trabalho com resolução de problemas, aumento das ligações para o helpdesk de TI e/ou interrupções perturbadoras. Uma amostra limitada do comportamento de aplicativo considerado na análise do impacto sobre o desempenho inclui o seguinte:
| Classificação | Descrição básica |
|---|---|
| Alto | Impacto significativo sobre a estabilidade e/ou o desempenho do sistema |
| Médio | Janelas pop-up freqüentes, substituição da home page, redirecionamento de páginas da Web e resultados de pesquisa |
| Baixo | Impacto mínimo no desempenho do sistema |
Impacto sobre a privacidade
Embora geralmente invisível ao usuário, a violação da privacidade de um usuário e de uma empresa pelo spyware - e com menos freqüência, pelo adware - é uma preocupação grave. O impacto sobre a privacidade resultante de um aplicativo considerado um risco à segurança indica até que ponto ele captura informações sobre usuários, com base em seu comportamento, para uso por terceiros (ou seja, a empresa de spyware ou adware). As informações capturadas pelo programa variam de comportamento básico de navegação na Web a dados sigilosos, como nomes de usuários e senhas, que podem ser utilizados junto com o roubo de identidade ou transferências não autorizadas da conta bancária de uma vítima. Após capturadas, as informações do usuário geralmente são transmitidas a terceiros pela Internet, mas também podem ser enviadas por outros meios ou armazenadas localmente. Uma amostra limitada do comportamento de aplicativo considerado na análise do impacto sobre a privacidade inclui o seguinte:
| Classificação | Descrição básica |
|---|---|
| Alto | Divulgação de informações confidenciais e sigilosas, como números e senhas de contas em instituições financeiras, números e senhas de outras contas, identificadores de cartões de crédito, número do seu CPF ou outros itens equivalentes |
| Médio | Controle da navegação na Web e outros comportamentos semelhantes do usuário, ausência de uma política de privacidade (por exemplo, em um contrato de licença do usuário final), política de privacidade inconsistente com comportamentos observados |
| Baixo | Nenhum impacto ou impacto mínimo sobre a privacidade |
NOTA: Embora a apresentação de um contrato de licença de usuário final que informa aos usuários o tipo de informações capturadas e o que está sendo feito com elas possa representar um risco menor em comparação com um aplicativo que não faz isso, os programas que divulgam essas informações podem ainda assim ser considerados spyware pela Symantec. Um aspecto importante do spyware é a consideração da expectativa do usuário em relação ao que o software faz, que geralmente não está claro em um contrato de licença de usuário final, com freqüência um documento muito longo, apresentado em uma janela pequena e escrito em linguagem jurídica de difícil compreensão para a maioria das pessoas.
Facilidade de remoção
Os programas de spyware e adware freqüentemente resistem à remoção, numa tentativa de prolongar sua permanência no sistema. A medida de remoção da Symantec baseia-se na dificuldade relativa de remoção do sistema de um aplicativo indesejado. O comportamento dessa categoria varia desde aplicativos que podem ser facilmente removidos com um programa de desinstalação provido pelo fornecedor, até aplicativos de spyware e adware que se incorporam no computador de tal maneira que recusam sua remoção. Uma amostra limitada do comportamento do aplicativo considerado na análise de fácil remoção inclui o seguinte:
| Classificação | Descrição básica |
|---|---|
| Alto | Evita a desinstalação; desinstalação não funcional ou incompleta |
| Médio | Não oferece recurso de desinstalação ou instruções de desinstalação passo a passo |
| Baixo | O programa com risco à segurança pode ser removido de maneira eficaz com um recurso de desinstalação padrão para que não seja mais executado no computador e só deixe traços mínimos, ou nenhum |
Dissimulação
Uma característica comum associada a spyware e alguns programas de adware é a dissimulação: os programas podem tentar se instalar sem que o usuário note e depois permanecer ocultos para impedir sua detecção e remoção. A natureza inesperada e aparentemente invisível desse software permite que ele permaneça no computador e execute suas atividades (por exemplo, rastreamento de comportamento, anúncios pop-up etc.) sem ser notado pelo usuário. O comportamento de dissimulação varia de uma instalação "silenciosa" (ou imperceptível) e operações escondidas a programas que informam a um usuário sobre a instalação e ficam bem visíveis no computador (os usuários podem ver os ícones/processos /etc. do programa e entender como ele chegou ao computador).
