História da segurança virtual: a origem do vírus de computador

Os computadores já fazem parte do dia a dia da humanidade há décadas. Entrando na rotina de trabalhadores e depois se tornando parte integral do entretenimento de muitos, essas máquinas são tão importantes para a sociedade moderna quanto o telefone. Porém, com essa popularidade, vieram os perigos virtuais, os chamados vírus de computador.  

• Malware de Android se espalha a partir de falsas atualizações de segurança
• Páginas da internet sofrem instabilidade após certificado raiz expirar
• Mais de 90% dos malwares chegam por conexões seguras

Embora hoje a segurança digital seja inseparável de assuntos envolvendo os computadores, poucos sabem as origens dessas ameaças, quais foram seus primeiros ataques e até mesmo como apareceram no Brasil, por exemplo. 

É buscando melhor educar as pessoas sobre a história desses riscos digitais que preparamos essa matéria, contando a história dos vírus. 

A Teoria e as primeiras práticas

Antes do nome “vírus”, estudos datados do fim dos anos 1940, escritos por John von Neumann, abordavam a teoria de autômatos que se auto-reproduzem. Esses estudos mostravam que programas de computadores poderiam ser desenvolvidos para se espalharem por outras máquinas, as danificando.

Embora nunca colocada em prática, a teoria fez Neumann ser considerado o pai dos “vírus de computador”, e seus estudos foram usados como base e expandidos em 1972, quando Veith Risak, um pesquisador alemão, publicou seu artigo “Self-reproducing automata with minimal information exchange”. 

O artigo de Risak continha o código de arquivos que conseguiam se replicar, com compartamento parecido com o de vírus biológicos, feito para a linguagem de programação Assembly, usada em computadores SIEMENS 4004/35.

Um ano antes do artigo de Risak, porém, um pesquisador de segurança da BBN, Bob Thomas, já tinha colocado em prática o conceito de Neumann. Em 1971, o que é considerado por muitos estudiosos do tema como o primeiro vírus, o Creeper, foi criado como um teste de segurança para ver se programas podiam se multiplicar sozinhos. 

Por meio de movimento lateral entre discos rígidos, ou seja, avançando de armazenamento em armazenamento a partir de disquetes, o Creeper ia avançando de armazenamento em armazenamento, e em cada nova máquina onde ele era implementado, ele tentava se remover do anterior. Sem fins maliciosos, o Creeper foi um experimento, sendo usado principalmente para comprovar a teoria dos arquivos que se replicavam. 

Pouco depois, em 1974, o Wabbit foi identificado. Esse programa é considerado por muitos estudiosos como o primeiro código malicioso, já que quando ele entrava em um computador, ele fazia diversas cópias de si mesmo que atrapalhavam o desempenho do sistema, chegando ao extremo de travar a máquina. 

Por conta de sua velocidade de multiplicação que ele recebeu o nome de Wabbit, que é uma corrupção da palavra em inglês Rabbit, que significa coelho, um animal conhecido pela sua extrema velocidade de reprodução. 

Surge o Cavalo de Troia

Em 1975, surgiu o ANIMAL, malware com certa discussão se pode ou não ser considerado o primeiro cavalo de Troia da história dos computadores. Desenvolvido por John Walker, o aplicativo era uma versão da popularidade dos programas que tentavam adivinhar qual bicho os usuários estavam pensando.

A criação de Walker teve muita demanda e, para ser compartilhado, era necessário um processo de gravação e transmissão a partir de fitas magnéticas. Walker, tentando facilitar o processo, criou um programa chamado PREVADE junto da instalação do Animal.

Enquanto o ANIMAL era executado, o PREVADE copiava o jogo para pastas na máquina que ainda não o tinham. Embora seu objetivo não fosse malicioso, o seu funcionamento era igual a descrição dos cavalos de troia: um programa escondido em outro fazia modifcações em uma máquina sem permissão ou ciência do usuário. 

O problema severo de segurança: vírus de computador

Fred Cohen, estudando da Universidade da Califórnia do Sul, em 1984, publicou o artigo “Vírus de Computador- Teorias e Experimentos.” Esse estudo foi o primeiro a chamar os programas que se auto replicam como vírus, o que na época causou certa estranheza entre os estudantes da universidade, já que a explosão de casos de AIDS era um dos temas mais falados na sociedade da época, fazendo com que a escolha do termo parecesse algo de mal gosto. 

A década de 80 também marcou o início da popularização dos computadores pessoais, ou seja, de máquinas usadas em casa, para atividades que não fossem só de trabalho. E, em 1986, o primeiro vírus para esse tipo de dispositivo surgiu: o Brain. 

