14 agosto 2015
A magia das fontes anônimas
Quem matou JFK?
Quem está controlando o Triângulo das Bermudas?
Qual é o objetivo dos maçons?
Fácil! Verificar as respostas não poderia ser mais simples. Tudo o que você tem a fazer é acrescentar: “de acordo com fontes anônimas”, e pronto! – Aí está sua resposta – a qualquer pergunta, sobre qualquer coisa ou qualquer um. E as respostas são ainda mais críveis -e não por causa de sua credibilidade… – mas devido ao nível de prestígio comumente atribuído ao meio de comunicação que as publicou.
note to self: when I publish my next APT report, I'll make sure to quote at least two anonymous sources, for added credibility.
— Stefan Tanase (@stefant) August 14, 2015
Nesta sexta (14), a Reuters divulgou uma ‘reportagem’ de cair o queixo no mundo dos antivírus. O artigo, repleto de alegações sensacionais (e igualmente falsas), afirma que a Kaspersky Lab cria malware muito específico, orientado, e envia anonimamente para concorrentes, com o único propósito de causar sérios problemas para eles.
A história é toda baseada em informações fornecidas por ex-empregados -anônimos- da KL. As acusações são um absurdo completo, puro e simples.
I don’t usually read @reuters. But when I do, I see false positives. For the record: this story is a complete BS: https://t.co/m0Rcy2Vm6Y
— Eugene Kaspersky (@e_kaspersky) August 14, 2015
Ex-funcionários costumam dizer coisas desagradáveis sobre seus antigos empregadores; mas, neste caso, as mentiras são apenas ridículas. Talvez essas fontes conseguiram impressionar o jornalista, mas na minha opinião, a publicação de uma reportagem ‘exclusiva’ – SEM UM fragmento de evidência – não é o que entendo ser bom jornalismo. Só estou curioso para ver o que esses “ex-funcionários” vão dizer a mídia da próxima vez sobre nós, e quem pode acreditar nesta bobagem.
A realidade é que a ‘reportagem’ da Reuters é uma fusão de fatos com uma generosa quantidade de pura ficção.
Em 2012-2013, a indústria anti-malware sofreu muito por causa de sérios problemas com falsos positivos. Infelizmente, estávamos entre as empresas afetadas. Foi um ataque coordenado: alguém estava espalhando software legítimo misturado com códigos maliciosos visando especificamente os antivírus de muitas empresas, incluindo a Kaspersky Lab. Permanece um mistério quem fez o ataque, mas agora estou sendo informado que era eu! Estou totalmente surpreso por esta acusação sem fundamento!
Eis o que aconteceu: em novembro de 2012 nossos produtos produziram falsos positivos em vários arquivos que eram legítimos. Uma investigação interna revelou que estes incidentes foram resultado de um ataque coordenado por um agente externo, até hoje desconhecido.
Durante vários meses anteriores aos incidentes, por meio de canais de troca de informações da indústria, como o site VirusTotal, nosso laboratório de pesquisa anti-malware repetidamente recebeu arquivos legítimos ligeiramente modificados com pedaços de código malicioso.
Mais tarde, chegou-se à conclusão de que os atacantes sabiam como os algoritmos de detecção de diferentes empresas funcionam e injetaram o código precisamente em um lugar onde os sistemas de autobusca iriam procurá-lo.
Esses arquivos modificados foram avaliados como malignos e armazenados em nossos bancos de dados. No total, recebemos várias dezenas de arquivos legítimos com código malicioso.
Falsos positivos começaram a aparecer quando os proprietários legítimos dos arquivos começaram a lançar versões atualizadas de seus softwares. O sistema de comparação usou o banco de malware -que continha arquivos muito semelhantes- e sinalizou os legítimos como maliciosos. Depois disso, atualizamos nossos algoritmos para evitar tais detecções.
Os ataques continuaram até 2013 e continuamos a receber amostras modificadas. Também tornou-se público que nossa empresa não era o único alvo: outras receberam esses arquivos, bem como erradamente os sinalizaram como malware.
Em 2013, houve uma reunião entre os principais players de segurança cibernética e outros da indústria de software, que também sofreram com o ataque – assim como fornecedores que não foram afetados pelo problema, mas estavam cientes. Durante esse encontro, os participantes trocaram informações sobre os incidentes, tentaram descobrir as razões por trás, e trabalharam em um plano de ação. Infelizmente nenhum avanço ocorreu, embora algumas teorias interessantes sobre a origem foram expressas. Em particular, os participantes consideraram que algum outro fornecedor de antivírus poderia estar por trás do ataque, ou que foi uma tentativa de um agente malicioso desconhecido, mas poderoso, de ajustar seus malware, a fim de evitar a detecção pelos principais produtos AV.
Acusações como essas não são novidade. No final dos anos 90 eu deveria ter levado a conferências de imprensa um cartaz escrito ‘Não!’. Isso teria me poupado muito tempo. Apenas apontaria para ele quando viesse a inevitável pergunta: “Você cria vírus para que seu produto, em seguida, ‘cure’ as infecções?”. Ah, claro… Ainda hoje me fazem essa mesma questão. Será que alguém realmente acha que um negócio com mais de 18 anos de idade, construído 100% na base da confiança, estaria fazendo essas coisas?
Parece que algumas pessoas simplesmente preferem presumir a culpa até que a inocência seja provada. Sempre haverá gente assim. É a vida. Mas realmente espero que as pessoas vejam como essas denúncias anônimas são tolas e sem fundamento…
O que posso dizer com certeza é que vamos continuar a trabalhar em estreita colaboração com a indústria para tornar o mundo digital mais seguro, e que nosso compromisso e determinação para expor ameaças cibernéticas, independentemente da fonte ou origem, não vai acabar.
A Kaspersky nega que tenha sabotado concorrentes com falsos positivosRetweet