Você está na página 1de 90

Segurana e Internet

Porque coisas ms acontecem...

Paulo Laureano v1.07

http://pls.mrnet.pt

Segurana e Internet, Pgina 1

Introduo
Sobre mim... A origem dos textos A quem se destinam os textos Copyright e distribuio

5
5 5 6 6

Histria de uma industria


Os melhores viles de sempre, e o fascnio que provocam... Os sete magnicos - Precisamos de heris altura...

7
8 10

Componentes dos sistemas operativos (kernel e userland) 11 all the junk and bloat on top 13

Simplicidade, funcionalidade e segurana andam de mo dada 14 Migrao e escolha de outros sistemas alternativos Danos colaterais... 15 17

Passwords
Fragilidades de passwords e dos seus titulares Utilizar ms passwords muito perigoso! Boas passwords e a nossa master password Os sistemas operativos guardam as nossas passwords Limitaes dos sistemas operativos e gestores de passwords Gestores e sincronizadores de passwords Geradores de passwords alternativos Sistemas alternativos e complementares

19
19 20 21 21 22 23 26 28

Facebook
Congurao segura
http://pls.mrnet.pt

30
30
Segurana e Internet, Pgina 2

Nunca entregue ao Facebook passwords de outros servios!

31

Cookies e tracking
Quem quer bolinhos?

33
33

E-mail
Escolher bom um programa de mail Congure o acessos ao e-mail (envio e recepo) com SSL Assine o mail, garanta a sua integridade e privacidade. Assine digitalmente o seu e-mail Encripte o seu e-mail E se o seu servidor de e-mail no suportar SSL? O que se deve esperar do servidor de e-mail de uma empresa?

34
34 35 39 42 43 46 47

DNS
O que o DNS? Porque que o DNS importante para a nossa segurana? Que DNS se deve utilizar? Google DNS OpenDNS Comodo Secure DNS Norton ConnectSafe Alterar o servidor de DNS no router

49
50 51 52 52 53 55 55 55

WiFi (a sua rede wireless)


Congurao Clientes do MEO precisam de cuidados adicionais! No tem a password para o seu router?
http://pls.mrnet.pt

57
57 57 58
Segurana e Internet, Pgina 3

Rootkits
O que um rootkit? O que que um hacker pode ver e fazer? Lembrem-se que telefones tambm so computadores... Fogo, carros e facas de cozinha...

60
60 60 62 62

Anti-vrus
Anti-vrus e o mercado de Mac OS X De volta ao bsico (virus 101) Cavalos de troia, rootkits e outro malware. Impacto de ter aplicaes estranhas no sistema Solues reais em vez de doces iluses Para quem tem Windows (particulares) Para quem tem Macs (particulares)

64
64 65 69 70 71 73 74

Linux Caixa Mgica


Instalar o Linux Caixa Mgica Utilizao no dia a dia A minha recomendao estratgica As coisas de que no gosto particularmente...

76
77 81 87 90

http://pls.mrnet.pt

Segurana e Internet, Pgina 4

Introduo
Sobre mim... Quem sou eu? O meu nome Paulo Laureano Santos. Sou casado com uma mulher maravilhosa (Marlene) e tinha um co (chamado Dogo, 2004-2012). Agora somos temporariamente s dois c em casa. A vida feita destas coisas. H que aguentar, olhar em frente, e continuar... para alguns a vida continua, resta recordar com saudade os nossos companheiros desaparecidos. Este projecto dedicado memria do meu doguinho. Gosto de motas e gadgets. So pequenos momentos de prazer que tenho todos os dias, desfrutar de iPhones, iPads, AppleTV's, Mac's e da minha K1300S. Adoro administrar sistemas e programar computadores. Gosto menos de liderar equipas e gerir empresas. Mas como me lembrei, h uns anos atrs, de formar uma empresa (chamada Mr.Net) com uns amigos, agora um bocado "aguenta, no chora", porque nem a empresa se gere sozinha, nem a dzia de pessoas que trabalha comigo pode chegar a "bom porto" sem "algum ao leme".

A origem dos textos Os textos aqui publicados em formato de livro so provenientes da minha pgina pessoal na Internet (ou do meu blog se preferirem). A pgina foi criada em 1996, e actualizada quando me apetece escrever sobre algum assunto.

http://pls.mrnet.pt

Segurana e Internet, Pgina 5

Para este projecto os textos so parcialmente actualizados, complementados com imagens e, em alguns, casos so escritos novamente. reduzida sempre que possvel a dependncia de hyperlinks, de forma a serem mais legveis quando no tiver acesso Internet. Em alguns casos pontuais, em particular na verso e-Book da pgina, so acrescentados videos e animaes, que na verso simplicada de ebook (kindle/PDF) no esto disponveis por limitaes do formato.

A quem se destinam os textos Tudo o que aqui encontram escrito para ajudar pessoas com poucos conhecimentos de informtica a conhecer e ultrapassar problemas de segurana comuns. Estes textos no so escritos a pensar em prossionais. Mesmo fazendo eu um esforo para simplicar, tanto quanto possvel, os problemas apresentados, estou certo que muitos potenciais leitores tero diculdade em os perceber. A minha sugesto que faam um esforo, pesquisem na Internet pelos termos e conceitos que no entendem, e tentem aplicar as solues apenas depois de entender cada problema. Nos casos em que no conseguir aplicar uma soluo sozinho, sugiro que examine com ateno o problema e decida, em funo dos riscos, se deve procurar ajuda algum com mais conhecimentos de informtica.

Copyright e distribuio 2012 - Todos os direitos so reservados. expressamente proibida a distribuio destes textos.

http://pls.mrnet.pt

Segurana e Internet, Pgina 6

Histria de uma industria


A informtica uma jovem industria milionria. Profundamente desequilibrada entre a proteco dos consumidores e de fabricantes. Este texto uma necessria introduo histria da informtica e ao mundo em que vivemos. Leiam, vejam os lmes (duas horas) e documentrios (trs horas), liguem o crebro e respirem fundo seguem-se mais dois textos na serie Informtica 101 com a minha abordagem aos problemas e respectivas solues. uma industria que est em grande parte por regulamentar, durante os primeiros anos a lei da selva como todas as novas industrias, em que os fabricantes de software (i.e. programas informticos) declinam toda a responsabilidade por qualquer erro funcional ou de segurana. No h qualquer tipo de garantia para o utilizador, nem que o programa faz sequer que descrito na embalagem, corresponde s caractersticas anunciadas ou de facto seguro/estvel. Por ser uma industria milionria tem a capacidade de comprar e inuenciar polticos, pelo que copiar ilegalmente software na maior parte dos pases um crime punvel com pena de priso. O objectivo da industria (normal e expectvel) fazer tanto dinheiro quanto possvel. Quando uma industria (pensem por exemplo na industria automvel ou farmacutica) regulamentada e forada a garantir nveis de desempenho e segurana isso implica informar de forma mais rigorosa o consumidor, responder judicialmente por erros, mentiras e omisses. Custa dinheiro. Na informtica estamos longe de isso acontecer. claro que se a indstria da informtica pode escapar ao escrutnio de testes de qualidade e segurana, obrigatrios e a srio, ao contrrio das industrias farmacutica ou automvel que para colocarem produtos no mercado precisam de os testar, e passar pelo escrutnio de vrios testes e entidades reguladoras obviamente que declina essa responsabilidade e faz antes mais dinheiro... cam os testes para os
http://pls.mrnet.pt Segurana e Internet, Pgina 7

clientes, e at podem vender as solues para os problemas encontrados mais tarde. Por ser assim que temos verses beta (i.e. que suposto signicar que est por ser testar antes de ser lanada a verso nal), com mais ou menos erros e defeitos, vendidas no mercado de forma impune. A Apple at se d ao luxo de indicar a real maturidade e falta de testes de alguns produtos e tecnologias: o Siri do iPhone 4S (que o principal argumento de venda e estrela dos anncios!) que estar em beta provavelmente at o telefone ser substitudo pela verso seguinte (iPhone 5?) Na Apple at j se transformou em tradio; iWork.com (beta at ser descontinuado!), Face Time para o Mac, etc. Os fabricantes fazem isto porque podem. Se a industria farmacutica tivesse a mesma liberdade tambm teramos muitos (mais) medicamente em beta, os carros matariam muito mais do que matam, etc. Os fabricantes de hardware no tiveram a mesma sorte e h garantias a prestar aos consumidores. Mas mas no software vale tudo. a lei do ouro (quem tem o ouro faz as leis). Cabe s empresas e particulares depois de entenderem o contexto histrico agirem em funo disso. por isso necessrio agir de forma inteligente e exercer cautela.

Os melhores viles de sempre, e o fascnio que provocam... No linear para a maior parte das pessoas perceber todas as perverses do mundo em que vivem, em particular no que respeita informtica. A IBM, Microsoft, Apple e Google, so empresas formidveis. Empregam pessoas absolutamente geniais e verdadeiros fora de srie. No so propriamente anjinhos, nem todos os quadros so programadores e h brilhantes evangelistas, comerciais e estrategas com uma agenda bvia (e legitima!) que todos entendem: maximizar lucros! Se o mercado no regulamentado, se podem proteger os seus interesses e conseguir legislao que lhes favorvel, e podem assim obter mais lucros, tanto melhor, e isso que fazem.
http://pls.mrnet.pt Segurana e Internet, Pgina 8

aproveitar ao mximo o momento. E se aproveitam Usam a sua fora, jogam o seu jogo, e ainda conseguem escrever as regras do mesmo a seu favor. Excelente contexto histrico para construir as maiores fortunas do planeta. No os levem a mal, a industria automvel, de explorao de combustveis fosseis e farmacuticas zeram o mesmo. Os vencedores escrevem a histria, e quando falamos em histria recente, tudo acontece a uma velocidade que torna mais complicado criar um distanciamento que permita observar os factos. Estas megaempresas so no contexto deste texto os maus da ta Serem os maus da ta, no impede o mundo de os ver com um fascnio quase hipntico. Aqui os lideres de cada gang so extraordinrios. Vencedores natos. Lutam entre si furiosamente. H um seguimento quase religioso pelas vrias empresas. O publico que exploram (e se exploram!) no s compra o software como ainda veste a camisola. Aplaude cada lanamento, vibra com os resultados das vendas, defende publicamente com alma e corao a sua religio informtica.