O Brain, segundo relatos da Securelist, foi um trabalho de dois irmãos, Basit e Amjad Farooq Alvi, que tinham uma loja de computadores no Paquistão. Cansados de clientes que faziam cópias ilegais de seus programas de software, eles desenvolveram o Brain, que substitui o setor de inicialização de um disquete por um vírus. O vírus, que também foi o primeiro vírus stealth, ou seja, era executado de forma escondida, continha uma mensagem oculta de direitos autorais, mas não corrompia nenhum dado.

Em 1988, um dos primeiros casos mais globalizados foi identificado, com relatos de ocorrência até mesmo aqui no Brasil. Muitos computadores acabaram sendo infectados pelo chamado "vírus do ping pong". Essa praga modificava arquivos da inicialização do MS-DOS e fazia com que uma tela onde uma bola ficava quicando pelos cantos da imagem fosse exibida quando o PC fosse inicializado. Ele se espalhava a partir de cópias criadas em disquetes que estavam na máquina. 

Surgimento do ransomware

Os hoje em dia famosos ataques de sequestro digital, os ransomware, tiveram sua primeira ocorrência em 1989, a partir de um malware criado por Joseph Popp. Chamado de "AIDS Trojan", mas também conhecido como "PC Cyborg".

O AIDS Trojan substituia um importante arquivo de inicialização dos sistemas MS-DOS, por um que ficava registrando quantas vezes o computador tinha sido ligado desde a infecção. Quando o contador chegava em 90, ovírus entrava em ação, criptografando e escondendo vários arquivos da máquina. Para recuperar os arquivos, era necessário pagar um resgate.

Porém, o AIDS Trojan tinha uma falha severa em sua programação, que permitia que usuários tivessem acesso a chave de descriptografia a partir de uma rápida análise de seu código. Joseph Poop foi preso pela pela Scotland Yard poucos meses após os primeiros casos do AIDS Trojan, e foi considerado mentalmente instável, não podendo ser julgado pelas suas ações. Porém, ele prometeu que todo lucro gerado pelo ransomware foi doado para instituições que estavam estudando o vírus (biológico) da AIDS.

Internet: o grande vetor

Com a Internet se tornando mais acessível ao público, a forma que os vírus de computador infectavam os usuários começou a se adaptar a nova realidade. Não mais dependendo somente de disquetes ou dispositivos infectados, os malwares começaram a se propagar por meio de e-mails, links maliciosos ou até mesmo sites compromissados por invasões.

Além disso, com os quase 30 anos entre os primeiros relatos de vírus e o começo do século XXI, várias variantes foram aparecendo, como ransonware, esquemas de phishing, entre outros, o que criou um cenário misto de ameaças. A primeira ocorrência grave, considerada uma "epidemia digital", se deu em 1999, com o vírus Melissa. 

Desenvolvido pelo estadunidense David L. Smith, o Melissa se espalhava através de emails como um arquivo DOC compatível com as versões 97, 98 (Mac OS) e 2000 do Office Word. A mensagem, com o título de “Aqui está o documento que você me pediu, não o mostre para mais ninguém”, acabava despertando a curiosidade das vítimas, que abriam o documento. Após aberto, o malware forçava o redirecionamento de si próprio para os 50 primeiros contatos da agenda do usuário. O Melissa atingiu o sistema de comunicação de grandes empresas, afetando até mesmo a Intel e a Microsoft.

Pouco depois, em maio de 2000, outra praga ficou famosa, sendo considerada a primeira grande “epidemia digital”, atingindo até mesmo o Brasil. Chamada LoveLetter, o malware seguia o padrão dos vírus de e-mail encontrados naquela época, mas, em vez de ser distribuído como um arquivo de Word infectado, ele era enviado como um arquivo .vbs, formato que quando executado permitia execução de código nos sistemas Windows disponíveis na época. Além disso, os desenvolvedores do vírus aproveitaram uma falha na forma que os computadores da época exibiam o nome dos arquivos para enganar os usuários, que viam o anexo do e-mail como um simples arquivo de texto.

Embora em sua versão original, vinda da Filipinas, segundo estudiosos, não passava de um experimento social, a facilidade do design do LoveLetter permitiu que muitos outros usassem sua estrutura básica para fazer versões mais perigosas, que destruíssem arquivos nas máquinas infectadas. Estima-se que mais de 50 milhões de máquinas no mundo foram infectadas por esse malware. 

Em 2003, o Blaster repetiu o impacto do LoveLetter, mas agora com objetivos mais nefastos. Distribuído da mesma forma que o vírus de 2000, o Blaster usava os computadores infectados com ele como “máquinas zumbis”, onde o criminoso responsável pelo ataque podia as utilizar para os chamados ataques de negação de serviço (DDoS, na sigla em inglês). As máquinas afetadas, para o usuário, também apresentavam instabilidade no sistema e fechavam o sistema operacional do nada.

