Um dos tópicos de interesse em 7 Tutoriais é segurança. Não apenas escrevemos artigos e tutoriais sobre como ter uma experiência de computação segura, mas também revisamos produtos de segurança regularmente. Uma das coisas sobre as quais queríamos saber mais é como os produtos de segurança são feitos: quais são as etapas envolvidas? os desafios mais importantes? A sorte é que tivemos a oportunidade de nos encontrar com Alexandru Constantinescu - Gerente de Mídia Social da Bitdefender, que imediatamente disse: "Ei! Por que você não nos visita e aprende mais com a nossa equipe? Nós aceitamos o convite e hoje podemos compartilhar com você uma extensa discussão sobre como os produtos de segurança são feitos ".
Nossos parceiros de discussão
BitDefender é uma empresa de segurança que não deve exigir muita introdução. Ou pelo menos não para nossos leitores. Eles são a principal empresa de segurança na Romênia e desenvolvem produtos de segurança que receberam muitos elogios e agradecimentos. Seus produtos estão constantemente aparecendo em listas com as melhores soluções de segurança.
Fomos para a sede da BitDefender em Bucareste e tivemos uma longa discussão com Cătălin Coșoi - Pesquisador Chefe de Segurança (na foto acima) e Alexandru Bălan - Gerente Sênior de Produto. Eles são pessoas muito conhecedoras e amigáveis, com quem gostamos de ter essa conversa.
Como os produtos de segurança são feitos
Nós não perdemos muito tempo em apresentações e imediatamente começamos nossa conversa.
Quais são os estágios pelos quais você passa ao desenvolver uma nova versão de um produto de segurança, como o Internet Security Suite?
A abordagem não é muito diferente do seu projeto típico de desenvolvimento de software. Digamos que acabamos de lançar a versão 2012 de nossos produtos. Assim que o lançamento terminar, começamos a trabalhar na versão 2013. Primeiro, decidimos sobre o conjunto de recursos e alterações que serão introduzidos nesta próxima versão.
Para identificar os recursos que terão um grande impacto para a próxima versão, temos discussões com vários públicos: revisores, especialistas em segurança, especialistas técnicos e usuários que podem nos fornecer insights sobre o que funciona, o que não funciona e o que poderia funcionar bem na próxima versão. Além disso, nossa própria equipe técnica fornece informações baseadas em sua expertise e visão de onde eles gostariam de levar o produto. Também fazemos uma análise de mercado para entender melhor a (s) direção (s) para onde outras empresas estão se dirigindo. Com base em todas essas entradas, fazemos uma ligação sobre o que é incluído na próxima versão e o que não é.
Depois, temos o estágio de desenvolvimento, com várias fases de teste incluídas. Primeiro, temos uma prévia interna quando testamos nosso software pré-beta. Em seguida, temos vários estágios beta:
- Um beta interno - assim como a visualização interna, mas com um público um pouco maior testando o produto;
- Um beta privado - em que escolhemos um círculo fechado de usuários de fora da empresa para testar o produto. Envolvemos até alguns milhares de usuários e escolhemos pessoas cujo feedback consideramos útil. Incluímos usuários experientes, pessoas com quem tivemos uma colaboração mais longa, especialistas técnicos cuja opinião valorizamos, etc .;
- Um beta público - ocorre de 2 a 3 meses antes do lançamento real. No momento, qualquer pessoa interessada pode pegar o produto, testá-lo e fornecer feedback.
Durante os estágios beta, nós ajustamos o produto continuamente e, pouco antes do lançamento, temos uma pequena janela de tempo para fazer os retoques finais. Em seguida, ocorre o lançamento, em que marketing, relações públicas, vendas e outras equipes estão envolvidos no burburinho necessário, enquanto a equipe de desenvolvimento lida com quaisquer problemas que possam surgir.
De fato, não parece diferente de outros projetos de desenvolvimento de software. No entanto, existem alguns desafios específicos para esse nicho de desenvolvimento de software de segurança?
Isso teria que ser a necessidade de agilidade no verdadeiro sentido da palavra. É fundamental para o nosso nicho, mais do que em qualquer outra linha de desenvolvimento de software. Para proteger os computadores, redes e dispositivos de nossos clientes, precisamos reagir com rapidez a novas ameaças. Geralmente, você não tem muitos tipos novos de ameaças aparecendo em um dia. A maioria dos malwares é simplesmente uma evolução dos malwares mais antigos e geralmente achamos fácil lidar com isso. No entanto, quando algo realmente novo surge, devemos agir muito rápido. Em apenas algumas horas, você precisa entregar pelo menos uma atualização das suas definições ou heurísticas que manterão seus clientes seguros.
