Como os produtos de segurança são feitos - uma discussão com o Bitdefender

Um dos tópicos de interesse do 7 Tutoriais(7 Tutorials) é a segurança. Não apenas escrevemos artigos e tutoriais sobre como ter uma experiência de computação(computing experience) segura, mas também revisamos produtos de segurança regularmente. Uma das coisas sobre as quais queríamos aprender mais é como os produtos de segurança são feitos: quais são as etapas envolvidas? os desafios mais importantes? etc. Por sorte(Luck) tivemos a chance de nos encontrar com Alexandru Constantinescu - Gerente de Mídia Social(Social Media Manager) da Bitdefender , que imediatamente disse: "Ei! Por que você não nos visita e aprende mais com nossa equipe? Aceitamos o convite e hoje(invite and today)podemos compartilhar com você uma extensa discussão sobre como os produtos de segurança são feitos."

Nossos parceiros de discussão

BitDefender é uma empresa de segurança(security company) que não deve exigir muita introdução. Ou pelo menos não para nossos leitores. Eles são a empresa líder em segurança(security company) na Romênia(Romania) e desenvolvem produtos de segurança que receberam muitos elogios e apreços(praise and appreciation) . Seus produtos estão constantemente aparecendo nas listas das principais soluções de segurança.

BitDefender - Cătălin Coşoi

Fomos à sede da BitDefender(BitDefender headquarters) em Bucareste(Bucharest) e tivemos uma longa discussão com Cătălin Coșoi - Pesquisador Chefe de Segurança(Security Researcher) (na foto acima) e Alexandru Bălan - Gerente Sênior de Produto(Product Manager) . Ambos são pessoas muito conhecedoras e amigáveis, com quem gostámos de ter esta conversa.

Logo do BitDefender

Como os produtos de segurança são feitos

Não perdemos muito tempo com apresentações e imediatamente começamos nossa conversa.

Quais são as etapas pelas quais você passa ao desenvolver uma nova versão de um produto de segurança, como um Internet Security Suite?(What are the stages you go through, while developing a new version of a security product, such as an Internet Security Suite?)

A abordagem não é muito diferente do seu projeto de desenvolvimento de software(software development project) típico . Digamos que acabamos de lançar a versão 2012 de nossos produtos. Assim que o lançamento termina, começamos a trabalhar na versão 2013. Primeiro(First) , decidimos sobre o conjunto de recursos e mudanças que serão introduzidos nesta próxima versão.

Para identificar os recursos que terão grande impacto para a próxima versão, discutimos com diversos públicos: revisores, especialistas em segurança, especialistas técnicos e usuários que podem nos dar insights sobre o que funciona, o que não funciona e o que poderia funcionar bem na próxima versão. Além disso, nossa própria equipe técnica fornece informações com base em sua experiência e visão(expertise and vision) de onde eles gostariam de levar o produto. Também fazemos uma análise de mercado(market analysis) para entender melhor a(s) direção(ões) para onde as outras empresas estão indo. Com base em todas essas entradas, fazemos uma chamada sobre o que será incluído na próxima versão e o que não será.

Em seguida, temos a etapa de desenvolvimento(development stage) , com várias fases de teste incluídas. Primeiro(First) , temos uma prévia interna quando testamos nosso software pré-beta. Em seguida, temos vários estágios beta:

  • Um beta interno –(beta –) assim como o preview interno, mas com um público um pouco maior testando o produto;
  • Um beta privado –(beta –) onde escolhemos um círculo fechado de usuários de fora da empresa para testar o produto. Envolvemos até alguns milhares de usuários e escolhemos pessoas cujo feedback consideramos útil. Incluímos usuários experientes, pessoas com quem tivemos uma colaboração mais longa, especialistas técnicos cuja opinião valorizamos, etc.;
  • Uma versão beta pública –(beta –) ocorre de 2(place 2) a 3 meses antes do lançamento real. Neste momento, qualquer pessoa interessada pode pegar o produto, testá-lo e fornecer feedback.

Durante os estágios beta, ajustamos o produto continuamente e, pouco antes do lançamento, temos uma pequena janela de tempo para fazer os retoques finais. Em seguida, ocorre o lançamento, onde as equipes de marketing, relações públicas, vendas e outras estão envolvidas em fazer o burburinho necessário, enquanto a equipe de desenvolvimento(development team) lida com quaisquer problemas que possam surgir.

