Protegendo você contra malware

Criando o Windows 8

Nos bastidores com a equipe de engenharia do Windows

Protegendo você contra malware

Rate This
  • Comments 0

Uma das questões que abordamos com frequência no Windows 8 é a garantia de que o Windows seja um ambiente de computação seguro, protegido e confiável. Sempre fornecemos uma grande variedade de soluções para cumprir esses objetivos e trabalhamos com uma ampla gama de parceiros do setor. Continuamos aprimorando esses recursos no Windows 8 e garantindo que você tenha sempre opções e controle sobre a forma como protege e gerencia seu PC. Com o Windows 8, estamos ampliando as proteções fornecidas pelo Defender para lidar com uma maior variedade de ameaças em potencial. Jason Garms, o gerente do grupo de programas da nossa equipe de confiabilidade e segurança criou esta postagem, que representa o trabalho de várias equipes. --Steven

Tenho o prazer em compartilhar com vocês alguns dos investimentos que estamos fazendo no Windows 8 para protegê-lo melhor contra as constantes mudanças no cenário de softwares mal-intencionados (“malware”). Neste blog, falarei sobre aprimoramentos nos recursos de mitigação que ajudam a protegê-lo de exploits usados por malware, melhorias no Windows Defender para fornecer proteção em tempo real contra todas as categorias de malware, e o uso de URLs e reputação de aplicativos para protegê-lo de ataques à engenharia social.

Uma visão do cenário atual

Os ataques criminosos continuam evoluindo, e o malware se tornou a arma padrão contra qualquer usuário da Internet, tanto em dispositivos tradicionais como em dispositivos móveis como tablets e celulares. O malware visa todos os sistemas operacionais e navegadores e, nos últimos anos, os ataques criminosos contra aplicativos aumentaram de forma significativa.

Os criminosos também usam engenharia social para fazer com que você realize ações que o deixam exposto a riscos. Uma estratégia de engenharia social cada vez mais comum utiliza campanhas de publicidade online que atraem o usuário para sites que instalam o malware no computador.

Surgiu uma economia relacionada à criação de exploits de vulnerabilidade confiáveis, que os criminosos compram para ajudar a distribuir seus malwares. Os criminosos ganham dinheiro com o malware que desenvolvem, por isso investem em formas de mantê-lo ativo, como, por exemplo, produzindo um volume maior de malware, atualizando-o com mais frequência, até várias vezes por dia, e aumentando seu tamanho e sua complexidade. Alguns malwares são tão complexos quanto aplicativos comerciais.

Apostando na segurança

Usamos o Ciclo de vida de desenvolvimento de segurança (SDL) para desenvolver o Windows com as melhores práticas de teste, desenvolvimento e design de segurança. Alguns dos recursos em destaque são:

  • Análises de design de segurança e modelagem de ameaças. Durante o processo de design, pensamos nas formas como os criminosos podem atacar recursos e cenários, e incorporamos essa análise aos nossos projetos.
  • Gravação de códigos seguros. As ferramentas de qualidade de código e treinamento ajudam a prevenir problemas de códigos comuns no código-fonte do Windows.
  • Teste de penetração. Os engenheiros de segurança adotam o ponto de vista do invasor, analisando todo um conjunto de recursos que formam um cenário.
  • Análises de códigos de segurança. Os engenheiros de segurança fornecem análises adicionais de códigos de segurança para componentes altamente confidenciais.
  • Ferramentas de segurança. As ferramentas constantemente atualizadas com os recursos mais avançados para detectar e explorar software oferecem uma solução escalável para aprimorar códigos existentes.