A Microsoft custa milhes a estados, empresas e particulares, vendendo os mesmos produtos reciclados vezes sem conta. Durante anos colocou a sua estratgia no terreno com requintes de malvadez absolutamente fantsticos, dignos dos piores viles de qualquer srie. Incompatibilidade entre formatos proprietrios, tecnologias e protocolos que tornavam impraticvel utilizar produtos concorrentes, etc. Minou (e mina) universidades e currculos escolares, com as suas tecnologias, em paralelo distribui certicados de Microsoft certied Engineer. No fosse a Internet a minorar estragos (revelando problemas graves de segurana e alternativas) e hoje o estaramos todos a falar Microsofts e perfeitamente assimilados.

http://pls.mrnet.pt

Segurana e Internet, Pgina 9

Os produtos da Microsoft serem em tantos casos medocres, inseguros, pouco veis e perfeitamente substituveis com vantagens bvias por alternativas (livres e pagas) no impediu o estrondoso sucesso da empresa. Muito desse sucesso alicerado numa fantstica mquina comercial, a suprema inteligncia e sentido estratgico com que lidaram com a IBM e Apple (no primeiro reinado do rei Steve Jobs e nos anos em que esteve ausente). O melhor para perceberem a histria verem o lme: - Pirates of Silicon Valley (link para lme completo no Youtube!). Ou, se preferirem, podem ver narrado pelos protagonistas em formato documentrio: - Triumph of the Nerds (partes 1, 2 e 3 no Youtube!) O Google que o actual menino bonito da industria faz-se passar por campeo do bem na luta contra patentes e software livre e aberto, no entanto um negcio construdo com base em patentes, o motor de pesquisa um segredo bem guardado (e longe de ser software aberto ou livre), idem para o cdigo do gmail, adwords, adsense, etc. A forma como descaradamente copia projectos concorrentes, e usa o musculo proporcionado pelo poder do seu motor de pesquisa para os promover e integrar (aquela barrinha de topo que integra tudo) tudo menos inocente ou resultado de ingenuidade. A forma como literalmente se apropriou do Java (RIP!) e Linux para fazer o Android absolutamente fascinante.

Os sete magnicos - Precisamos de heris altura... Em 1960 o lme Os sete magnicos (baseado no fabuloso Sete samurais) mostrou ao mundo a histria de uma aldeia aterrorizada por bandidos, que contratou sete pistoleiros para lutar por eles. Estes
http://pls.mrnet.pt Segurana e Internet, Pgina 10

sete heris so na realidade anti-heris, com diferentes origens e histrias, que o destino e circunstncias uniu para salvar a aldeia. Os magncos no mundo real so programadores e administradores de sistemas que nos ajudam e lidar com os vrios gangs de mauzes j apresentados. possvel conviver com a informtica de forma inteligente, beneciando do que de melhor existe, aplicando racionalidade e bom senso. Ao contrrio dos lmes, aqui os viles so tambm fornecedores de excelentes tecnologias, que podem e devem ser usadas. Cada empresa precisa dos seus heris magncos, que defendam os seus interesses pelo menos to bem como os nossos simpticos viles defendem os deles, e aqui que a porca torce o rabo H infelizmente muito poucas pessoas inteligentes, com conhecimento de informtica, imparcialidade e racionalidade, para ajudarem estados, empresas e particulares. No chegam para todos as que existem. Sorte de quem tem a lucidez de os contratar. Porque uma corrida contra o tempo. A maior parte dos tcnicos capazes so recrutados pelas empresas de informtica. Quanto mais no seja para jogarem na equipas deles, de acordo com as respectivas agendas. Mas h excepes. E encontrarem essas excepes uma revelao, e um tremendo negcio, para quem o faz. Tal como no lme Os sete magncos os pistoleiros que no tenham sido recrutados pelos gangs so a melhor abordagem disponvel para lidar com o mundo em que vivemos. E at os conhecem ou ouviram falar deles! So os hackers, os no alinhados, os anti-heris. No fao o culto destes personagens (com que me identico) mas sim a descrio do que podem fazer por si pensando, criticando, no alinhando com o status quo...

Componentes dos sistemas operativos (kernel e userland)

http://pls.mrnet.pt

Segurana e Internet, Pgina 11

Quando se fala em Windows, Mac OS X, Linux, *BSD, iOS, Android, Symbian e ans, estamos a falar de sistemas operativos. Antes de mais nada preciso perceber o que so e quais os principais componentes. O componente mais importante de um sistema operativo o kernel. O kernel para todos os efeitos o segundo programa que executado quando arranca o computador (primeiro a BIOS/EFI), e responsvel por (entre outras coisas, como disponibilizar acesso ao hardware; memria, discos, pens usb, video, etc) gerir todos os restantes programas que forem executados, respectivas prioridades e memria que podem utilizar. A acompanhar o kernel so distribudos com os sistemas operativos uma srie de programas auxiliares a que se chama normalmente userland (ou user space) que so concebidos para controlar e aceder a funcionalidade disponibilizada pelo kernel, bem como permitir ao utilizador lanar/eliminar outros programas e gerir cheiros em disco. Em sistemas operativos com interfaces grcos estes so normalmente carregados para memria e executados durante o processo de arranque e consistem normalmente em programas da userland. Na prtica so a verso grca do velhinho dir/ls/makedir/etc, em que o utilizador com o mouse (ou com toques no caso dos interface de touch) navega entre directorias, e lista cheiros de dados, ou executa programas. Pouco mudou ao longo dos ltimos 40 anos relativamente forma como estas estruturas se relacionam. Infelizmente os fabricantes de sistemas operativos tornaram-se progressivamente mais gananciosos, porque podiam, porque eram eles que decidiam o que era distribudo por defeito em cada computador e comearam a misturar com a userland uma srie de aplicaes que deveriam ser distribudas parte (fossem criadas pela mesmo empresa ou por empresas diferentes). Editores de texto, bases de dados,
http://pls.mrnet.pt Segurana e Internet, Pgina 12

folhas de calculo, programas de multimdia, jogos, programas de mail, browsers e tudo resto (e mais um par de botas)

all the junk and bloat on top A ideia simples: se uma empresa que distribui o sistema operativo for incluindo coisas em cima do sistema de base, os utilizadores tendem a usar essas coisas, por oposio a tecnologias de terceiros. E estaria tudo bem se o software fosse como o vinho do Porto e melhorasse com os anos. No melhor, pelo contrrio tende a car avinagradomuito depressa. Muitos dos utilizadores no sabem sequer como alterar o programa por defeito para o e-mail, ou navegar na Internet. Quando a Microsoft que estava atrasada para a festa que era a Internet abriu os olhos, rapidamente percebeu a importncia estratgica do espao ocupado por outras empresas (como a Netscape que disponibilizava um programa de e-mail e browser), e para ganhar o espao nessa nova moda que era a world wide web e o e-mail recorreu ao truque de criar o seu prprio browser (IE) e cliente de email (Outlook) e integrar os mesmos no sistema operativo. A ideia foi desde o inicio usar a popularidade do Windows para ganhar notoriedade e posio (ocupar o espao) nesse estranho mundo online. A Apple seguiu os mesmos passos distribuindo o Internet Explorer como o browser por defeito nos Macs (e mais tarde criando o Safari e Apple Mail). Quando um utilizador instala browsers (Chrome, Firefox, Opera e ans) ou programas de e-mail (Mozilla Thunderbird) alternativos (e melhores!) obtm o mesmo tipo de funcionalidade, em arquivos que pode instalar e desinstalar na totalidade. Acontece que os fabricantes de sistemas operativos tendem a esquecer-se de permitir ao utilizador remover com o mesmo tipo de facilidade os componentes que distriburam tendem a tornar os mesmos embebidos no sistema operativo, dicultando ou impossibilitando a sua remoo.
http://pls.mrnet.pt Segurana e Internet, Pgina 13

O espao em disco um problema menor, acontece que o software no envelhece com graciosidade, e estes programas tendem a car desactualizados, em particular quando o fabricante do sistema operativo resolve que uma dada verso deixa de ser suportada. Por exemplo utilizadores com o Windows 95/98/ME/2000/XP (ou com o Mac OS X em verses mais antigas - a mesma coisa), tendem a ter estas peas de museu instaladas, cheias de bugs, problemas graves de segurana, que so permanentemente explorados por malware/vrus. No mundo do Windows o problema ainda agravado pelos fabricantes de hardware, que junto com o Windows tendem a instalar demos e programas patrocinados, programas que ao expirar procuram levar o utilizador a comprar algo, etc, na esmagadora maioria dos casos pura palha electrnica, que algum lhes pagou para meter no computador. Esses programas todos representam espao em disco desperdiado, provavelmente CPU e memria (dado que alguns arrancam por defeito com o Windows, e em alguns casos problemas de segurana. A Microsoft que sempre observou passivamente o fenmeno, agora inclusive presta o servio (se lhes pagarem) de remover a palha dos outros do seu computador s pena que no remova a sua prpria tralha (como o IE, Outlook, Media player e ans) responsvel por tantos problemas graves de segurana. A Apple tende a ser parecida com a Microsoft. Segue a mesma lgica de ocupao de espaos estratgicos. A diferena apenas na qualidade do lixo extra que vem com o sistema operativo (o lixo da Apple tende a ser de melhor qualidade o da Microsoft). Em ambos os casos os sistemas so distribudos misturados com vrias aplicaes que claramente so marcaes de territrio.