Na verdade, não soa diferente de outros projetos de desenvolvimento de software. No entanto, existem desafios específicos para esse nicho de desenvolvimento de software de segurança?(Indeed, it doesn't sound different from other software development projects. However, are there any challenges specific to this niche of developing security software?)

Isso teria que ser a necessidade de agilidade no verdadeiro sentido da palavra. É fundamental para o nosso nicho, mais do que em qualquer outra linha de desenvolvimento de software(software development) . Para proteger os computadores, redes e dispositivos de nossos clientes, devemos ser muito rápidos em responder a novas ameaças. Geralmente, você não tem muitos novos tipos de ameaças aparecendo em um dia. A maioria dos malwares é simplesmente uma evolução de malwares mais antigos e geralmente achamos fácil lidar com isso. No entanto, quando algo realmente novo surge, devemos agir muito rápido. Em apenas algumas horas você tem que entregar pelo menos uma atualização de suas definições ou heurísticas que manterão seus clientes seguros.

É ainda mais difícil quando, para responder a uma nova ameaça, não basta atualizar nossas definições e devemos desenvolver um novo recurso em nosso produto. Isso afeta não apenas os produtos atualmente usados ​​por nossos clientes, mas também os novos produtos que estamos desenvolvendo.

Tomemos como exemplo o Facebook . À medida que cresceu em popularidade, tornou-se uma ferramenta frequente para distribuição de spam e malware(spam and malware) . Como seria de esperar, sempre ficamos de olho nessa rede social e monitoramos os links de malware que se espalhavam por ela e os incluímos em nosso banco de dados na nuvem. No entanto, sentimos a necessidade de desenvolver uma nova ferramenta que lidasse melhor com malware no Facebook . Foi assim que criamos o conceito do BitDefender SafeGo (um produto analisado também em 7 Tutoriais(7 Tutorials) ). No outono de 2010 lançamos a primeira versão deste produto e, posteriormente, tornou-se parte integrante de nossos produtos de segurança, como o BitDefender Internet Security Suite 2012 .

Aliás, um ótimo exemplo. Falando em BitDefender SafeGo – você pretende mantê-lo disponível também como um produto gratuito para clientes não pagantes, como é hoje?(Indeed, a great example. Speaking of BitDefender SafeGo – do you intend to keep it available also as a free product for non-paying customers, as is today?)

Sim, este produto estará disponível em nossos produtos de segurança comercial e como um aplicativo gratuito do Facebook e Twitter(Facebook and Twitter app) . Isso porque os problemas de segurança no Facebook continuarão existindo e se espalhando. Este produto nos ajuda a identificar malware mais rapidamente e proteger nossos clientes pagantes e não pagantes. Além disso, achamos que disponibilizar esta ferramenta gratuitamente ajuda a aumentar a conscientização sobre o BitDefender para clientes que podem não ter ouvido falar de nós. Se eles gostarem do BitDefender SafeGo(BitDefender SafeGo) , temos uma chance maior de eles considerarem outros produtos de segurança que desenvolvemos.

Algum outro exemplo de quando uma grande agilidade é necessária?(Any other examples of when great agility is needed?)

Outra coisa que fazemos o nosso melhor é tentar identificar oportunidades para atender a outros tipos de necessidades de segurança que as pessoas têm, não apenas sua detecção e proteção de vírus(virus detection and protection) padrão . Por exemplo, se você se lembra da controvérsia sobre o Carrier IQ – um software instalado por muitos fornecedores de dispositivos móveis, que registrava informações como localização sem notificar os usuários ou permitir que eles optassem por não participar. Apesar de não ser um malware e ter sido pré-instalado em seu telefone pela operadora(mobile carrier) de celular , muitas pessoas queriam saber se o tinham instalado em seus telefones ou não. Quando soubemos disso, era um sábado(Saturday) . Um membro da nossa equipe foi ao escritório, gastou cerca de 3 a 4 horas e desenvolveu um produto gratuito do zero, paraUsuários do Android(Android) . Chama-se Bitdefender Carrier IQ Finder e permite que os usuários do Android saibam rapidamente se estão sendo rastreados ou não.