Dificultando a criação de um exploit no Windows 8

No Windows XP SP2, começamos a criar defesas chamadas de mitigações que dificultam o desenvolvimento de exploits confiáveis para vulnerabilidades de segurança. Cada versão subsequente do Windows continuou a ampliar e aprimorar essas mitigações, porque um único recurso de mitigação pode eliminar uma categoria inteira de exploits. O Windows 8 inclui aprimoramentos nas mitigações que reduzem ainda mais a possibilidade de ataques comuns. Alguns desses aprimoramentos são:

  • ASLR (Address Space Layout Randomization). O ASLR foi apresentado pela primeira vez no Windows Vista e se baseia na ordem aleatória do local da maioria dos códigos e dados na memória, para bloquear possibilidades de o código e os dados estarem no mesmo endereço em todos os PCs. No Windows 8, ampliamos a proteção do ASLR a outras partes do Windows e apresentamos aprimoramentos como a ordem aleatória avançada, que eliminará várias técnicas conhecidas de burlar o ASLR.
  • Kernel do Windows. No Windows 8, trazemos muitas das mitigações do kernel do Windows que anteriormente se aplicavam apenas a aplicativos do modo do usuário. Elas ajudarão a melhorar a proteção contra alguns dos tipos mais comuns de ameaças. Por exemplo, agora impedimos que processos do modo de usuário aloquem a quantidade baixa de 64 K da memória de processos, o que impede a exploração de toda uma categoria de vulnerabilidades de desreferência NULL do modo de kernel. Também adicionamos verificações de integridade no alocador de memória do pool do kernel para mitigar ataques que possam corromper o pool do kernel.
  • Heap do Windows. A memória dos aplicativos é alocada dinamicamente a partir do heap do modo de usuário do Windows. Um grande replanejamento do heap do Windows 8 adicionou proteção significativa com as novas verificações de integridade para ajudar na defesa contra várias técnicas de exploit. Além disso, o heap do Windows agora organiza aleatoriamente a ordem de alocações, para que os exploits não dependam da localização previsível de objetos; o mesmo princípio que torna o ASLR bem-sucedido. Também adicionamos páginas de proteção para determinados tipos de alocações do heap, o que ajuda a impedir exploits que dependem da saturação do heap.
  • Internet Explorer. As vulnerabilidades do tipo “use-after-free” representaram cerca de 75% das vulnerabilidades relatadas no Internet Explorer nos dois últimos anos. No Windows 8, implementamos proteções no Internet Explorer para impedir que um invasor crie uma tabela de função virtual inválida, tornando esses ataques mais difíceis. O Internet Explorer também aproveitará os aprimoramentos no ASLR proporcionados pelo Windows 8.

Impedindo a entrada de malware no seu PC

Ter uma proteção eficaz contra malware é importante para qualquer dispositivo conectado à Internet, e quase todos os PCs com Windows vendidos hoje em dia incluem uma solução antimalware tradicional, apesar de quase sempre ser uma versão com tempo limitado ou de avaliação.

Logo após a disponibilidade geral do Windows 7 em outubro de 2009, nossos dados de telemetria mostraram que praticamente todos os PCs com Windows 7 tinham software antimalware atualizado. No entanto, alguns meses depois, essa tendência começou a diminuir a cada mês, refletindo, provavelmente, a expiração do período de avaliação do antimalware. Um ano depois, pelo menos 24% dos PCs com Windows 7 não tinham proteção antimalware atualizada. Nossos dados também mostram que os PCs que se tornam desprotegidos tendem a ficar nesse estado por um longo período. E quando um software antimalware fica até mesmo uma semana desatualizado, sua capacidade de proteção contra novos malwares é reduzida de forma significativa.

Acreditamos que todos os usuários do Windows 8 devem estar protegidos por softwares antimalware tradicionais que forneçam um nível de proteção eficaz e reconhecido no setor. Há muitas soluções antimalware excelentes disponíveis, que esperamos que sejam atualizadas para proteger os PCs com Windows 8, e nós acreditamos que a maioria dos fabricantes de PCs continuem vendendo PCs com Windows com essas soluções instaladas.

Windows Defender

Se você não tiver outra solução instalada, o Windows 8 fornecerá proteção com uma versão significativamente aprimorada do Windows Defender.