É ainda mais difícil quando, para responder a uma nova ameaça, não é suficiente atualizar nossas definições e devemos desenvolver um novo recurso em nosso produto. Isso impacta não apenas os produtos atualmente utilizados por nossos clientes, mas também os novos produtos que estamos desenvolvendo.
Vamos pegar, por exemplo, o Facebook. À medida que cresceu em popularidade, tornou-se uma ferramenta frequente para distribuir spam e malware. Como seria de se esperar, sempre demos atenção a essa rede social e monitoramos os links de malware espalhados por ela e os incluímos em nosso banco de dados em nuvem. No entanto, sentimos a necessidade de desenvolver uma nova ferramenta que lida com malware no Facebook de uma maneira melhor. Foi assim que criamos o conceito do BitDefender SafeGo (um produto também analisado em 7 Tutoriais ). No outono de 2010, lançamos a primeira versão deste produto e, posteriormente, tornou-se parte integrante de nossos produtos de segurança, como o BitDefender Internet Security Suite 2012.
De fato, um ótimo exemplo. Falando de BitDefender SafeGo - você pretende mantê-lo disponível também como um produto gratuito para clientes não pagantes, como é hoje?
Sim, este produto estará disponível em nossos produtos de segurança comercial e como um aplicativo gratuito para Facebook e Twitter. Isso porque os problemas de segurança no Facebook continuarão a existir e se espalharão. Este produto nos ajuda a identificar malware com mais rapidez e proteger nossos clientes pagantes e não pagantes. Além disso, achamos que disponibilizar essa ferramenta gratuitamente ajuda a aumentar a conscientização sobre a BitDefender para clientes que talvez não tenham ouvido falar sobre nós. Se eles gostam do BitDefender SafeGo, temos uma chance maior de eles considerarem outros produtos de segurança que desenvolvemos.
Algum outro exemplo de quando é necessária grande agilidade?
Outra coisa que fazemos o melhor para fazer é tentar identificar oportunidades para atender a outros tipos de necessidades de segurança que as pessoas têm, não apenas sua detecção e proteção padrão de vírus. Por exemplo, se você se lembrar da controvérsia sobre o Carrier IQ - um software instalado por muitos fornecedores de dispositivos móveis, isso significava registrar informações como o local sem notificar os usuários ou permitir que eles optassem por sair. Mesmo que este não fosse um malware e estivesse pré-instalado no seu telefone pela sua operadora de celular, muitas pessoas queriam saber se tinham instalado em seus telefones ou não. Quando soubemos, foi um sábado. Um membro da nossa equipe foi ao escritório, passou de 3 a 4 horas e desenvolveu um produto gratuito a partir do zero para os usuários do Android. Chama-se Bitdefender Carrier IQ Finder e permite que os usuários do Android aprendam rapidamente se estão sendo rastreados ou não.
Vamos falar um pouco sobre computação em nuvem. Nós vemos isso cada vez mais usado em produtos de segurança. Alguns fornecedores até oferecem apenas segurança baseada em nuvem em seus produtos. O que você acha dessa abordagem?
A computação em nuvem definitivamente tem um papel importante no espaço das soluções de segurança. No entanto, acreditamos que uma abordagem híbrida que usa bancos de dados de definição e a nuvem oferece os melhores resultados. Quando apenas a nuvem é usada, você depende da conexão com a Internet. Se isso acontecer, o sistema permanecerá desprotegido. Ter uma combinação de definições de malware e a nuvem oferece melhores resultados na maioria dos cenários de computação.
Você planeja usar a computação em nuvem ainda mais no futuro? Talvez até tenha a mesma abordagem somente na nuvem?
Na verdade não. Acreditamos no uso das tecnologias que melhor se adequam ao objetivo. Por exemplo, se queremos proteger o navegador de um usuário, usamos apenas a nuvem. Sites maliciosos são os mesmos, indiferentes aos sistemas operacionais e navegadores que as pessoas usam para acessá-los. Além disso, se não houver acesso à Internet, o usuário não poderá navegar na web. Portanto, não há problema se a proteção na nuvem também estiver indisponível.