Vamos falar um pouco sobre computação em nuvem. Nós a vemos cada vez mais usada em produtos de segurança. Alguns fornecedores até oferecem apenas segurança baseada em nuvem em seus produtos. O que você acha dessa abordagem?(Let's talk a bit about cloud computing. We see it used more and more in security products. Some vendors even offer only cloud-based security in their products. What do you think about this approach?)

A computação em nuvem(Cloud) definitivamente tem um papel importante no espaço de soluções de segurança. No entanto, acreditamos que uma abordagem híbrida que usa bancos de dados de definição e a nuvem oferece os melhores resultados. Quando apenas a nuvem é usada, você depende da conexão com a Internet(Internet connection) . Se isso desaparecer, o sistema permanece desprotegido. Ter uma combinação de definições de malware e a nuvem oferece melhores resultados na maioria dos cenários de computação.

Você planeja usar a computação em nuvem ainda mais no futuro? Talvez até adote a mesma abordagem somente na nuvem?(Do you plan to use cloud computing even more in the future? Maybe even take the same cloud-only approach?)

Na verdade. Acreditamos no uso das tecnologias que melhor se adequam ao propósito. Por exemplo, se queremos proteger o navegador da web de um usuário, usamos apenas a nuvem. Sites maliciosos são os mesmos, indiferentes aos sistemas operacionais e navegadores que as pessoas usam para acessá-los. Além disso, se não houver acesso à Internet(Internet access) , o usuário não poderá navegar na web. Portanto, não há problema se a proteção na nuvem(cloud protection) também estiver indisponível.

Para o antivírus, acreditamos que é melhor usar as definições clássicas e a nuvem. As definições ajudam a fornecer proteção quando a nuvem não está disponível devido a uma queda de conexão com a Internet . (Internet connection)Além disso, eles fazem a análise comportamental de arquivos e aplicativos rodar mais rápido do que quando se tenta usar a nuvem para o mesmo propósito. Quando nosso software está fazendo qualquer tipo de análise comportamental e de ação(action analysis) , as definições fornecem mais velocidade do que a nuvem.

Conte-nos um pouco mais sobre as tecnologias que o BitDefender usa para proteger um sistema.(Tell us a bit more about the technologies BitDefender uses to protect a system.)

Em geral, nos produtos BitDefender existem três tecnologias principais que são usadas para proteger os sistemas:

  • Comportamento(Behave) – isso monitora e aprende o comportamento geral de seus aplicativos;
  • Controle Ativo de Vírus(Active Virus Control) – monitora as ações realizadas por um aplicativo e bloqueia(application and blocks) aquelas que são suspeitas ou mal intencionadas.
  • Nuvem(Cloud) – reúne informações de várias fontes sobre malware e se atualiza continuamente. Os dados da nuvem são usados ​​por quase todos os módulos de proteção incluídos em nossos produtos.

Quais são suas fontes para encontrar e aprender sobre novas formas de malware?(What are your sources for finding and learning about new forms of malware?)

Temos muitas fontes para aprender sobre novos vírus e malware em geral:

  • Honeypots;
  • BitDefender SafeGo , com suporte para Facebook e Twitter(Facebook & Twitter) ;
  • Os dados enviados(data sent) dos computadores de nossos clientes sobre infecções e atividades suspeitas;
  • Nossa colaboração com outros provedores de segurança;
  • Bancos de dados públicos de malware.

Honeypots. Isso parece interessante. Conte-nos um pouco mais sobre eles. O que exatamente eles são?(Honeypots. That sounds interesting. Tell us a bit more about them. What exactly are they?)

Honeypots são sistemas que distribuímos em nossa rede, que atuam como vítimas. Seu papel é parecer alvos vulneráveis, que possuem dados valiosos sobre eles. Monitoramos esses honeypots continuamente e coletamos todos os tipos de malware e informações(malware and information) sobre atividades de black hat.

Outra coisa que fazemos é transmitir endereços de e-mail falsos que são coletados automaticamente por spammers da Internet . Em seguida, eles usam esses endereços para distribuir e-mails de spam, malware ou phishing. Coletamos todas as mensagens que recebemos nesses endereços, analisamos e extraímos os dados necessários para atualizar nossos produtos e manter nossos usuários seguros e livres de spam.

Vamos supor que você acabou de identificar um novo malware. O que você faz com isso? Como você descobre o que ele faz e como desinfetar melhor um sistema?(Let's assume you just identified a new piece of malware. What do you do with it? How do you find out what it does and how to best disinfect a system?)