Proteção aprimorada para todos os tipos de malware. Os aprimoramentos no Windows Defender ajudarão a proteger seu PC contra todos os tipos de malware, incluindo vírus, worms, bots e rootkits, com o uso do conjunto completo de assinaturas de malware do Centro de Proteção contra Malware da Microsoft, que o Windows Update enviará regularmente, juntamente com o mecanismo antimalware da Microsoft mais recente. Esse conjunto ampliado de assinaturas é um aprimoramento significativo com relação às versões anteriores, que incluíam apenas assinaturas para spyware, adware e software potencialmente indesejado.

Além disso, o Windows Defender proporcionará proteção e detecção em tempo real de ameaças de malware, com o uso de um filtro do sistema de arquivos, e estará conectado por meio da interface com a inicialização segura do Windows; outro recurso novo de proteção do Windows 8.

Quando você usa um PC com suporte para Inicialização Segura baseada em UEFI (definido na especificação UEFI 2.3.1), a inicialização segura do Windows ajuda a garantir que todas os firmwares e atualizações de firmware sejam seguros, e que não haja alterações no caminho de inicialização do Windows até o driver de antimalware. Isso é feito por meio do carregamento apenas de códigos assinados e validados no caminho de inicialização. Esse processo ajuda a garantir que o código mal-intencionado não seja carregado durante a inicialização ou a continuação, e ajuda a proteger seu PC contra vírus de carregamento de inicialização e setor de inicialização, além de malwares de bootkit e rootkit que tentam ser carregados como drivers.

As mesmas interfaces de inicialização segura usadas pelo Windows Defender, assim como todas as APIs usadas pelo Windows Defender, estão disponíveis para o uso por nossos parceiros de antimalware, para oferecer proteção adicional aos clientes do Windows.

  • Experiência de usuário aprimorada. Criamos o Windows Defender para não ser importuno no uso quase diário, notificando o usuário quando for necessário realizar uma ação ou sobre informações críticas que requerem sua atenção. O Windows Defender também usará o novo agendador de manutenção do Windows 8 para limitar as interrupções.
  • Desempenho aprimorado. As tecnologias de antimalware tradicionaissão conhecidas por afetar o desempenho do sistema. Não é incomum que um software antimalware em execução dobre o tempo necessário em cenários básicos como a cópia de arquivos e a inicialização. Como você leu na publicação do blog, da semana passada, temos muitas pessoas trabalhando no desempenho do sistema, e o Windows Defender melhora de forma significativa o desempenho em todos os principais cenários, em comparação com soluções antimalware comuns no Windows 7, ao mesmo tempo em que mantém uma proteção sólida. Por exemplo, o Windows Defender com sua funcionalidade de proteção total habilitada aumenta o tempo de inicialização em apenas 4%, reduz o tempo da CPU durante a inicialização em 75%, a E/S de disco em 50 MB, e o máximo do conjunto de trabalho em cerca de 100 MB.

Essas melhorias beneficiam a eficiência de energia, o que significa que o Windows Defender consome menos energia, proporcionando uma vida mais longa para a bateria.

Trabalhamos continuamente com parceiros de antimalware durante o processo de desenvolvimento do Windows 8, para oferecer a melhor experiência possível com o Windows no PC, independentemente da solução de antimalware que você escolher. Fornecemos os recursos aos parceiros, como detalhes técnicos de como arquitetamos as melhorias no desempenho do Windows Defender, para que eles tenham a oportunidade de fazer aprimoramentos semelhantes em seus produtos.

Microsoft SmartScreen para Internet Explorer e agora para Windows também

Os softwares antimalware tradicionais desempenham um papel essencial na defesa e na remediação de ataques. No entanto, as tecnologias baseadas em reputação podem oferecer proteção eficaz contra ataques de engenharia social antes da disponibilização das assinaturas de antimalware tradicionais, especialmente contra malwares que fingem ser programas de software legítimos.