Para o antivírus, acreditamos que é melhor usar as definições clássicas e a nuvem. As definições ajudam a fornecer proteção quando a nuvem não está disponível devido a um drop-out de conexão com a Internet. Além disso, eles fazem com que a análise comportamental de arquivos e aplicativos seja executada mais rapidamente do que quando se tenta usar a nuvem para o mesmo propósito. Quando nosso software faz algum tipo de análise comportamental e de ação, as definições fornecem mais velocidade do que a nuvem.
Conte-nos um pouco mais sobre as tecnologias que o BitDefender usa para proteger um sistema.
Em geral, nos produtos BitDefender existem três tecnologias principais que são usadas para proteger sistemas:
- Comporte - isso monitora e aprende o comportamento geral de seus aplicativos;
- Active Virus Control - monitora as ações tomadas por um aplicativo e bloqueia aquelas que são suspeitas ou mal intencionadas.
- Nuvem - reúne informações de várias fontes sobre malware e se atualiza continuamente. Os dados da nuvem são usados por quase todos os módulos de proteção incluídos em nossos produtos.
Quais são suas fontes para encontrar e aprender sobre novas formas de malware?
Temos muitas fontes para aprender sobre novos vírus e malwares em geral:
- Honeypots;
- BitDefender SafeGo, com o suporte para o Facebook e Twitter;
- Os dados enviados dos computadores de nossos clientes sobre infecções e atividades suspeitas;
- Nossa colaboração com outros provedores de segurança;
- Bancos de dados de malware públicos.
Honeypots Isso parece interessante. Conte-nos um pouco mais sobre eles. O que exatamente eles são?
Os honeypots são sistemas que distribuímos em nossa rede, que atuam como vítimas. Seu papel é parecer com alvos vulneráveis, que têm dados valiosos sobre eles. Nós monitoramos esses honeypots continuamente e coletamos todos os tipos de malware e informações sobre atividades de black hat.
Outra coisa que fazemos é transmitir endereços de e-mail falsos que são coletados automaticamente por spammers da Internet. Em seguida, eles usam esses endereços para distribuir spam, malware ou e-mails de phishing. Coletamos todas as mensagens que recebemos nesses endereços, analisamos e extraímos os dados necessários para atualizar nossos produtos e manter nossos usuários seguros e livres de spam.
Vamos supor que você acabou de identificar uma nova peça de malware. O que você faz com isso? Como você descobre o que faz e como desinfectar melhor um sistema?
Pelo menos inicialmente não estamos interessados em aprender o que esse malware faz. Estamos interessados em saber se o seu comportamento é suspeito ou não, se é um vírus ou não. Isso permite que nossos produtos ajam e façam coisas como cortar o acesso à rede ou colocar em quarentena esse malware.
Todos os novos malwares identificados são enviados automaticamente para nosso laboratório de pesquisa em Iaşi. A equipe de lá cuida da desconstrução dos vírus, entendendo o que eles fazem e atualizando nosso banco de dados de definições com as informações apropriadas.
Falando da equipe de pesquisa, conte-nos um pouco mais sobre eles e seu trabalho em "hackear" vírus.
Bem, eles são uma equipe muito especializada que trabalha em um ambiente muito fechado, de todas as perspectivas. Por exemplo, não queremos vírus nos quais trabalham, sair em estado selvagem ou se espalhar em nossa própria rede. Todos eles são especialistas em segurança especializados em coisas que variam de criptografia a fluência em múltiplas linguagens de programação (incluindo linguagem Assembly), conhecimento de protocolos de internet, técnicas de hacking, etc.
Eles são responsáveis por descriptografar o código de um vírus e atualizar nossos bancos de dados de definições com as informações apropriadas. No entanto, antes de começarem a criar uma atualização de definição por conta própria, eles precisam passar por um longo processo de treinamento e especialização que leva nove meses. Eles não estão autorizados a trabalhar sozinhos com nossos bancos de dados de definição até que tenham passado por todo o treinamento necessário e tenham provado que sabem o que precisam fazer.
Além disso, gostaríamos de esclarecer uma lenda urbana, se você quiser chamar assim: muitos acreditam que os melhores hackers e criadores de vírus são contratados por empresas de segurança, incluindo a BitDefender. Pelo menos quando se trata de nossa empresa, isso não é verdade. Durante o processo de contratação, filtramos todos os candidatos que criaram malware ou fizeram qualquer tipo de invasão de hackers.
Preferimos nos unir aos membros da equipe em quem podemos confiar. Queremos que as pessoas se juntem a nós porque gostam de um grande desafio de segurança e não usam suas habilidades e inteligência para fins egoístas. Todos em nossa equipe de pesquisa podem pelo menos criar seu próprio vírus, se não mesmo hackear um sistema mais complexo. No entanto, eles não fazem isso porque acreditam que não é a coisa certa a fazer e não o uso correto de seus talentos. Além disso, nossa empresa não toleraria esse tipo de comportamento.