Pelo menos inicialmente não estamos tão interessados ​​em aprender o que esse malware faz. Estamos interessados ​​em saber se seu comportamento é suspeito ou não, se é um vírus ou não. Isso permite que nossos produtos atuem e façam coisas como cortar o acesso à rede ou colocar(network or place) em quarentena esse malware.

Todos os novos malwares identificados são enviados automaticamente para nosso laboratório de pesquisa(research lab) em Iaşi . A equipe de lá se encarrega de desconstruir os vírus, entendendo o que eles fazem e atualizando nosso banco de dados de definições com as informações apropriadas.

Falando da equipe de pesquisa, conte-nos um pouco mais sobre eles e seu trabalho em "hackear" vírus.(Speaking of the research team, tell us a bit more about them and their work on "hacking" viruses.)

Bem, eles são uma equipe muito especializada que trabalha em um ambiente muito fechado, de todas as perspectivas. Por exemplo, não queremos que os vírus em que trabalham, saiam à solta ou se espalhem(wild or spread) em nossa própria rede. Todos eles são especialistas em segurança qualificados em coisas que variam de criptografia a fluência em várias linguagens de programação (incluindo linguagem Assembly(Assembly language) ), conhecimento de protocolos de internet, técnicas de hacking, etc.

Eles são responsáveis ​​por descriptografar o código de um vírus e atualizar nossos bancos de dados de definições com as informações apropriadas. No entanto, antes de começar a trabalhar na criação de uma atualização de definição(definition update) por conta própria, eles devem passar por um longo processo de treinamento e especialização(training and specialization) que leva 9 meses. Eles não estão autorizados a trabalhar com nossos bancos de dados de definição por conta própria até que tenham passado por todo o treinamento necessário e tenham provado que sabem o que devem fazer.

BitDefender - Escritório

Além disso, gostaríamos de esclarecer uma lenda urbana, se você quiser chamá-la assim: muitos acreditam que os melhores hackers e criadores de vírus são contratados por empresas de segurança, incluindo BitDefender . Pelo menos quando se trata de nossa empresa, isso não é verdade. Durante o processo de contratação(hiring process) , filtramos todos os candidatos que criaram malware ou fizeram qualquer tipo de hacking black-hat.

Preferimos ser acompanhados por membros da equipe em quem podemos confiar. Queremos que as pessoas se juntem a nós porque gostam de um grande desafio de segurança(security challenge) e não usam suas habilidades e inteligência para fins egoístas. Todos em nossa equipe de pesquisa(research team) podem pelo menos criar seu próprio vírus, se não hackear um sistema mais complexo. No entanto, eles não fazem isso porque acreditam que não é a coisa certa a fazer e nem o uso correto de seus talentos. Além disso, nossa empresa não toleraria esse tipo de comportamento.

Com que frequência seus produtos procuram novas definições em seus servidores?(How often do your products look for new definitions on your servers?)

Uma vez a cada 45 a 60 minutos. É muito importante para nós que novas definições sejam entregues o mais rápido possível. Às vezes, se uma determinada situação o exigir, também enviamos notificações push, para que nossos produtos de segurança se atualizem imediatamente e não esperem a atualização agendada. Gostaríamos de poder enviar dados assim que aprendermos algo novo. No entanto, isso não é viável do ponto de vista técnico e arruinaria a experiência de computação de nossos usuários. É por isso que mantemos as notificações push e atualizações no mínimo e as usamos apenas quando realmente faz sentido.

Você colabora com outras empresas e compartilha conhecimento e informações sobre as ameaças de segurança mais recentes?(Do you collaborate with other companies and share knowledge and information about the latest security threats?)

Sim nós fazemos. Colaboramos com 6 outras empresas, incluindo nossos parceiros para os quais licenciamos nossa tecnologia, como F-Secure ou G-Data(F-Secure or G-Data) . No entanto, não podemos divulgar os nomes das outras empresas.

BitDefender - Escritório

Quanto você investe nos recursos mais secundários, que não necessariamente contribuem para aumentar a segurança de um sistema? Estou me referindo aos recursos incluídos principalmente no Total Security Suites, como: Controle dos Pais, Backup de Arquivos, Sincronização de Arquivos, etc.(How much do you invest in the more secondary features, that don't necessarily contribute to enhancing the security of a system? I'm referring to features included mostly in Total Security Suites, such as: Parental Controls, File Backup, File Synchronization, etc.)

