Eu sempre achei (e talvez, ainda acho) que, no mundo da segurança, todos os usuários se encaixam, de uma forma ou outra, em duas categorias:
- Aquele que não se infecta, o paranóico, que fica dando refresh no Windows Update a cada 2 minutos para ver se tem uma atualização. Nem tanto talvez. Mas digo, o usuário que coloca tantos programas de proteção que qualquer vírus, ao rodar, ganharia um erro de “memória faltando” e travaria o sistema. Se não é isso, então ele navega com 80% das funções do navegador desabilitadas, não lê cartões virtuais e não abre arquivos do Word. É um ou outro e ambos se encaixam no mesmo grupo.
- O infectado, típico desatento, que não sabe nem o que é um Service Pack. Ele acredita o antivírus ainda se atualiza só 1 vez por semana e que sites na web não podem instalar vírus, porque vírus se pega por disquete em arquivos do Word
Essa é a visão (totalmente exagerada, claro) que eu tinha (e talvez tenho, o que acha?) de todos os usuários de computador. Minha visão foi evoluindo quanto mais contato eu tive com a comunidade de segurança e cheguei a pensar na possibilidade da existência de um meio-termo.
O “meio-termo” seria o usuário que lê as notícias de segurança, que sabe que tem que instalar o Service Pack quando ele for lançado, que usa um antivírus devidamente atualizado e um firewall, mas que não exagera em nada e mesmo assim não é infectado.
Acreditei nisso por um tempo, mas com a recente chuva de logs que aparecem infectados com Windows XP SP2, eu estou tendo minhas dúvidas. 50% dos PCs infectados na Linha Defensiva do fim de dezembro até agora (8 dias), nos casos em que eu analisei o log, são Windows XP com Service Pack 2 aplicado. (Inclusive, no final desse mês de janeiro, devem haver estatísticas sobre qual o sistema infectado mais comum na Linha Defensiva durante o mês inteiro. Quero saber o resultado tanto quanto você.)
O que saiu errado para ele ser infectado com SP2 é um mistério. O sistema não pode ser infectado com bots (porque todas as antigas falha do Sasser/Blaster/Zotob & cia não afetam o sistema) e a maioria dos exploits para o IE não funcionam (com exceção de exploits bem recentes como o WMF). Sem mencionar o DEP, que defende o sistema contra algumas falhas mesmo que o patch não tenha sido aplicado. Mas se o usuário tem o XP SP2 é de esperar que ele também tenha aplicado outros patches… ou não?
Um usuário com SP2 não é um usuário tipo-2. E um usuário infectado não pode ser do tipo-1, porque o tipo-1 provavelmente navega usando Opera com Flash e Javascript desabilitados (oi, esse sou eu). Para ele ser infectado, ele não instalou os patches que devia, mesmo tendo XP SP2. Ou seja, ele é um desatento e não um paranóico. Não pode ser o meio-termo, porque o meio-termo teria aplicado os patches e se protegido, mas não pode ser o desatento porque ele possui pelo menos algumas atualizações no sistema… então qual a resposta para o enigma?
Eu sei que algumas empresas que montam PCs estão colocando SP2 em sistemas novos, provavelmente até para diminuir o número de chamadas ao suporte enquanto o PC está na garantia. Se for esse o caso, os usuários de Windows XP SP2 que eu vejo são na verdade usuários tipo-2 disfarçados por uma instalação que não foi feita por eles, fazendo com que não exista um meio-termo.
Se existe esse meio-termo é difícil responder, principalmente porque ele não vai aparecer na área Remoção de Malware pedindo ajuda (afinal, o bom de ser o meio-termo é não ser infectado e não ser um paranóico). Como um usuário informado, ele teria que participar dos fóruns de segurança e ter um conhecimento razoável, fazendo perguntas interessantes, mas nada de paranóia. Existe tal usuário? E se não existe, ou é uma minoria, eles podem ser educados para se tornarem um meio-termo ou estão fadados a serem eternamento classificados como Tipo-1 e Tipo-2?
Responses to “Existe meio-termo?”
January 4th, 2006 at 1:51
Muito interessante seu raciocínio. Eu acredito em dois tipos de usuários intermediários: o meio-termo que não se infecta - seja por sorte, seja por prevenção consciente - e o meio-termo infectável. Os dois tipos intermediários se distinguem então por uma tênue linha mista de sorte e eventualidade e não, necessariamente, por seus hábitos. O chamado meio-termo infectável não cai para o tipo 2 somente pelo fato de que ocasionalmente - se não for ocasional, é sim um usuário tipo 2 - tenha sido contaminado, tanto por uma desatenção tanto por meio de uma falha bem explorada. Ele, assim, toma conhecimento do problema e busca informações sobre como remover a praga, pedindo ou não auxílio, embora não precise nada mais que um bom artigo.
January 4th, 2006 at 14:10
Rafael
Como escutei certeza vez, “A sorte é parte das habilidades de uma pessoa” — e acredito que isso pode ser exatamente o caso aqui.
Mas ter que dizer que é “pura sorte” não ser infectado é um pouco triste, não acha?
January 4th, 2006 at 18:22
A sorte que se dá pela capacidade e pelas competências, é um outro tipo - perceba a ironia aqui - de sorte e não a literal; a sorte do acaso, a sorte impassível de estatísticas, ou conjugada à elas. É claro que quando se produz um ambiente seguro propício a não infecção por vírus, a infecção se torna algo fora da rotina e improvável. O que você poderia chamar de sorte nesse caso, onde o usuário não se contaminaria, eu chamaria de prevenção. Sorte é quando, mesmo contra a probabilidade de você não se contaminar, você seja infectado e não por falta de descuido. Um lapso, talvez, mas não que algo que comprometa sua copetência ou habilidade. Adicionado a isso, como um quase harduser você toma conhecimento da infecção e busca uma solução.
January 4th, 2006 at 0:58
Acho que é 8 ou 80. Meio/termo pra mim não existe. Há muitas pessoas desinformadas que não se infectam e vice-versa…