Simplicidade, funcionalidade e segurana andam de mo dada Quanto mais simples for o sistema operativo mais simples de o tornar seguro. Deve ser adequado funo particular de um computador (seja
http://pls.mrnet.pt Segurana e Internet, Pgina 14

pessoal ou prossional). Os problemas mencionados do Windows e Mac OS X transformam ambos os sistemas particularmente inadequados para a maior parte das funes. um paradoxo cheio de piada porque precisamente o que a maior parte dos administradores de sistemas tem no seu parque informtico. A Microsoft vende o windows em pacotes especializados faz isso de forma cumulativa: as verses home levam com a tralha destinada aos utilizadores domsticos, qual acresce mais tralha nas verses supostamente prossionais, a que depois acresce mais tralha em verses premium. Fantstico. Depois propem a actualizao em cadeia de tudo isto em patches de segurana cumulativos de uma sria de coisas perfeitamente inteis que esto instaladas por defeito. possvel no Windows e OS X no instalar vrios componentes (ou desinstalar), mas exige um profundo conhecimento dos sistemas, e a maior parte dos informticos no faz a mnima ideia de como isso se faz, nem sequer percebem a importncia de os sistemas serem to simples quanto possvel. Foi criada uma gerao de tcnicos que sabe fazer reboots e carregar em botes sem perceber muito mais do assunto. Fizeram o culto da incompetncia e faciltismo (instale a mais, que assim est l tudo), ao mesmo tempo que cresceu a complexidade e quantidade de componentes instalado. Um sistema operativo potencialmente mais seguro, se tiver apenas os componentes necessrios para a funo que desempenha, no deve ter aplicaes esquecidas e desactualizadas (e muito menos aplicaes activas, que so impossveis de actualizar!) deve ser to simples e pequeno quanto possvel.

Migrao e escolha de outros sistemas alternativos O Linux (e BSD ou Google Chrome OS) so melhores opes, mais simples de operar, mais baratas de suportar e incomparavelmente mais seguras, para muitos dos postos de trabalho que o Windows ou Mac OS
http://pls.mrnet.pt Segurana e Internet, Pgina 15

X. Tendem ainda a ser mais simples de personalizar por empresa e posto de trabalho, e o facto de no haver licenciamento de cpias permite uma replicao mais simples e ilimitada. feita uma (ou mais) instalao modelo, faz-se a imagem do disco, e depois duplica-se para os vrios computadores da empresa. A formao necessria para a maior parte dos administradores de sistemas de horas e h excelentes manuais publicados. Casos h em que o Windows e OS X so boas opes (ou melhores, ou mesmo obrigatrias), mas necessrio sempre emagrecer as distribuies, e evitar as aplicaes oferecidas uniformizando o parque informtico com alternativas disponveis para todos os sistemas operativos. Por outras palavras: IE, Outlook, Safari, Apple Mail e ans, devem ser substitudos por aplicaes universais disponveis para todas as plataformas usadas no parque informtico. No tem lgica nenhuma os administradores de sistemas gerirem e suportarem mltiplos browsers, programas de e-mail, de calendrio, vrias suites de Ofce, etc. um convite ao erro, actualizao por fazer, ao problema de segurana que passou ao lado. Adicionalmente no faz sentido ter excessiva dependncia de um fabricante particular. Os processos de migrao do sistema operativo so muito simples (mais complicadas so as migraes entre aplicaes que as pessoas utilizam), e devem ser o ultimo passo de um processo. Primeiro implementam-se em Windows/Mac gradualmente as aplicaes universais, s depois se deve mudar o sistema operativo. A migrao do sistema operativo propriamente dito depende mais de condicionantes relacionadas com o hardware a suportar (computador e perifricos) que dos aspectos humanos (i.e. habituao a diferentes aplicaes, que pode ser feita no ambiente de origem). O recurso virtualizao de sistemas (e acesso remoto) permite correr aplicaes exclusivas de outros sistemas operativos em ambientes mais seguros, controlados e mais fceis de manter seguros e actualizados.

http://pls.mrnet.pt

Segurana e Internet, Pgina 16

Danos colaterais... No se deve confundir o sistema operativo com as aplicaes que as pessoas usam e deve ser evitada a promiscuidade entre ambos os componentes de um sistema informtico. Essa promiscuidade resulta de uma tentativa de controlar mercados da parte dos fabricantes de sistemas operativos, mas no uma boa ideia. Na prtica os computadores com sistemas operativos mais antigos cam bloqueados de se actualizarem para as ultimas verses das aplicaes, o que causa problemas de segurana. O resultado a diferena entre o IE (fragmentado pelas verses 6, 7, 8 e 9) e os utilizadores do Firefox e Chrome (que esto sempre nas ultimas verses devidamente actualizadas, mesmo quando esto em verses mais antigas dos sistemas operativos). O mesmo se passa com os restantes componentes do sistema: clientes de mail, suporte a PDF, etc. So estes componentes desactualizados os mais explorados por vrus, worms e malware, para se instalarem. Este cenrio perigoso e disparatado. uma armadilha sem soluo, causada pelos fabricantes de sistemas operativos ,que importa evitar! Use SEMPRE software to independente do sistema operativo quanto possvel e mantenha o mesmo actualizado. Adicionalmente, se o seu parque informtico suporte mltiplas plataformas (Mac, Windows, Linux, etc), importante escolher o mesmo software para todas. Essa escolha permite limitar custos/ esforo de suporte a utilizadores, dar mais ateno aos problemas e actualizaes de cada software, etc. Os sistemas operativos devem ser to simples e fceis de manter seguros e actualizados quanto possvel. Eu recomendo a utilizao de sistemas open source (linux, *BSD ou Chrome OS) por serem mais simples de personalizar medida de cada posto de trabalho. A esmagadora maioria das aplicaes que as pessoas precisam de utilizar
http://pls.mrnet.pt Segurana e Internet, Pgina 17

esto disponveis em qualquer plataforma. As excepes devem ser encaradas com naturalidade, exactamente como excepes que so, recorrendo utilizao pontual de outros sistemas operativos e aplicaes ou o recurso a virtualizao. A histria desta industria levou a Apple e a Microsoft e montarem esta armadilha. A resposta dos prossionais de informtica (e utilizadores mais conscientes) deve ser banir a utilizao de tudo o que esteja indevidamente a ser distribudo com os sistemas operativos. preciso fazer uma dieta rigorosa aos sistemas que utilizamos, simplicar os mesmos, e no aceitar este tipo de presentes envenenados. No devemos ser danos colaterais de uma guerra entre milionrios gananciosos.

http://pls.mrnet.pt

Segurana e Internet, Pgina 18

Passwords
As passwords so em muitos casos o nico obstaculo a que estranhos acedam a computadores, redes WiFi, pginas na Internet e dados que queremos protegidos. No entanto a maior parte das pessoas no faz a mnima ideia como criar, guardar e gerir as suas passwords. Escrevi sobre passwords e a resposta das pessoas que leram o texto no na minha pgina pessoal foi tremendo. Foram feitos inmeras partilhas em redes sociais e recebi mais e-mail a propsito deste artigo que de qualquer outro.

Fragilidades de passwords e dos seus titulares As passwords so uma sequencia de caracteres, que deve ser to longa quanto possvel e impossvel de adivinhar. As passwords no so para ser "decoradas". Devem ser evitadas palavras coladas, e meter "alguns nmeros e uns pontos de exclamao ou virgulas (no inicio ou nal) no melhora muito o cenrio. As passwords devem ser fortes, de preferncia sem utilizar palavras de forma a resistir a ataques com base em dicionrios. Os ataques de dicionrio consistem em utilizar programas que testam passwords at acertarem. Esses programas tentam milhares de combinaes por segundo. Os dicionrios (listas de palavras) disponveis na Internet para qualquer hacker incluem passwords comuns, baseadas em palavras de uma determinada lngua, bem como milhares que foram roubadas de sites, bem como a possibilidade de testar todas as sequencias possveis de caracteres at descobrir a password.

http://pls.mrnet.pt

Segurana e Internet, Pgina 19

As passwords so tambm atacveis via dados recolhidos sobre os titulares (engenharia social) e no devem nunca ser construdas com base em matriculas de carros, datas com signicado para a pessoa, nomes de animais de estimao, etc. E claro, a forma mais simples de descobrir uma password muitas vezes pedir a mesma ao titular. E as pessoas do as passwords, quando so enganadas, em sites falseados (ataques de Phishing), quando pensam que esto a conversar com uma pessoa em quem conam (troca de identidade), at ao telefone quando pensam que esto a falar com o servio de suporte do sistema que a password protege. As passwords devem ser nicas e, se uma for encontrada por um hacker, no deve comprometer vrios dos sistemas que utilizamos.