Obviamente, os recursos clássicos de uma suíte de segurança(security suite) como antivírus, firewall, antispam, etc, são o foco principal do trabalho de nossa equipe e recebem a maior parte dos recursos de desenvolvimento de nossa empresa. No entanto, temos equipes dedicadas para cada um dos recursos secundários que oferecemos em nossos produtos e contam com equipes conforme necessário, dependendo da quantidade de trabalho necessária para manter esses módulos. Você pode imaginar que não precisamos de tantas pessoas trabalhando no Controle dos Pais(Parental Controls) quanto no mecanismo de proteção antivírus(antivirus protection engine) .

BitDefender tem uma linha clássica de produtos: BitDefender Antivirus, Internet Security Suite, Total Security Suite e Sphere, que oferece uma licença para até 3 usuários que podem usar a suíte de segurança superior que você fornece, em qualquer plataforma que você suporta, em um número ilimitado de dispositivos. Qual desses conceitos é mais popular entre seus usuários? Eles preferem os recursos adicionais de um conjunto Total Security ou os produtos de segurança mais clássicos?(BitDefender has a classic line-up of products: BitDefender Antivirus, Internet Security Suite, Total Security Suite and Sphere, which offers a license for up to 3 users that can use the top security suite you provide, on any platform you support, on an unlimited number of devices. Which of these concepts is most popular with your users? Do they prefer the added features of a Total Security suite or the more classic security products?)

O BitDefender Internet Security Suite(BitDefender Internet Security Suite) é definitivamente o nosso produto mais popular. Há pessoas que gostam dos recursos adicionais de um Total Security Suite , mas são minoria. No entanto, fomos agradavelmente surpreendidos pelo sucesso e feedback positivo que recebemos para o nosso novo produto BitDefender Sphere(BitDefender Sphere product) . Parece que muitas pessoas gostam de ter uma solução de segurança(security solution) unificada que pode proteger seus PCs, Macs e smartphones ou tablets baseados em Android. Eles gostam muito da flexibilidade de comprar apenas mais uma licença acessível para proteger todos os dispositivos de computação em suas casas.

Por último, mas não menos importante, vamos falar um pouco sobre o Windows 8 e sua nova interface Metro. Você planeja oferecer soluções de segurança projetadas para a nova interface de toque? Você fornecerá produtos de segurança separados para tablets Windows 8?(Last but not least, let's talk a bit about Windows 8 and its new Metro interface. Do you plan to offer security solutions designed for the new touch interface? Will you provide separate security products for Windows 8 tablets?)

Estamos definitivamente trabalhando para fornecer alguns produtos interessantes para o Windows 8(Windows 8) e a nova interface Metro(Metro interface) . O desafio com o Metro é que os aplicativos são executados com restrições e permissões limitadas. Eles não têm acesso total ao sistema como os aplicativos de desktop . Portanto, precisamos encontrar maneiras de contornar isso e fornecer proteção eficaz.

Infelizmente, porém, não temos liberdade para discutir mais detalhes sobre nossos planos com produtos de segurança para Windows 8 . Poderemos fornecer mais informações mais perto(information closer) da finalização e disponibilização do Windows 8 .

Conclusão

Como você pode ver nesta discussão, desenvolver uma boa solução de segurança(security solution) não é tarefa fácil. Envolve muito trabalho, conhecimento de diferentes aspectos da computação, rede e segurança(networking and security) . Esperamos que você tenha achado esta conversa interessante(conversation interesting) e útil para aprender mais sobre todo o processo envolvido.

Antes de encerrarmos este artigo, gostaríamos de agradecer à BitDefender por nos enviar este convite e nos dar a oportunidade de ter uma conversa muito interessante com alguns de seus melhores especialistas.



About the author

Sou engenheiro de software com mais de 10 anos de experiência na indústria Xbox. Sou especialista em desenvolvimento de jogos e testes de segurança. Também sou um revisor experiente e tenho trabalhado em projetos para alguns dos maiores nomes dos jogos, incluindo Ubisoft, Microsoft e Sony. No meu tempo livre, gosto de jogar videogame e assistir a programas de TV.



Related posts