Com que frequência seus produtos procuram novas definições em seus servidores?
Uma vez a cada 45 a 60 minutos. É muito importante que tenhamos novas definições entregues o mais rápido possível. Às vezes, se uma determinada situação exigir isso, também enviamos notificações por push, para que nossos produtos de segurança sejam atualizados imediatamente e não esperem pela atualização programada. Gostaríamos de poder enviar dados assim que aprendemos algo novo. No entanto, isso não é viável do ponto de vista técnico e arruinaria a experiência de computação de nossos usuários. É por isso que mantemos as notificações e atualizações no mínimo e as usamos apenas quando realmente faz sentido.
Você colabora com outras empresas e compartilha conhecimento e informações sobre as mais recentes ameaças à segurança?
Sim nós fazemos. Colaboramos com outras 6 empresas, incluindo nossos parceiros para os quais licenciamos nossa tecnologia, como F-Secure ou G-Data. No entanto, não podemos divulgar os nomes das outras empresas.
Quanto você investe nos recursos mais secundários, que não necessariamente contribuem para aumentar a segurança de um sistema? Estou me referindo aos recursos incluídos principalmente no Total Security Suites, como: Controles dos Pais, Backup de Arquivos, Sincronização de Arquivos, etc. Obviamente, os recursos clássicos de um conjunto de segurança, como antivírus, firewall, antispam etc., são o foco principal do trabalho de nossa equipe e recebem a maior parte dos recursos de desenvolvimento de nossa empresa. No entanto, temos equipes dedicadas para cada um dos recursos secundários que oferecemos em nossos produtos e eles são fornecidos conforme necessário, dependendo da quantidade de trabalho necessária para manter esses módulos. Você pode imaginar que não precisamos de tantas pessoas trabalhando no Controle dos Pais quanto no mecanismo de proteção antivírus.
O BitDefender possui uma linha clássica de produtos: BitDefender Antivirus, Internet Security Suite, Total Security Suite e Sphere, que oferece uma licença para até 3 usuários que podem usar o melhor conjunto de segurança que você oferece, em qualquer plataforma que você suporte, em um número ilimitado de dispositivos. Qual destes conceitos é mais popular entre seus usuários? Eles preferem os recursos adicionais de um pacote Total Security ou dos produtos de segurança mais clássicos?
O BitDefender Internet Security Suite é definitivamente o nosso produto mais popular. Há pessoas que aproveitam os recursos adicionais de um Total Security Suite, mas estão em minoria. No entanto, ficamos agradavelmente surpresos com o sucesso e o feedback positivo que recebemos pelo nosso novo produto BitDefender Sphere. Parece que muitas pessoas gostam de ter uma solução de segurança unificada que pode proteger seus PCs, Macs e Smartphones ou Tablets baseados em Android. Eles apreciam muito a flexibilidade de comprar apenas mais uma licença acessível para proteger todos os dispositivos de computação em suas casas.
Por último, mas não menos importante, vamos falar um pouco sobre o Windows 8 e sua nova interface Metro. Você planeja oferecer soluções de segurança projetadas para a nova interface de toque? Você fornecerá produtos de segurança separados para tablets com Windows 8?
Estamos definitivamente trabalhando no fornecimento de alguns produtos interessantes para o Windows 8 e a nova interface do Metro. O desafio do Metro é que os aplicativos sejam executados com restrições e permissões limitadas. Eles não têm acesso total ao sistema como os aplicativos Desktop . Portanto, precisamos encontrar maneiras de contornar isso e fornecer proteção eficaz.
Infelizmente, porém, não temos a liberdade de discutir mais detalhes sobre nossos planos com produtos de segurança para o Windows 8. Poderemos fornecer mais informações mais próximas ao Windows 8 que está sendo finalizado e disponibilizado.
Conclusão
Como você pode ver nesta discussão, desenvolver uma boa solução de segurança não é tarefa fácil. Envolve muito trabalho, conhecimento de diferentes aspectos da computação, rede e segurança. Esperamos que você tenha achado essa conversa interessante e útil para aprender mais sobre todo o processo envolvido.
Antes de fecharmos este artigo, gostaríamos de agradecer à BitDefender por nos enviar este convite e nos dar a oportunidade de ter uma conversa muito interessante com alguns de seus melhores especialistas.