Utilizar ms passwords muito perigoso! As passwords no devem ser memorizveis por seres humanos, esse o papel dos computadores, e todos os sistemas operativos populares (Windows, Mac e Linux) nos oferecem ferramentas disponveis para esse efeito. O sistema operativo menos susceptvel de confundir sites, porque o endereo de Internet semelhante, a imagem dos contedos muito parecida. Esses ataques (de Phishing e engenharia social) exploram falhas de seres humanos, de confuso visual, de emoes que levam pessoas ao ler um texto a ter uma resposta precipitada, entregando a sistemas informticos falsicados as suas credenciais sem exercerem o devido escrutnio sobre se o site o que parece ser. Estas vulnerabilidades de seres humanos so muito exploradas na Internet. Afectam precisamente as mesmas pessoas que guardam para si o nus de memorizar passwords, de as inventar, de criar ms estratgias, para lidar com um problema que est resolvido no sistema operativo que esto a utilizar.
http://pls.mrnet.pt Segurana e Internet, Pgina 20

Boas passwords e a nossa master password Boas passwords do tipo "&E3)dD*ry8#4nj'm8Xj1)" tendem a ser complicadas de memorizar, complicadas de transmitir oralmente, e absolutamente desprovidas de algo que as ligue ao titular da conta ou servio em que utilizada. Precisamos de um local seguro para as guardar, seja digitalmente (que conveniente para fazermos cut & paste das mesmas) ou dentro de algum cofre fsico (que no d jeitinho nenhum). Se optarmos pela opo digital, que o que eu fao, devemos ter UMA password (a nossa "master password") que protege todas as outras. a nica password que conhecemos, no serve para nenhum servio em particular, a no ser aceder s nossas outras passwords. Esta master password temos mesmo que decorar, e devemos guardar a mesmo ofine, num cofre, para em caso de emergncia ou de um ataque de amnsia a podermos consultar. Em lado nenhum a guardamos digitalmente. Paradoxalmente esta password tipicamente a mais "fraca" que usamos.

Os sistemas operativos guardam as nossas passwords Os utilizadores de Mac OS X so servidos pelo "keychain". Memoriza todas as passwords e, quando estamos a "ligar-nos a uma rede wireless", usar "uma aplicao" ou um "visitamos um site", preenche os campos de login e password automaticamente. Para aceder a qualquer password do keychain o utilizador s precisa de saber uma nica password (a mesma que utiliza para aceder ao seu login). Todos os dados esto encriptados e protegidos. Se esta a opo
http://pls.mrnet.pt Segurana e Internet, Pgina 21

que quer perseguir como soluo deve congurar o seu computador para se auto-bloquear sempre que esteja sem ser usado mais que uns minutos (de forma a ser necessria a password de login para que que funcional). No windows basicamente a mesma coisa que acontece. Alguns programas, em Mac OS X, Windows e Linux utilizam as suas prprias estruturas para guardar logins e passwords, como por exemplo o caso do Firefox... Em ambos os casos as passwords esto "sem segurana" quando se faz login no computador e este est a ser usado, cam protegidas pela operao de logout (o encerrar da sesso do utilizador e todos os seus processos) ou por estar bloqueado o acesso ao computador atravs de uma password do screen blanker. As solues do Windows e Mac OS X so frgeis, dado que a nossa master password a password de entrada no sistema. Se entregamos o computador a algum essa pessoa poder fazer uso dessas facilidades. Se esta a soluo que quer adoptar deve ter cuidado especial ao partilhar o computador com outras pessoas. Cada pessoa deve ter a sua conta pessoal, e deve existir uma conta especial para administrao da mquina (ou seja ningum deve ter poderes de administrao). Como sempre a wikipedia til http://en.wikipedia.org/wiki/Password como complemento de qualquer texto...

Limitaes dos sistemas operativos e gestores de passwords Pessoalmente eu no gosto particularmente das opes nativas oferecidas em Windows e Mac OS X. Usam encriptao fraca, uma master password correspondente ao login de entrada, e no so na minha opinio solues adequadas a uma realidade mais complexa que aquela para que foram desenhadas (i.e. um computador com mltiplos utilizadores).
http://pls.mrnet.pt Segurana e Internet, Pgina 22

No mundo real as pessoas precisam de aceder a diversos sistemas a partir de outros computadores, tablets e telemveis. Isto torna a utilizao de passwords fortes um pesadelo... imagine-se a copiar algo do tipo "&E3)dD*ry8#4nj'm8Xj1)" para o Facebook do telemvel, depois outra equivalente para o Twitter, outra para o mail, outras para cada um dos sites que utiliza. Esse cenrio a razo pela qual a maior parte das pessoas faz o disparate de usar ms passwords: so mais prticas e mais simplicam a vida do utilizador. Acontece que so menos ecazes na sua funo. H alternativas melhores para gerir passwords, que usam encriptao forte, e permitem sincronizar as mesmas entre diferentes computadores, tablets e telemveis.

Gestores e sincronizadores de passwords A minha soluo de eleio o 1password (agilebits.com). uma soluo comercial e, na minha opinio, a melhor implementao de um gestor de passwords. Suporta um numero limitado de plataformas (que coincidem com as que utilizo): Windows, Mac, iPad/iPhone e Android. Todas as passwords so sincronizadas via Dropbox (ou WiFi) entre todos os sistemas que utilizamos. Integra com vrios browsers (Safari, Firefox e Chrome) o que muito prtico. Utiliza encriptao forte e uma master password que nada tem a ver com o nosso login. Melhor ainda;
http://pls.mrnet.pt Segurana e Internet, Pgina 23

podemos congurar o sistema para s disponibilizar passwords contra a nossa master password, pelo que como termos uma s password para tudo (quando na realidade so todas diferentes). Adicionalmente podemos guardar texto, dados de cartes de crdito, numero de srie de telefone, computadores, software, etc. Fica tudo encriptado, sempre disponvel, e mesmo que o nosso telefone ou computador perdido/roubado estivesse por bloquear, este pode ser congurado para exigir a nossa master password em todos os acessos que fazemos. Nos telefones podemos (opcionalmente) usar uma master password diferente, mais simples de introduzir (um cdigo numrico por exemplo) e mais prtica para um aparelho sem teclado. Uma vez instalado o 1password um prazer de usar. Todos os nossos browsers conhecem o sistema, em todos os sites o login feito automaticamente, com apenas um clique do rato. Includo no plugin est um gerador de password fortes, que nos sugere passwords diferentes para cada site, sempre que fazemos ou alteramos um registo.

http://pls.mrnet.pt

Segurana e Internet, Pgina 24

Existem vrios sistemas semelhantes ao 1password, mais baratos e at gratuitos, com funcionalidade equivalente. Rapidamente me chegaram mensagens de amigos recomendando duas alternativas: LastPass (lastpass.com) e KeePass (keepass.info). So sistemas que eu no usei pessoalmente, mas que me pareceram robustos e particularmente interessantes. Por exemplo o LastPass suporta mais plataformas (incluindo o Blackberry, Symbian, Windows mobile, webOS e Linux) e mais browsers (incluindo o Internet Explorer e o Opera). A verso premium custa $1 por ms (cobrado em conjuntos de 12 meses, ou seja $12 por ano) e parece-me uma excelente proposta. Custa o mesmo que um caf por ms...

http://pls.mrnet.pt

Segurana e Internet, Pgina 25

O KeePass open source e gratuito. A apresentao do sistema na pgina do projecto mais pobre visualmente, o que no implica que seja menos funcional, simples de utilizar ou competente no cumprimento da misso de nos proteger e facilitar a utilizao de boas passwords.

Geradores de passwords alternativos Para quem prera no ter um gestor de passwords (como o 1password, LastPass ou KeePass), e utilizar apenas as funcionalidades do sistema operativo para guardar passwords (porque eventualmente s utilizam um computador, e no utilizam tablets e smartphones) recomendvel que utilize um bom gerador de passwords. As passwords no devem ser criadas pela prpria pessoa! Devem ser aleatrias e desprovidas de qualquer lgica que as ligue ao titular da conta que protegem. Para isso usam-se geradores de passwords. Faa o download de um e use sempre que precisa de criar uma password. Utilize sempre o mximo de caracteres suportado pelo servio (por exemplo no paypal.com so 20 caracteres) e, se no souber o limite, use pelo menos 30 caracteres (se forem demasiados o sistema queixa-se e ca a saber qual o limite suportado).

http://pls.mrnet.pt

Segurana e Internet, Pgina 26

Windows: http://www.securesafepro.com/pasgen.php

Mac OS X: http://itunes.apple.com/us/app/passmaker/id423229019?mt=12&ls=1 Quanto mais longa e estapafrdia for uma password melhor. Os geradores de passwords suportam limitar a password a alguns tipos de caracteres de forma a suportar sistemas que tenham limitaes quanto ao que aceitam numa password. Usar passwords longas no um problema: No as vai decorar de qualquer forma, esse o papel do Mac OSX ou Windows, pelo que no faz
http://pls.mrnet.pt Segurana e Internet, Pgina 27

qualquer diferena prtica e aumenta substancialmente a sua segurana.