O comportamento do aplicativo considerado na análise de dissimulação inclui, mas sem limitação, o seguinte:
| Classificação | Descrição básica |
|---|---|
| Alto | Apresenta a maioria dos comportamentos de dissimulação ou todos eles, como instalação silenciosa, nenhuma interface de usuário e ocultação dos processos do aplicativo |
| Médio | Apresenta alguns dos comportamentos de dissimulação, mas não todos, como instalação silenciosa, nenhuma interface de usuário ou ocultação dos processos do aplicativo |
| Baixo | Instalação e comportamento normais do aplicativo |
O exemplo a seguir demonstra o modo como a avaliação dos riscos à segurança da Symantec é utilizada para determinar o provável impacto de um programa de adware no computador de um usuário.
| Categoria | Comportamento | Pontuação |
|---|---|---|
| Desempenho | Anúncios pop-up freqüentes e o consumo de uma quantidade considerável de recursos do sistema | Alto |
| Privacidade | O comportamento de navegação na Web é controlado e as informações sobre websites que o usuário está visitando são enviadas ao fornecedor do adware para análise e entrega de anúncios direcionados (por exemplo, anúncios pop-up) | Médio |
| Remoção | O programa não inclui um recurso de desinstalação e resiste à exclusão manual pelo usuário | Alto |
| Dissimulação | O programa é instalado silenciosamente no navegador da Web do usuário, sem notificação ou apresentação de um contrato de licença do usuário final; seus processos ficam visíveis no Gerenciador de Tarefas do Windows | Alto |
Classificação geral: Alto risco
Ação recomendada: Remoção automática
A pontuação e a classificação gerais do risco são usadas pelo LiveUpdate da Symantec para assegurar que os clientes tenham proteção atualizada contra spyware e outros programas de risco à segurança.
Medidas de reclassificação de riscos à segurança e falsos positivos
Há ocasiões em que um fornecedor de software pode achar que seu produto foi injustamente ou imprecisamente categorizado pela Symantec como um programa de risco à segurança. Quando isso ocorre, a Symantec oferece um formulário on-line através do qual o fornecedor pode enviar uma solicitação à Symantec de um exame mais detalhado e nova resolução. Além disso, a Symantec oferece um formulário baseado na Web para a comunicação de detecções de falsos positivos de spyware e adware.
Devido à sua longa liderança no setor de segurança, a Symantec está em uma posição privilegiada para lidar com os desafios de spyware e adware. O principal recurso anti-spyware da Symantec é a infra-estrutura de segurança escalonável de liderança mundial: a rede Symantec Global Intelligence Network, com mais de 120 milhões de instalações antivírus de desktop, servidor e gateway que permitem a captura de spyware e adware e sua transmissão para análise em centros do Symantec Security Response. O alcance e o tamanho mundial dessa rede proporcionam à Symantec informações incomparáveis sobre o problema de spyware e adware, permitindo melhorar significativamente a capacidade de proteção das organizações e dos usuários finais em todo o mundo.
Os centros do Symantec Security Response - localizados na América do Norte, Ásia, Austrália e Europa - empregam pesquisadores que incluem os especialistas em segurança mais respeitados do setor, e oferecem aos clientes cobertura 24 horas, 7 dias por semana, no caso de eventos de segurança cruciais, independente de quando ocorram. A diversidade de ameaças e riscos à segurança gerenciados pela organização do Symantec Security Response a coloca à frente das pesquisas de spyware. Por exemplo, os pesquisadores anti-spyware da Symantec beneficiam-se do entendimento e da expertise não só do seu grupo, como também dos especialistas anti-spam da Symantec que monitoram e analisam mensagens de e-mail não solicitadas usadas para a disseminação de instaladores de programas de spyware. De forma semelhante, os especialistas em intrusão da Symantec fornecem a análise das maneiras pelas quais a exploração de vulnerabilidades do navegador da Web pode ser usada em conjunto com o spyware para a instalação furtiva dos aplicativos de uma forma "silenciosa" ou ininterrupta.
Os programas de spyware e adware estão ficando cada vez mais sofisticados, sendo que alguns apresentam comportamentos de vírus tradicionais para evitar a detecção, como alteração da forma e do comportamento ou a instalação em áreas internas do sistema. A renomada expertise da Symantec em eliminação de malware, aliada a uma equipe de pesquisadores antivírus experientes, oferece imensas vantagens aos esforços de se manter à frente desses riscos à segurança.
A abordagem anti-spyware da Symantec, a Global Intelligence Network e a expertise comprovada no combate a problemas de segurança semelhantes a spyware proporcionam a nossos clientes uma gama completa de soluções que lhe permitem retomar o controle de seus sistemas e redes. Conseqüentemente, essas soluções e medidas permitem que os indivíduos e as empresas tomem decisões conscientes sobre manter ou remover software indesejado a fim de melhorar a produtividade e aumentar a proteção de sua privacidade.
A melhor defesa contra os riscos à segurança emergentes, como spyware e adware, é a colaboração entre as empresas e organizações. A Symantec está empenhada em trabalhar com grupos do setor, órgãos legislativos, órgãos de segurança pública e outras entidades para superar os desafios e os riscos que o spyware representa para os usuários e as organizações no mundo todo.
Para obter mais informações sobre spyware e adware, registre-se em ses.symantec.com/antispyware para receber uma cópia gratuita do documento "Explorando a avaliação dos riscos de spyware e adware" (em inglês) da Symantec.
