Por que provedores deveriam usar o MAV Mail Suite? (Parte 2)
Continuando a seqüência iniciada em um post anterior, agora eu vou falar de antivírus para servidores de e-mail.
Em primeiro lugar, é desnecessário lembrar a importância de ter um bom antivírus no servidor de e-mail. Vale lembrar também que ter um antivírus que resolva 99% dos seus problemas é o mesmo que não ter um antivírus, pois basta a passagem de um vírus para a qualidade do serviço da rede cair drasticamente.
No caso de provedores wireless, apenas um cliente infectado por vírus consegue facilmente fazer a qualidade da rede wireless, entre os clientes e o provedor, cair a um nível de perda de pacotes suficiente para tornar a navegação na internet completamente inviável.
Instalar um antivírus gratuito em um servidor de e-mail com Qmail é relativamente simples também. Basta instalar e configurar o Clamav e integrá-lo com o Qmail, utilizando o qmail-scanner ou qualquer outra ferramenta semelhante. Qualquer mensagem que chegar com um vírus (dado que a vacina já tenha sido liberada) o Clamav vai identificar (ele realmente é bom nisso) e bloquear o vírus, impedindo que a mensagem infectada chegue ao usuário. A principio o resultado seria o mesmo que usando o MAV.
Toda a diferença reside no fato de que é público e notório que a tecnologia de bloquear vírus por vacinas já não é mais suficiente: há um bom tempo. O MAV não confia toda a sua qualidade somente neste sistema desde a versão 4.0.
Um primeiro exemplo deste problema é o que aconteceu em Janeiro de 2007, quando o vírus Storm/Tempestade lançou vários ataques muito peculiares. Em cada ataque, durante um período de tempo que variava entre dois e três dias, uma nova variante do vírus era lançada a cada 10 minutos. Esse tipo de ataque faz com que a detecção de vírus por vacinas seja bastante ineficiente, já que o ciclo para o lançamento de uma nova versão do arquivo de vacinas dura, em média, três horas. É claro que esse ataque fez um estrago enorme por todo o Brasil. Em virtude dele, duas camadas extras do antivírus do MAV se fizeram valer: o sistema Sandbox v2 da Norman, e o sistema de Assinatura Dinâmicas de Vírus, que nós desenvolvemos na MAV.
O Norman Sandbox v2 executa, de forma segura, todos os arquivos executáveis que chegam ao servidor de e-mail em uma máquina virtual, analisando o comportamento do arquivo. Mais de 60% dos vírus novos são detectados por esse sistema, mesmo que não haja uma vacina para ele. E a taxa de falsos positivos é nula.
Para os vírus que, ainda assim, não são detectados, entra em ação um sistema de colaboração do MAV, chamado "Assinaturas Dinâmicas de Virus". Todos os clientes do MAV se reportam a esse sistema sempre que um arquivo executável é recebido (apenas uma "impressão digital" do arquivo é enviada). Quando o sistema detecta que várias pessoas estão enviando o mesmo arquivo executável para várias outras, este é marcado como vírus, e uma assinatura é criada para ele automaticamente. Em menos de uma hora todos os clientes do MAV estão protegidos.
Entre 22 e 24 de Janeiro de 2007, o sistema bloqueou 87 variantes diferentes do worm Tempestade muito rapidamente.
Em último caso, o MAV Gerente identifica arquivos executáveis, mesmo que estejam compactados e renomeados. Por exemplo: mesmo que você pegue um executável “hello.exe”, renomeie-o para hello.txt e ainda crie um arquivo ZIP hello.zip com ele lá dentro, o MAV Gerente consegue abrir o arquivo ZIP e aponta a existência de um arquivo executável que foi renomeado. Como 98% dos vírus que chegam por e-mail são arquivos executáveis, ao ativar esse bloqueio de executáveis no MAV Gerente, está praticamente eliminada a chance de passar um vírus por e-mail para a rede.
Sinceramente, eu não me lembro da última vez que foi reportado ao nosso suporte técnico, que um vírus que tenha passado pelo MAV. Ao mesmo tempo é muito fácil lembrar da última vez que o sistema de vacinas não foi capaz de segurar um vírus rapidamente. A diferença é que nós não contamos apenas com essa camada para gerar segurança.
O segundo exemplo de que o sistema de vacinas não é mais suficiente é que, por ser uma tarefa computacionalmente complexa analisar e verificar a existência de uma vacina para um arquivo em um banco de dados com mais de um milhão e meio delas, é comum, quando há um grande ataque de vírus na internet, alguns servidores não suportarem a carga necessária para receber e excluir tantos e-mails infectados ao mesmo tempo. Há casos em que o sistema de e-mail simplesmente pára. Para resolver o problema o MAV tem a MAV BL.
A MAV BL é um banco de dados capaz de listar todos os IPs que tentaram enviar vírus para clientes MAV nas últimas 24 horas. Este banco de dados é replicado de hora em hora para todos os clientes. Como uma consulta no banco de dados da MAV BL é praticamente de graça e não existe a necessidade de esperar o e-mail chegar para saber que ele é um vírus, isso gera uma economia enorme de processamento no servidor e de banda de internet. O resultado é um serviço de e-mail com uma qualidade muito superior.
Por que os provedores deveriam usar o MAV Mail Suite? Porque segurança contra vírus é coisa séria: o modelo atual de bloqueio por vacinas não é mais suficiente e o MAV enfrenta essa nova realidade da maneira correta.
No próximo post eu vou falar do monitoramento em tempo real.
Um abraço e tenham um bom dia.