Sistemas alternativos e complementares H sistemas alternativos ao uso de passwords, sistemas que complementam as passwords, e at sistemas que permitem que as passwords possam ser roubadas vontade porque s podem ser usadas uma vez. Google e Facebook oferecem opes de autenticao com dois factores que so interessantes (e que pode activar na sua conta): para alm da sua password, sempre que aceder de um computador diferente do que costuma utilizar, enviado para si um cdigo por SMS. Sem esse cdigo a sua password no chega para entrar no sistema. Na Battle.Net (para quem gosta dos jogos da Blizzard como Starcraft e World of Warcraft) existem sistema de one time password complementados por geradores em hardware (para ter no porta-chaves). Existem igualmente aplicaes para telefones para gerir one time passwords (que o que faz o autenticador da Blizzard). Eu pessoalmente acho que as passwords tradicionais so um bom compromisso entre segurana e convenincia, desde que bem utilizadas. Infelizmente so vulnerveis a uma realidade objectiva... se o seu computador for hackado? Nesse caso as passwords precisam de ser alteradas, dados que no possvel saber se permanecem secretas. neste cenrio que os mtodos alternativos e complementares de passwords brilham. Porque mesmo que algum tenha a sua password
http://pls.mrnet.pt Segurana e Internet, Pgina 28

ela, s por si, no serve para nada. Se for preciso ter uma chave USB no computador, ou receber algo pelo telefone, ou usar uma pea de hardware que est no seu porta chaves... a vida do hacker ca muito mais complicada. Ateno que usar autenticao com dois factores signica que precisa de ter os dois consigo para se autenticar. Se no tiver acesso a um deles ca bloqueado do seu acesso. eciente a parar hackers, mas tambm o pode parar a si... acontece e j me aconteceu a mim. seguro e chato. Um problema adicional que os factores de autenticao adicionais no so todos iguais ou equivalentes. Uma chave USB (como a YubiKey, ver http://yubico.com), ligada a um computador que esteja hackado limita riscos, mas no os anula totalmente. prefervel utilizar sistemas que envolvam dois aparelhos completamente separados (telefone e computador), e que nunca junte os dois factores de autenticao (i.e. se o seu homebanking manda SMS para o telefone que complementam a password, nunca deve usar esse telefone para aceder ao servio directamente). Os dois factores de autenticao so uma excelente ideia, mas que implica muito menos convenincia e facilidade de utilizao, e cabe a cada um de ns ponderar sobre a importncia e/ ou necessidade de proteger um servio com uma proteco adicional. importante referir que nem todos os sistemas de gesto de password se adequam ou suportam usar factores adicionais de autenticao. Se pretende perseguir essa abordagem necessita de estudar a fundo os requisitos do sistema que escolher.

http://pls.mrnet.pt

Segurana e Internet, Pgina 29

Facebook
Congurao segura Se usa o Facebook deve ligar o SSL (i.e. Secure browsing) e a autenticao por dois factores (i.e. Login Approvals):

Ambas as opes se encontram nas preferncia em account settings -> Security. Secure browsing -> Faz com que a sua sesso seja protegida (i.e. encriptada) utilizando SSL. Login Approvals -> Quando se liga ao facebook a partir de um computador (ou telefone/tablet) diferente do habitual, o Facebook envia um SMS para o telefone que escolher com uma password complementar que normalmente usa. Desta forma, mesmo que algum lhe consiga roubar a password no consegue usar a sua conta. Ambas as opes devem estar em todos os utilizadores (bom, exceptuando os que no tiverem telemveis para receber o SMS). Isto particularmente importante se utiliza redes WiFi pblicas (FON, hotspots da pt-wi, etc). No chateiam nada, e fazem toda a diferena em termos de segurana.

http://pls.mrnet.pt

Segurana e Internet, Pgina 30

Nunca entregue ao Facebook passwords de outros servios! Este anuncio (ver imagem) apareceu no meu Facebook. Ser que as pessoas do mesmo a password de mail a terceiros, na esperana de encontrarem amigos? Do. Do pois. Isto to absurdamente errado: Nunca entreguem a vossa password de mail a ningum. E se o zeram no passado, no repitam. Nem ao Facebook, nem a seja quem for, excepto a quem vos presta o servio de mail. O e-mail a ferramenta usada para recuperar passwords de outros sites, o poder de controlar uma conta de e-mail, ainda que temporariamente, algo que no deve ser delegado em nenhuma circunstncia. Sugesto: mudem de password. Veriquem que escolhem uma boa password, e que o vosso mail est congurado de forma segura. Os sujeitos que operam o Facebook so loucos! A srio? A Password de mail? Para encontrarem amigos? Mesmo? Pedem uma coisa dessas aos utilizadores? E eles do? Umas horas mais tarde o anuncio mudou passou a aparecer em verso com uma bandeira nacional, j sem referir amigos mas continua a pedir a password de mail.

http://pls.mrnet.pt

Segurana e Internet, Pgina 31

Uns minutos depois de ter publicado o texto na minha pgina pessoal, uma das pessoas deixou-me uma nota a dizer que no tinha dado a password de mail a ningum o que me faz suspeitar que alguma coisa capaz de estar muito errada com o mecanismo que publica estas coisas na barra lateral direita do Facebook, ou pelo menos com as referncias que faz a quem usou o servio. Textos que consultei ao investigar este disparate: - http://neosmart.net/blog/2008/disturbing-stats-about-facebook-usersand-security/ - http://www.google.com/search?client=safari&rls=en&q=face+book +friend++nder+users+e-mail+password&ie=UTF-8&oe=UTF-8 Fascinante como uma empresa com a dimenso do Facebook pode fazer uma barbaridade destas!

http://pls.mrnet.pt

Segurana e Internet, Pgina 32

Cookies e tracking
Quem quer bolinhos? H bolinhos (dos bons) e bolinhos (dos maus), e ns queremos que os nossos browsers tenham uma dieta saudvel queremos que os cookies que contribuem para a funcionalidade dos sites funcionem, queremos que aqueles que esto a fazer tracking dos nossos movimentos sejam rejeitados. O Do not track um plugin para o seu browser que faz toda a diferena (bloqueia os maus, com o cuidado de o deixar, caso queira, usar os mesmos poder por exemplo para interagir com redes sociais). Simples e ecaz. Link: http://www.abine.com/dntdetail.php a sua privacidade que est em jogo. Sim, isso relevante, um minuto seu e o problema deixa de existir

http://pls.mrnet.pt

Segurana e Internet, Pgina 33

E-mail
Cuidar da(s) sua(s) conta(s) de e-mail particularmente importante. O e-mail utilizado para recuperar passwords de sites, para alm da comunicao entre pessoas, o que faz dele um alvo apetecvel para qualquer hacker. Se tiver controle sobre o seu e-mail o hacker pode recuperar as suas passwords, fazer passar-se por si e enganar pessoas que consigo contactam. Demora uns minutos a congurar correctamente o e-mail e pode evitar uma srie de dissabores. Curiosamente o e-mail da maior parte das pessoas est completamente escancarado. Congurado sem SSL (o que signica que muito simples apanhar a password) e sem qualquer certicado digital instalado (o que signica que muito simples falsicar e-mails fazendo-se passar pelo titular). Escolha um bom programa de (cliente de) e-mail. Congure decentemente o seu acesso (com SSL) aos servidores. Instale os certicados digitais (S/MIME) que garantem a autenticidade (que a mensagem mesmo sua), integridade (que a mensagem no foi modicada) e condencialidade (que estranhos no podem aceder ao contedo).

Escolher bom um programa de mail Se no tem tcnicos (i.e. administradores de sistemas prossionais para o ajudar) eu recomendaria o Mozilla thunderbird para o Windows e Linux. Utilizadores de Mac OS X no esto nada mal servidos pelo Mail da Apple, podem no entanto se preferirem tambm usar o Mozilla Thunderbird. No recomendo nenhum dos clientes de mail criados pela Microsoft por motivos vrios, de qualquer forma tudo o que explico sobre o mail
http://pls.mrnet.pt Segurana e Internet, Pgina 34

aplica-se naturalmente tambm a estes, dado que suportam ligaes protegidas por SSL e certicados digitais (S/MIME). Num cenrio empresarial a escolha deve ser feita por quem administra o parque informtico (i.e. administradores de sistemas) que saibam o que esto a fazer. Se na sua empresa no h um, mau sinal, e signica que muitas coisas podem correr mal de repente. Se acha que a sua escolha melhor que a do administrador de sistemas, ou est a ser burro ou o dito cujo muito mauzinho, cenrio em que deviam mudar alguma coisa porque, novamente, muitas coisas podem correr muito mal de repente. Se h um prossional a fazer escolhas respeitem as ditas cujas, ou mudem de prossional, no devem ter um e sabotar o trabalho dele.

Congure o acessos ao e-mail (envio e recepo) com SSL Utilizem sempre as verses seguras dos protocolos, no caso da Mr.Net (minha empresa) o que usamos : Secure SMTP (SSMTP) - port 465 ( o protocolo de envio seguro) IMAP4 over SSL (IMAPS) - port 993 ( o melhor protocolo de recepo) Secure POP3 (SSL-POP) - port 995 (protocolo antigo de recepo) As verses inseguras (que no devemos usar) so: SMTP - port 25 ( o protocolo de envio inseguro) IMAP4 - port 143 (verso insegura do protocolo de recepo) POP3 - port 110 (verso insegura protocolo antigo de recepo)

http://pls.mrnet.pt

Segurana e Internet, Pgina 35

O meu IMAP congurado no Apple Mail (na imagem) congurado para usar SSL (a diferena entre estar congurado de forma segura ou totalmente insegura um clique no SSL). No d muito mais trabalho... Vamos espreitar o que acontece quando se congura uma conta de email, em qualquer programa, usando como exemplo o Mozilla thunderbird:

Quando no Mozilla thunderbird conguramos uma conta, pedido pelo programa o nosso nome, endereo de e-mail e password. Uma vez

http://pls.mrnet.pt

Segurana e Internet, Pgina 36

fornecidos o programa tenta congurar o servio. Acontece que as escolhas que os programas fazem por defeito so completamente inseguras. Em vez de STARTTLS e a porta 143...

