Avaliação do Software Livre Antivírus NARF
Este Mês encontramos um pequeno aplicativo que é na verdade um dos mais importantes em nossa vida diária ligada quase que 24 horas em frente a um micro computador.
É sabido que o maior tormento para um usuário, corporativo ou não, é manter seu antivírus atualizado, e muito tempo e dinheiro tem-se gasto na tentativa de não precisarmos mais de atualizações, que em última análise chegam sempre depois. E isso não é culpa de ninguém, pois primeiro temos que ter o vírus e depois a sua vacina.
Esta aplicativo não é uma solução final, mas ajuda e em muito o trabalho de proteção contra vírus.
Acima de tudo o pessoal que o desenvolveu e que o mantém é de primeira linha.
Ah, um pequeno detalhe: é inteiramente grátis ! vale a pena conferir!
O maior problema que podemos encontrar na área de segurança são as atualizações. Sejam elas referentes às últimas vulnerabilidades descobertas no sistema operacional de seu ambiente e aos aplicativos utilizados, sejam elas relativas aos vírus novos que apareceram e estão se espalhando pelo mundo a uma velocidade jamais imaginada.
Obter a informação de que algo de novo está ocorrendo antes que ele possa lhe atingir e causar algum tipo de dano é quase que impossível neste mundo globalizado. Com as comunicações, leia-se também emails, se atinge uma eficiência fantástica e assustadora (na verdade este é o seu objetivo: chegar ao seu destinatário o mais rápido possível). É como estivéssemos on-line 24 horas por dia.
Este tipo de situação fica bastante claro quando falamos de, por exemplo, vírus. Praga que o mais inocente dos usuários de micro computador conhece, ou pelo menos sabe do que são capazes.
Desde o início do aparecimento dos programas antivírus, a comunidade desenvolvedora na área vem buscando uma forma de conseguir detectar novos espécimes de vírus, sem que exista a necessidade de uma atualização de assinatura para tal ação.
Com o passar do tempo diversas alternativas foram encontradas, mas, infelizmente nenhuma delas se mostrou eficiente. A mais comum e conhecida é a chamada "procura heurística".
Infelizmente ela também é responsável pelo mal destas soluções: o denominado "falso alarme".
Quando existe um, os custos envolvidos são grandes o bastante para serem considerados, digamos assim, como vírus mesmos.
Imagine se alguém, teoricamente confiável, como seu programa antivírus, lhe informa que existe uma bomba no seu prédio. Quanto tempo se gastaria na procura da ameaça até que se chegasse a conclusão de que foi um alarme falso?
Enfim, o fato é que estes falsos alarmes acabam por afastar este tipo de solução, e continuamos então a sofrer os ataques e depois, com a chegada da vacina, estabeleceríamos uma luta descomunal para limpeza do ambiente.
Hoje em dia podemos dizer sem medo de errar que as atualizações são o pesadelo de qualquer administrador de redes.
Pensando nisso, fomos informados que desenvolveram um produto, freeware, que auxiliaria em muito, apesar de não erradicar, o combate aos vírus desconhecidos.
A solução foi desenhada para ser utilizado em conjunto com um programa antivírus, auxiliando, em algumas áreas, o combate às pragas.
Seu nome é NARF, e seu propósito maior é controlar o registro de sua máquina e seu comportamento para eventuais alterações ou acessos que poderiam ser encarados como perigosos.
O grupo que desenvolveu o NARF é composto na verdade de um programador, o Marcus Vinicius (narfantivirus@hotmail.com) e de vários colaboradores.
A criação do NARF se deve de acordo com as próprias palavras do Marcus a:
"Se todo vírus tem que entrar por uma certa porta para garantir a sua sobrevivência, então podemos criar um tipo de 'quarentena' para essa porta, onde só será possível passar pela porta quando for permitido pelo usuário, assim vamos diminuir o risco de contaminação do computador"
Bem, vamos a ele.
O setup pode ser baixado gratuitamente do endereço abaixo descrito, e seu tamanho é de pouco mais de 4 Mb.
A instalação é bastante simples, porém registramos o fato das instruções estarem em inglês, o que poderia ser alterado facilmente pelos desenvolvedores.
