Há um filme antigo, daqueles de matinê de domingo, em que extraterrestres invadem uma cidadezinha americana sem disparar um tiro. Eles cultivam vagens, esperam o sujeito dormir e, na calada da noite, substituem o corpo por uma cópia idêntica, vazia por dentro, obediente por fora. Pois é exatamente isso que os invasores digitais aprenderam a fazer com os programas que rodam na sua máquina neste exato instante. O nome técnico é process injection, mas a metáfora cinematográfica explica melhor: o programa continua lá, com o mesmo nome, o mesmo ícone, a mesma assinatura na lista de tarefas, só que dentro dele já mora outra coisa.
O método é antigo, anterior à moda das inteligências artificiais e dos relatórios apocalípticos de cibersegurança vendidos a peso de ouro. Funciona porque o sistema operacional, qualquer um deles, foi desenhado num tempo em que se presumia boa-fé entre processos. Um programa pede para escrever na memória de outro, e o sistema, polido como mordomo inglês, pergunta apenas se há permissão administrativa. Tendo-a, abre a porta. O invasor entra, deposita seu código malicioso no espaço de endereçamento alheio, redireciona uma thread legítima para executar aquilo, e pronto: o navegador que você usa para acessar o internet banking agora carrega um passageiro clandestino que conversa com servidores na Bielorrússia.
O charme perverso da técnica está na invisibilidade. O antivírus olha para o processo hospedeiro e vê um velho conhecido, devidamente assinado pela Microsoft ou pelo fabricante do software. A firewall vê tráfego saindo de um aplicativo confiável, autorizado a falar com a internet. O usuário vê o ícone de sempre na bandeja do sistema. Ninguém percebe que a vagem alienígena já germinou. É a versão digital daquela velha sabedoria policial: o melhor disfarce não é a máscara, é o uniforme.
Há variações para todos os gostos. A clássica injeta uma DLL no processo alvo. A mais sofisticada, conhecida como esvaziamento de processo, cria um programa legítimo em estado suspenso, arranca seu conteúdo da memória como quem destripa um peixe e injeta o código malicioso no esqueleto vazio antes de mandá-lo executar. Existe ainda a injeção sem arquivo, que vive inteiramente na memória RAM e some quando a máquina reinicia, sem deixar rastro no disco para o perito forense encontrar. Cada nova geração de defesa gera uma nova geração de evasão, num jogo de gato e rato que enriquece consultorias e empobrece a paciência de quem administra rede corporativa.
O que poucos discutem, porque dá menos cliques que manchete sobre hacker russo, é a raiz do problema. Sistemas operacionais monolíticos, com kernel inchado e permissões herdadas de uma era em que o computador pessoal era brinquedo de entusiasta, simplesmente não foram pensados para o mundo hostil em que vivemos. As soluções existem há décadas, isolamento de processos, sandboxing agressivo, capacidades em vez de permissões globais, microkernels, e dormem em teses de doutorado porque ninguém tem coragem comercial de quebrar a compatibilidade com trinta anos de software legado. O mercado prefere vender mais uma camada de proteção do que reformar a fundação.
A lição, se é que há uma, vale para muito além do código. Quando a estrutura é frágil por dentro, nenhuma quantidade de cadeado por fora resolve. O invasor que entra pela porta dos fundos da memória é o mesmo que, em outras instâncias da vida, entra pela porta dos fundos das instituições, da linguagem, dos costumes. O nome do processo permanece, a fachada continua intacta, e só o usuário atento percebe que o vizinho de sempre, hoje, tem o olhar um pouco vazio demais.
Com informações da Canaltech. A análise e opinião são do O Algoz.