Queremos usar a congurao segura: SSL/TLS na porta 993!!! Ou seja, se o programa de mail adivinha mal a congurao de recepo de e-mail e se a aceitamos estamos completamente expostos... O mesmo se passa com o protocolo de envio de e-mail, por defeito os programas tendem a adivinhar a porta 25, com STARTTLS...

http://pls.mrnet.pt

Segurana e Internet, Pgina 37

E queremos sempre alterar isso para a verso segura: SSL/TLS na porta 465. E o problema de base este: o mail parece funcionar exactamente da mesma forma, com
http://pls.mrnet.pt Segurana e Internet, Pgina 38

conguraes seguras ou inseguras. Naturalmente as pessoas no conseguem perceber a diferena, e nunca lhes ocorreu que este problema existisse... A mesma coisa se passa, para concluir, com o Apple Mail em que o Use Secure Sockets Layer deve estar seleccionado na congurao de envio. Para saber mais sobre o SSL existe um excelente artigo na Wikipedia. No informao que interessa e todos, mas satisfaz os mais curiosos.

Assine o mail, garanta a sua integridade e privacidade. Independentemente da forma como envia e recebe o seu e-mail, este est armazenado nos servidores de forma insegura (normalmente sem qualquer tipo de encriptao), e isto signica que o administrador desse sistema pode ler o seu mail, bem como um hacker que ganhe acesso ao servidor. Sem que saiba, ambos podem programar aces para, por exemplo, receber cpias das suas mensagens. A nica forma que tem de combater (parcialmente) isto utilizar certicados digitais e manter o seu mail encriptado em todos os cenrios em que isso for possvel. Isto uma soluo parcial, porque no tem como evitar que pessoas lhe enviem mail sem encriptao, por exemplo quando utiliza ferramentas de recuperao de passwords .
http://pls.mrnet.pt Segurana e Internet, Pgina 39

Deixe-me repetir: os administradores de sistemas e hackers podem ver o seu mail. Est interiorizado o conceito? O seu servidor de mail deve estar conado a pessoas ou instituies em quem cone, capazes de guardar os seus segredos. Quem aceder ao seu e-mail tem acesso ao seu Facebook, Twitter e ans. O mail inerentemente inseguro, apenas podemos minorar riscos. Os passos necessrios para minorar riscos, consistem na instalao de certicados digitais. Ganhando a capacidade de encriptar e-mails, assinar os mesmos digitalmente e garantir que no so modicados por terceiros.

Instale os certificados digitais.


Aceda a http://www.comodo.com/home/email-security/free-emailcertificate.php COM O FIREFOX ( importante ser com o Firefox) e carregue no boto vermelho que diz Free Download:

http://pls.mrnet.pt

Segurana e Internet, Pgina 40

Preencha o formulrio (nome, apelido, e-mail a proteger, diga que no se quer receber a mailing list deles e que concorda com o acordo de utilizao) e espere pelo e-mail (a dizer que o certificado est pronto). Deve demorar menos de um minuto. Quando chegar o e-mail, levante o certificado COM O FIREFOX seguindo a instrues que esto na mensagem. De seguida: V s preferencias do Firefox -> Advanced -> certificates -> Your certificates Fazer o BACKUP para o seu Desktop. Se usa o Apple Mail (em Mac OS X): um duplo clique no certificado de que fez backup, autorize que se acrescente ao keychain. Fechar o Mail, abrir novamente o Mail, e acabou a instalao... Se usa o Mozilla thunderbird tambm e simples: (http:// www.comodo.com/support/ products/email_certs/ thunderbird.php) abra o o programa, v ao menu Tools > Options -> Advanced. Pressione o boto Manage certificates. Na janela que se abre escolha Import, o ficheiro de que fez backup no Firefox (que dever estar no seu Desktop) e terminou a instalao... Todo o processo deve demorar uns 5 ou 10 minutos se tanto...

http://pls.mrnet.pt

Segurana e Internet, Pgina 41

Assine digitalmente o seu e-mail Uma vez instalado o certificado h dois tipos de operao, assinar e encriptar o e-mail. Exemplo de assinatura (boto) no Apple Mail em Mac OS X na imagem direita.

A mesma coisa em Mozilla Thunderbird em Windows (em que usado um menu no boto de Security) na imagem direita...

Este mail no encriptado, pode ser enviado a qualquer pessoa, tenha ou no certificados digitais instalados. A esmagadora maioria dos programas de mail vai reconhecer que a mensagem est assinada digitalmente e transmitir isso ao utilizador que ler o e-mail. Indica que mesmo aquele remetente que enviou e que a mensagem no foi modificada por ningum. Caso algum altere qualquer coisa na mensagem aparece um erro.

http://pls.mrnet.pt

Segurana e Internet, Pgina 42

Dado que trivial falsificar e-mails no assinados digitalmente, para mim espantoso como as pessoas pretendem usar e-mails como prova de que algo foi escrito por algum, ou como ferramenta profissional, em que facilmente algum pode roubar a sua identidade digital. E isto acontece todos os dias. Tudo muda de figura quando h assinaturas digitais envolvidas. Neste caso possvel provar quem escreve os e-mails e assegurar a integridade dos mesmos.

Encripte o seu e-mail A encriptao das mensagens s ocorre quando a pessoa com quem se troca mensagens tambm tem um certificado instalado. S quem envia e quem recebe o e-mail consegue abrir a mensagem. Hackers e administradores de sistemas ficam de fora. Todas as mensagens devem, ser sempre encriptadas, entre amigos, cnjuges, colegas de trabalho ou clientes. No h motivo nenhum para no serem, no d mais trabalho ter o e-mail seguro e privado. Qual a diferena de compor uma mensagem encriptada? Carregar no boto do cadeado (Apple Mail) ou em encrypt this message no Mozilla thunderbird. S isso, um clique, e o mail confidencial! Mas para quem receber o e-mail, caso seja o destinatrio, ver algo parecido com a imagem apresentada (em baixo), no cabealho do e-mail:

http://pls.mrnet.pt

Segurana e Internet, Pgina 43

Se no for, ver algo parecido com isto (ou seja, consegue perceber quem o destinatrio e remetente, dia e hora, subject (assunto), mas tudo o resto est cifrado, impossvel de ler...

http://pls.mrnet.pt

Segurana e Internet, Pgina 44

Uma vez instalados os certificados conveniente ter os mesmos nos vrios clientes de e-mail que utilize, de forma a no ter de esperar por chegar a casa ou ao escritrio para ler um mail que esteja encriptado. Blackberrys, Androids e iPhones/iPads, bem como muitos smartphones da nokia, permitem instalar certificados digitais. A instalao de certificados digitais no iPhone/ iPad consiste em enviar o backup do certificado (que ainda deve estar no vosso Desktop) por mail para a conta que tiverem configurada no iPhone/iPad. Abrir o e-mail, carregar no certificado e confirmar que querem acrescentar o mesmo ao sistema. S isso. Convm claro que verifiquem se o SSL est ligado. Acedam s preferncia do mail no iPhone... escolham a conta. Dentro do cran da conta carreguem no endereo... No tab de SMTP verifiquem que o SSL est ligado... no tab advanced verifiquem as preferncia do IMAP e S/MIME. Vejam as minhas...

http://pls.mrnet.pt

Segurana e Internet, Pgina 45

Com o correio cifrado o risco de algum estar a acompanhar comunicaes por mail de terceiros substancialmente anulado. No instalar os certificados um convite ao disparate, porem-se mesmo a jeito, para um dia, quando menos esperam, as coisas correrem mal. E podiam ter evitado isso com 5 minutos de configuraes. No me perguntem porque que isto no feito por todos os particulares, e em todas as empresas, que eu no sei responder J vi de tudo acontecer (de divrcios a pessoas serem convidadas a sair de empresas) por no terem um pingo de cuidado e assumirem um disparate to grande como o mail ser algo privado a que s eles acedem. Demora menos tempo a tornar o mail (relativamente) seguro do que levou a ler este texto.

E se o seu servidor de e-mail no suportar SSL? Para minha surpresa recebi vrias mensagens do tipo liguei o SSL e o mail deixou de enviar (ou receber, ou ambas as coisas). Confesso que no estava espera de em 2012 (altura em que o artigo original foi colocado online na minha pgina pessoal) isto fosse possvel. Mude de provider de e-mail. A srio. No vejo uma alternativa. Eu recomendaria uma empresa slida sobre o ponto de vista tcnico (Google gmail por exemplo). Se o problema com o velhinho servidor de uma empresa, fale com os responsveis pelo servio de e-mail e explique a situao, pode ser que percebam que ter um servidor prprio de e-mail s uma boa opo caso o mantenham actualizado e sejam capazes de prestar o servio com um mnimo de qualidade. De forma genrica eu recomendaria o Google gmail a todos, particulares e empresas, dado eles fazerem quase tudo bem feito. Em empresas com maior dimenso pode ser uma opo criar e manter servidores prprios, mas se o fazem devem ser capazes de os administrar
http://pls.mrnet.pt Segurana e Internet, Pgina 46

correctamente, e isso implica muito trabalho, equipas de manuteno em 24*7*365, e no barato.