Sentimos falta também de uma documentação, a qual em apenas uma página poderia ser disponibilizada aos usuários, assim como talvez um pequeno manual. Afinal não são todos os usuários que possuem discernimento suficiente para "descobrir" detalhes do produto. Isso pode levar a uma conclusão distorcida do produto e fazer com que rapidamente ele possa ser mal interpretado.
No site existe uma página de FAQs, mas mesmo assim fica nossa sugestão para a disponibilização de um guia rápido de instalação/utilização.
O objetivo do NARF é monitorar de forma constante, chaves que são críticas no registro e também outras formas de "autostart". Assim quando algum valor desses é alterado, o NARF entra em ação impedindo que essa alteração tenha efeito, fazendo com que seu ícone na barra de tarefas comece a piscar (achamos que deveria, além disso, emitir um alerta sonoro ou algo mais eficiente para o usuário)
Uma vez baixado, executamos o setup não se esquecendo que nesse tipo de aplicação é necessário antes rastrear contra vírus o PC, e, que é imperativo que se mantenha fechado todos os aplicativos.
A instalação foi extremamente fácil e transcorreu de forma rápida e sem problemas em nossa máquina de testes.
O NARF mantém na barra de tarefas seu ícone e quando algo que possa ser encarado como acesso não autorizado é efetuado, ele pisca (já comentado). Aqui também achamos que deveria emitir algum sinal sonoro a fim de chamar a atenção do usuário (também já comentado).
Um
detalhe muito interessante é o fato do NARF logar quando ele é descarregado.
Bem,
precisávamos agora de um espécime para testes, então escolhemos o VBS/LoveLetter.A@mm,
pois o mesmo altera o registro da máquina e infecta arquivos no HD.
Desabilitamos
o real time scanning de nosso antivírus e executamos o maldito que chega aos
usuários como arquivo anexado em um email.
O
resultado foi ótimo: as mudanças no registro foram negadas. Vejam o que o
NARF nos forneceu de output:
Isso faz com que o vírus não fosse executado na inicialização do Windows, colocando-o de lado. É muito bom ter isso em função de que se sua máquina não tem um vírus ativo, ele não consegue seu intento de se multiplicar para outros micros.
Falando
de forma mais simples, o NARF simplesmente "abafou" o Love Letter
e a nossa máquina não se transformou em um ponto de disseminação
para outras máquinas.
Chamo a atenção de que a ação do NARF foi realizada de forma automática e não teve qualquer ação por nossa parte que estávamos assistindo apenas.
O produto não
faz com que o programa antivírus seja deixado de lado, pois o Love
Letter infectou diversos arquivos como mostrado na figura abaixo:
E
na verdade esse não é o seu objetivo. Ele apenas tenta em conjunto com seu
programa antivírus melhorar em muito a proteção dos espécimes que fazem uso
de alterações no registro para se multiplicarem e ficarem "ativos"
na próxima inicialização de seu micro.
Quando
este tipo de alteração tiver como origem alguma operação lícita, basta clicar
no botão "permitir", e o NARF deixará as instruções serem executadas.
Não
sabemos porque, mas não obtivemos acesso aos itens constantes na janela de
configuração, apesar de entendermos que quanto menos o usuário puder alterar
as configurações de um programa de segurança, onde estas alterações possam
significar a perda de sua proteção, melhor será.
Finalmente,
testamos o NARF em um Pentium-MMX - 166 Mhz, com apenas 16 Mb de RAM, com
Windows 95, e não obtivemos problemas.
Se
você for cadastrado, o pessoal de desenvolvimento do NARF lhe envia um email
sempre que houver alguma atualização na ferramenta. Muito bom trabalho!
CONCLUSÃO:
Entendemos
que é uma ferramenta que em absoluto não deve faltar em nenhum micro, pois
fornece uma diminuição considerável de nossa vulnerabilidade aos novos ataques,
ou melhor, dizendo, a novos vírus. Até porque não existe ainda uma ferramenta
que forneça 100% de proteção contra estas pragas.
Ainda
por cima senhores é freeware, não havendo, portanto nem este entrave.
Achamos
que vale a pena, e parabéns ao pessoal do NARF Antivírus por esta iniciativa.
Sucesso
para vocês!
Reportagem veiculada na revista Security Magazine Nº 14 - Ano III
em Abril/2002.