De acordo com a Symantec, firma de segurança digital americana, pelo menos 188 mil máquinas foram infectadas pelo Blaster dois dias após seu descobrimento.

Um ano depois do Blaster, em 2004, outra ameaça, o Sasser, se consagrou como um dos primeiros vírus a se espalhar sem precisar de interação direta com o usuário. Ele infectava principalmente computadores com sistemas mais antigos, como o Windows NT 4.0, XP e Server 2003. 

Ele utilizava uma falha no Local Security Authority Subsystem Service (LSASS), que ironicamente é um processo responsável por reforçar as políticas de segurança do SO. Depois de infectar um computador, ele procurava outros sistemas vulneráveis pela internet, junto do poder de processamento da máquina onde estava instalada, deixando o desempenho extremamente lento. Ele também impedia que usuários desligassem as máquinas de maneira convencional, com a única forma de desativar os aparelhos sendo a retirada da tomada. 

Entre os efeitos mais devastadores do Sasser, podemos destacar o fato de que o malware bloqueou todas as comunicações via satélite da agência de notícias Agence France-Presse (AFP) e forçou uma companhia aérea estadunidense a cancelar uma série de voos transatlânticos, já que boa parte de suas máquinas foi infectada pelo vírus.

Por fim, um dos últimos avanços de vírus ocorreu em 2014, com o malware Heartbleed, que colocou em risco servidores de toda a Internet. Ele era executado a partir de vulnerabilidades do Open SSL, uma biblioteca criptográfica geral de código aberto usada por diversas empresas pelo mundo. A partir de uma falha na identificação de sinais seguros a partir desse repositório, o Heatbleed conseguia ter acesso a informações sensíveis, como nomes de usuários e senhas, de boa parte dos serviços da internet. Sites como Wikipedia e Github foram afetados, com seus usuários correndo risco de ataques cibernéticos. 

O futuro do vírus

Hoje em dia, os problemas de segurança em computadores, assim como os ataques digitais, fazem parte do léxico popular. Embora nem todo mundo aplique práticas de segurança adequadas, todos têm conhecimento das ameaças.

Considerando o mundo pós 2020, depois da ocorrência da pandemia de covid-19 e a aceleração da transformação digital, o Canaltech entrou em contato  com Fabio Assolini, analista sênior de segurança da Kaspersky, para o questionar sobre a segurança virtual. 

Para Fabio, o cenário atual de vírus e de segurança virtual, por conta do isolamento social, fez com que a maioria dos processos migrassem para o digital, aumentando assim os ataques, com somente nos primeiros oito meses de 2021, no Brasil, os crimes virtuais tendo um aumento de 23% em relação ao mesmo período em 2020. 

Além dos ataques mais comuns, como phishing, Fabio afirma que um dos maiores desafios observados pela Kaspersky são os ataques tipo ransomware, com 5 milhões de tentativas desse tipo de crime digital sendo identificadas de janeiro a agosto de 2021. O analista sênior também comenta que com esse crescimento e sofisticação dos golpes, as pessoas estão mudando a forma que lidam com cibersegurança, aparentando estar mais preocupadas e, no caso de empresas, o entendimento que a proteção não são despesas, mas sim investimentos, adotando os especialistas da área como peças importantes nas tomadas de decisões corporativas. 

Também questionamos Fabio sobre possíveis mudanças nas programações e formas de operação dos malwares. O analista sênior da Kaspersky nos respondeu comentando que é difícil determinar exatamente quais serão as modificações sofridas por ataques cibernéticos no futuro, mas que o que pode ser observado é uma maior inclinação dos criminosos para ataques dirigidos.

Fabio afirma que os grupos de criminosos preferem focar, atualmente, nas escolhas das vítimas, que geralmente são grandes empresas capazes de efetuar altos pagamentos de resgate. O analista também acredita que eventualmente o mercado de criptoativos e sua falta de regulamentação serão usados constantemente por criminosos digitais, já que vulnerabilidades neles podem ser exploradas para atacar diversas instituições.

Por fim, quando questionado sobre os riscos digitais do Brasil no cenário pós-pandemia, Assolini afirma que com o uso cada vez mais intenso dos meios digitais já está causando um grande aumento nos ataques digitais ocorridos no país. Assolini afirma que com o trabalho remoto, onde funcionários acessam redes corporativas pelas suas conexões pessoais, aumentam as superfícies de ataque para os criminosos, sendo que a tendência, se empresas e usuários não tomarem cuidado, é que cada vez mais ataques ocorram a partir dessas interações. 

Fonte: Kaspersky, Wikiant, OverBr, Docmanagement, Avast, Hakin9, Malware Wiki, Microsoft