O que se deve esperar do servidor de e-mail de uma empresa? Para alm do bvio (suportar SSL no envio e recepo de e-mail), as empresas devem assinar digitalmente a passagem de mensagens pelos seus servidores. Notem que isto no a mesma coisa que assinar as mensagens propriamente ditas: assinar mensagens com s/mime, nos clientes de e-mail , serve para garantir que foi determinada pessoa que enviou o e-mail e que este est intacto. Nos servidores o que assinado a ORIGEM das mensagens (certica que foi enviada a partir dos servidores de uma determinada empresa). So coisas diferentes e ambas importantes. A assinatura dos servidores serve para evitar que terceiros se possam fazer passar pela empresa. Os servidores que assinam as mensagens do instrues a todos os restantes servidores de e-mail da Internet para descartarem e no entregarem mensagens que no tenham provenincia vericada. Isto serve para evitar que os clientes possam receber mensagens falsicadas. O protocolo diz algo parecido com: eu sou o domnio xxxx.pt, todas as mensagens que usam este domnio so provenientes do servidor de mail X (ou Y), caso recebam mensagens de qualquer outro servidor a fazer-se passar por esta empresa, mandem as mensagens para o lixo em vez de as entregarem ao destinatrio, porque so forjadas. A estes ataques, via falsicao de identidade, chama-se Phishing. O burlo manda milhares de mensagens, fazendo-se passar por uma empresa em que, por exemplo, se faz passar pela contabilidade de uma empresa apresentado falsas contas. Ou pelo apoio a clientes solicitando uma mudana de password.

http://pls.mrnet.pt

Segurana e Internet, Pgina 47

Entre as tecnologias mais populares para evitar estas falsicaes esto o SPF (mais antiga e sem recorrer a uma vericao criptogrca) e o DKIM (verso moderna e mais robusta do conceito). Estas tecnologias, para serem ecientes, precisam de usar as opes de hardfail (SPF) e Discard (DKIM). Por outras palavras, necessitam de instruir todos os servidores de mail da INternet para no aceitarem falsicaes de mensagens em nome da sua Empresa. Sem as opes correctas o que esto a fazer dizer aos servidores de mail que as mensagens so provavelmente falsas, mas entreguem na mesma, o que no serve para nada. Na prtica os ltros de spam consideram as mensagens falsicadas como mais um factor de classicao de potenciais mensagens de spam, o que muito pouco ecaz para as impedir de chegar s pessoas. A assinatura dos servidores deve ser utilizada como complemento da assinatura (S/MIME) de cada pessoa, a primeira autentica a provenincia da mensagem dos servidores correctos, a segunda o autor e integridade contedo do e-mail. Muito poucas empresas em Portugal fazem um trabalho to bom como a ZON data em que escrevo este texto. Os servidores usam SPF com hardfail no domnio zon.pt, e as mensagens com as contas dos clientes so devidamente assinadas com S/MIME. A maior parte das empresas s faz disparates. No autentica coisa nenhuma, ou no instrui os servidores de e-mail para descartar mensagens falsicadas, e no assina os contedos. Resultado prtico: milhares de mensagens falsicadas a circular na Internet. Infelizmente muitas dessas empresas so bancos, fornecedores de electricidade, gs, fazem comrcio electrnico e so operadores de telecomunicao. a si que esto a tornar vulnervel quando agem desta forma. Pelo que deve manifestar o seu desagrado.

http://pls.mrnet.pt

Segurana e Internet, Pgina 48

DNS
Quando originalmente escrevi na minha pgina pessoal sobre a importncia de congurar bons servidores de DNS nos computadores, e nas redes de sua cada e empresa, no estava espera de descobrir tantos disparates. O meu artigo original sobre o assunto acabou por se transformar no equivalente informtico a pontapear um ninho de vespas. Recomendava (ingenuidade minha) que as pessoas alterassem os DNS de todos os seus computadores para uma congurao segura, e chamava a ateno para em redes domsticas (e de empresas) faz mais sentido congurar os routers, de forma a que os computadores da rede recebessem essas opes de forma automtica. Infelizmente, na sequncia dessa recomendao, fui contactado por algumas pessoas, dizendo que as opes de alterar os seus DNS no estavam disponveis nos routers que tinha em casa (ou na empresa). Achando isso estranho (dado que em todos os meu routers, comprados nos ltimos 20 anos, as opes sempre existiram) fui investigar o que se passava. Descobri com essa investigao que ZON e MEO tinham escondido essas opes nos seus routers. At a, mesmo no percebendo a lgica dessa opo, estava tudo bem, e apenas respondia aos clientes dessas empresas para congurarem antes do DNS em cada aparelho lamentando as escolhas dos fornecedores. Acontece que, no satisfeito com o que tinha constatado, resolvi investigar que raio de routers eram esses, e como se poderia contornar a situao. E foi nesse ponto que tropecei no ninho de vespas. Descobri que os routers tinham vrios utilizadores de administrao escondidos dos clientes, com as passwords publicadas na Internet (h anos!) e que, com esses utilizadores, qualquer hacker podia alterar opes de routing (fazer passar todo o trfego por
http://pls.mrnet.pt Segurana e Internet, Pgina 49

mquinas perigosas) e DNS das redes. Isto coloca os titulares dos servios em risco eminente. To rapidamente quanto possvel escrevi artigos a denunciar publicamente o assunto: MEO e ZON foram as empresas sobre as quais escrevi. Para meu desgosto no possvel ensinar os utilizadores a alterarem este estado de coisas. H demasiados routers no mercado, e sem know how adequado a lidar com cada caso s o operador pode resolver a situao e dar instrues aos seus clientes. Tudo isto torna ainda mais importante que os utilizadores tenham em cada aparelho o DNS bem congurado (e o seu mail congurado de forma segura, e evitem usar passwords em sites sem HTTPS). Isto no alarmismo excessivo, mera constatao de facto, que me leva a recomendar que tratem a vossa prpria rede como um ambiente hostil (equivalente a um hotspot wi livre).

O que o DNS? A explicao mais simples que conheo a do livro DNS FOR DUMMIES: http://www.dummies.com/how-to/content/dns-what-it-is-andwhat-it-does.html Vou tentar de qualquer forma criar uma analogia que todos possam perceber nas linhas que se seguem. Um servidor na Internet identicado por um numero, o seu endereo IP. Algo do tipo 195.22.11.61. Este numero (ou melhor conjunto de quatro nmeros, separados por pontos) o equivalente morada de uma casa (Rua qualquer coisa. Numero X) . Nestes servidores podem estar hospedados diferentes servios (vrios sites diferentes,
http://pls.mrnet.pt Segurana e Internet, Pgina 50

servidores de e-mail, etc), da mesma forma que numa casa (ou morada de uma empresa) pode viver mais que que uma pessoa identicadas pelo seu nome prprio (o Senhor Joo, a sua esposa Matilde e o lho Bernardo). Os servios de computadores tambm usam nomes prprios (mail.xxxx.pt, site.xxxx.pt, site.yyyy.pt, etc) que podem residir no mesmo endereo IP (equivalente morada). Quando no nosso computador acedemos a um site, o DNS o servio que identica que o nome desse site corresponde a um determinado IP, e informa o nosso browser ou programa de e-mail que se deve dirigir a determinada morada e perguntar l pelo servio pelo a determinado nome. como informar algum algum que se deve dirigir morada X e perguntar pelo senhor Y.

Porque que o DNS importante para a nossa segurana? Porque quando vamos interagir com algum (ou alguma entidade), e lhes vamos dar dinheiro ou credenciais de identicao, no as queremos entregar entidade errada. Ora, se o DNS nos informar mal, no estamos a comunicar com quem pretendemos, e a partir da podem acontecer vrios problemas desagradveis. O DNS fundamental para o normal funcionamento de quase todos os protocolos. O e-mail, a web, ftp, entre tantos outros... O DNS, se for congurado para o efeito, pode servir como uma barreira de defesa. Na Internet abundam mquinas que servem contedos perigosos, como vrus, troianos e malware para todos os gostos, bem como falsos sites de Phishing. Congurar o DNS de um computador simples (Mac, Windows, Linux), mas ateno que esta congurao por computador s faz sentido para quem tenha portteis, que viajam entre diferentes redes.
http://pls.mrnet.pt Segurana e Internet, Pgina 51

Para computadores de secretria e portteis que na prtica no saiam de casa ou dos escritrio, o que faz sentido congurar o DNS no seu router (dessa forma todos os computadores da rede recebem a congurao quando se ligam rede). Infelizmente os senhores da ZON e MEO no percebem a consequncia das ms opes que zeram (ver introduo deste capitulo).

Que DNS se deve utilizar? Um que seja rpido tipicamente a primeira resposta. Isto porque com um DNS rpido toda a Internet parece (e ) mais rpida. Os mais tcnicos entre os leitores utilizar o namebench para descobrir quais as melhores opes perto de si. Eu acrescento um segundo critrio que considero ser ainda mais importante. Ser rpido importante, mas na minha opinio menos importante que ter um DNS que contribua para haver menos hipteses de risco (ser hackado, enganado ou infectado com alguma porcaria rapidssimo no me parece desejvel) para o utilizador. Em minha casa e no meu porttil utilizo o OpenDNS, pelo que, quanto a recomendaes, estamos conversados. Lembrem-se que podem mudar a congurao de um computador em segundos para uma alternativa, caso seja necessrio.

Google DNS Os servidores mais rpidos deveriam ser os do ISP a que est ligado (aqueles que por defeito esto congurados no seu router de acesso), na prtica raramente so. Em quase todos os cenrios o campeo da velocidade vo ser os servidores de DNS do Google (DNS: 8.8.8.8 e8.8.4.4). No fazem qualquer tipo de voodoo (i.e. ltragem de
http://pls.mrnet.pt Segurana e Internet, Pgina 52

domnios e sites perigosos) para o proteger de coisa nenhuma. So rpidos, veis e a mais perfeita implementao do servio de DNS disponvel ao comum utilizador da Internet. Link: https://developers.google.com/speed/public-dns/

OpenDNS O OpenDNS (DNS: 208.67.222.222 e 208.67.220.220) um projecto diferente. Para alm do normal servio de DNS, ltram endereos de Phishing, chamando a ateno do utilizador para o facto de estar prestes a entrar num site perigoso. A comunidade de utilizadores do OpenDNS gigantesca (mais de trinta milhes de utilizadores, uma em cada trs escolas americanas, e vrias empresas) e coopera a identicar novas ameaas atravs do projecto PhishTank (espreitem e percebam como so perigosos os sites de Phishing). H ainda uma verso que ltra (opcional) sites de porno para uso domstico (DNS: 208.67.222.123 e 208.67.220.123). Tudo isto gratuito.

http://pls.mrnet.pt

Segurana e Internet, Pgina 53

O projecto conta ainda com verses pagas, que permitem anar ltros para quem tem crianas, e ltram adicionalmente malware diverso e trfego de bots (computadores hackados). Para um agregado familiar a verso paga custa menos de cerca de 2 euros por ms. Existem ainda verses para empresas e instituies diversas, em que preo determinado em funo da dimenso da rede em causa. uma questo de pedirem o oramento no site.