O Windows 8 ajudará a proteger seu PC com tecnologias baseadas em reputação, quando você iniciar aplicativos e navegar com o Internet Explorer.

Desde que foi lançado, o filtro SmartScreen usou a reputação de URL para ajudar a proteger os clientes do Internet Explorer contra mais de 1,5 bilhão de tentativas de ataques de malware e mais de 150 milhões de tentativas de ataque por phishing. A reputação de aplicativos, um novo recurso adicionado ao SmartScreen no Internet Explorer 9, oferece uma camada adicional de defesa, para ajudá-lo a tomar decisões mais seguras quando a reputação de URL e o antimalware tradicional não conseguirem impedir o ataque. Os dados de telemetria mostram que 95% dos usuários do Internet Explorer 9 estão optando por excluir ou não executar malware quando recebem um aviso de reputação de aplicativos do SmartScreen.

Sabemos que o Internet Explorer não é a única forma de baixar aplicativos da Internet, por isso o Windows passou a usar o SmartScreen para realizar uma verificação de reputação de aplicativos na primeira vez que você executa aplicativos da Internet.

No Windows 7, quando você executa esses aplicativos baixados, o seguinte aviso é exibido:

Aviso de segurança no Windows 7, que informa "Não foi possível verificar o fornecedor. Tem certeza de que deseja executar este software? Executar/Cancelar; Este arquivo não possui uma assinatura digital válida que verifique seu fornecedor...etc.

No Windows 8, você somente será notificado pelo SmartScreen quando executar um aplicativo que ainda não estabeleceu uma reputação e que, portanto, apresenta um risco maior:

Aviso de segurança no Developer Preview do Windows 8, que informa "O Windows protegeu seu PC. O Windows SmartScreen impediu a execução de um programa não reconhecido. A execução do programa pode expor seu PC a riscos. E dois botões: Executar mesmo assim ou Não executar.

A experiência do usuário com aplicativos com uma reputação estabelecida é simples e rápida: basta clicar e executar, removendo o aviso que você via antes no Windows 7.

O SmartScreen usa um marcador nos arquivos no momento do download para acionar uma verificação da reputação. Todos os principais navegadores e vários clientes de email, além de serviços de mensagens instantâneas, já adicionaram esse marcador, chamado de “marca da Web”, para baixar arquivos.

Calculamos que os usuários padrão vejam um aviso do SmartScreen menos de duas vezes por ano e que, nessas ocasiões, ele represente um cenário de risco maior. Os dados de telemetria mostram que 92% dos aplicativos baixados pelo Internet Explorer 9 já têm uma reputação estabelecida e não exibem avisos. Os mesmos dados mostram que, quando um aviso de reputação do aplicativo é exibido, o risco de contrair uma infecção por malware ao executar o aplicativo está entre 25 e 70%. Além disso, o SmartScreen dá a você os controles administrativos para impedir que amigos inexperientes ou crianças ignorem esses avisos.

Já vimos resultados significativos com essa abordagem no Internet Explorer e temos o prazer em trazê-la para um conjunto mais amplo de cenários no Windows.

Assista a este vídeo que mostra o Windows Defender e a reputação de aplicativos e URL do SmartScreen em ação:


Baixe este vídeo para assisti-lo no seu reprodutor de mídia favorito:
MP4 de alta qualidade | MP4 de qualidade inferior

Em conclusão, adotamos uma abordagem bastante ampla para aprimorar o nível de proteção contra malware no Windows 8, incluindo o uso de processos de SDL voltados para a segurança, a implementação e a atualização de mitigações para ajudar a protegê-lo contra exploits usados por malwares, aprimoramentos no Windows Defender para ajudá-lo na proteção em tempo real contra todas as categorias de malware, e o uso da reputação de URL e aplicativos que ajudam a protegê-lo contra ataques de engenharia social.

Obrigado,

--Jason Garms