Em verso Beta ainda possvel encriptar toda a comunicao de DNS. Chama-se DNSCrypt e est disponvel para Windows e Mac OS X e pode ser encontrada em http://www.opendns.com/technology/dnscrypt/ Recomendo a utilizao do DNSCrypt (mas com uma pitada de sal): isto implica que quando no tiverem acesso Internet, dentro de algumas redes, precisam de se lembrar que est instalado (e provavelmente ligar a opo de usar o port 443 ou o fallback). uma verso inicial, que funciona exemplarmente bem, mas pode dar origem a algumas expresses intrigadas e comicho na cabea Link: http://www.opendns.com/
http://pls.mrnet.pt Segurana e Internet, Pgina 54

Comodo Secure DNS Gratuito para uso domstico, pago para uso em empresas e instituies, uma alternativa ao OpenDNS. Inclui ltros de Phishing, Malware, etc. Nunca o utilizei pessoalmente. Os DNS so 8.26.56.26 e 8.20.247.20. Link: http://www.comodo.com/secure-dns/

Norton ConnectSafe Servio gratuito para particulares, pago para uso em empresas e instituies, mais uma alternativa ao OpenDNS. Nunca o utilizei pessoalmente. Os DNS (escolha o par que mais lhe interessar) so: 198.153.192.40 e 198.153.194.40 (ltro normal de Phishing, malware e esquemas vrios), 198.153.192.50 e 198.153.194.50 (ltra tambm pornograa) 198.153.192.60 e 198.153.194.60 (ltra pornograa e outros contedos que a Norton acha pouco indicados para crianas).

Alterar o servidor de DNS no router Nas pginas de todos os servios mencionados esto instrues para fazer as alteraes ao nvel dos routers, em vez de fazer em cada aparelho individualmente. Essa tambm a minha recomendao.

http://pls.mrnet.pt

Segurana e Internet, Pgina 55

Pelos motivos apontados (neste texto) os utilizadores do MEO e ZON podem encontrar diculdades em o fazer. Eu sugiro a esses utilizadores que considerem a compra de um segundo router, desliguem o WiFi do router fornecido pelo operador, e congurem tudo em sistemas minimamente adequados misso de criar uma rede segura para a vossa famlia e/ou empresa. Infelizmente, dicilmente vo conseguir resolver o problema de outra forma, porque estas empresas so irresponsveis, prestam um pssimo servio ao bloquear a congurao de DNS, colocando os seus clientes em risco. Falar com os servios de call center das ditas empresas como falar com uma parede. Nem os operadores esto preparados para lidar com esta situao, nem o MEO e ZON demonstraram qualquer vontade que me leve a crer que reconhecem e tencionam resolver o problema (Maio de 2012).

http://pls.mrnet.pt

Segurana e Internet, Pgina 56

WiFi (a sua rede wireless)


Congurao A sua rede wireless deve ser congurada com WPA/WAP2, usando AES em vez de TKIP (se o seu router permitir) e com uma password forte (ler primeiro capitulo desde documento). Os routers no so difceis de congurar, desde que saiba procurar pelas palavras e siglas que pretende alterar. Todos os restantes mtodos de proteco de redes wireless so inecazes e no servem para rigorosamente nada: Esconder o SSID, WEP e ltros de MAC ADDRESS. Na minha pgina encontrar instrues para entrar em qualquer rede mal protegida em minutos. Sim, absurdamente simples, e muito perigoso para si no saber que essa a realidade.

Clientes do MEO precisam de cuidados adicionais! H vrios sites na Internet com as passwords wireless deixadas por defeito em clientes do MEO (sim as passwords da vossa rede!). Experimentem que no difcil nem precisam de ser cientistas nucleares: http://www.nickkusters.com/Services/SpeedTouch/Lookup http://www.md5this.com/thomson-speedtouch-crack.html Isto quer dizer que a maior parte das pessoas tem a sua rede wireless completamente escancarada, no preciso ser hacker nenhum para ter acesso Internet.
http://pls.mrnet.pt Segurana e Internet, Pgina 57

O problema no algum partilhar o vosso acesso Internet. um hacker poder explorar isto para estando na vossa rede, por trs do rewall do vosso router, poder atacar livremente os vossos computadores. Verique se a sua rede est vulnervel (com os links que indiquei), modique o seu SSID (nome da rede wireless) e a sua password (de acordo com o indicado no inicio deste capitulo). NOTA: fui informado por um amigo que Isto no verdade, trust me. A percentagem de Speedtouches que ainda tem o hash conhecido j muito reduzida. Por dois motivos: 1. Porque altermos a password em muitos dos clientes atravs da recongurao remota que conseguimos fazer em alguns modelos do parque. 2. Porque h j largos meses que todos os routers que fornecemos no padecem deste problema.. No entanto encontro redes vulnerveis em TODOS os prdios de Lisboa em que me dou ao trabalho de fazer o teste (at Maio de 2012), o que me leva a crer que devo ter uma sorte bestial e muita pontaria.

No tem a password para o seu router? Bom, esto publicadas na Internet h anos, e todos os hackers sabem disso, isto porque as empresas so totalmente irresponsveis (deveriam usar uma password nica por cliente) e utilizam as mesmas passwords para toda a gente. Deve alterar estas passwords para algo que seja nico da sua rede. Os routers tendem a estar nos extremos da gama de IPs em que est a vossa rede, pelo que experimentem no browser algo do tipo: http:// 192.168.1.1 ou http://192.168.1.254 (mas podem no estar nessa gama de IPs, nesse caso precisam de o descobrir qual a gama de IPs que est a ser usada). Nada como ligar para as linhas de apoio da ZON/MEO...
http://pls.mrnet.pt Segurana e Internet, Pgina 58

Bom, dito isto, se cliente do MEO, aceda ao seu router e congure o mesmo (pode ligar para a PT e pedir apoio, para isso que servem as linhas de ajuda ao cliente). Para os mais versados em informatiqus as passwords que costumam ser deixadas por defeito so: Login: Administrator Password: 3!play Login: sumeo Password: m30acc355 Login: telepac Password: telepac Login: meo Password: meo Se for cliente da ZON e tiver um ZON HUB (que o que actualmente instalam) os acessos do router por defeito so: Login: home Password: zonnet Login: home_admin Password: zonnetadmin No me lembro das passwords dos routers mais antigos (pode ligar para a ZON e pedir apoio, para isso que servem as linhas de ajuda ao cliente). Isto estar em centenas de pginas na Internet publicado, e no ser entregue a cada cliente (s eles no sabem as passwords) uma vergonha.

http://pls.mrnet.pt

Segurana e Internet, Pgina 59

Rootkits
O que um rootkit? um rootkit software que escondido no sistema, perpetua o acesso remoto de quem o instalou, permite o acesso a um conjunto de ferramentas que quebram qualquer tipo de condencialidade. A melhor forma de entender o que signica instalar um e ver o efeito. Todos os exemplos que vou dar so servios pagos. de propsito. Quem estiver interessado em saber mais pode comear pelo artigo da wikipedia sobre rootkits, e a partir da usar o Google para chegar ao cdigo fonte de uns quantos rootkits. E se souber como compilar um programa chegar a rootkits funcionais e gratuitos. Modicar os mesmos (para evitar deteco) e descobrir como os instalar em mquinas igualmente trivial para quem dedica algum tempo ao assunto. A primeira parte mais complexa, a segunda nem por isso, dado que os utilizadores caiem em ataques de Phishing, instalam troianos puxados a partir de redes de p2p, etc.

O que que um hacker pode ver e fazer? Quase tudo, excepto festinhas no monitor. Pode ligar microfones e ouvir ou gravar qualquer conversa, pode tirar imagens ou videos de cmaras ou das imagens que aparecerem no monitor, apanhar todas as teclas que algum pressionar no teclado, ver todas as mensagens recebidas ou escritas, todos os chats, retirar/modicar/apagar qualquer cheiro existente no disco, receber relatrios sobre tudo o que o utilizador faz e respectivas passwords, etc. A lista quase inndvel. Veriquem por exemplo o Spector pro.
http://pls.mrnet.pt Segurana e Internet, Pgina 60

http://pls.mrnet.pt

Segurana e Internet, Pgina 61

Quer experimentar com um computador seu? s ler os reviews e comprar. Seja um Mac ou Windows h escolhas para todos os gostos. A maioria destes programas permite correr em modo escondido ou com avisos ao utilizador que est a ser monitorizada a actividade do computador.

Lembrem-se que telefones tambm so computadores... E naturalmente que no cam de fora. Neles podemos naturalmente saber onde esto (GPS e/ou triangulao de clulas), ver todos os sms recebidos ou enviados, ver listas de chamadas feitas ou recebidas, ouvir as conversas, ouvir o som ambiente quando a pessoa no est a usar o telefone, consultar contactos e agendas, ver videos e fotograas, etc. Exemplos acessveis e fceis de instalar: http://www.mobistealth.com/ http://www.mobile-spy.com/compatibility.html

Fogo, carros e facas de cozinha... Estas aplicaes podem ser utilizadas para ns legtimos (controle de menores por exemplo).O facto de conter cdigo que pode potenciar invases de privacidade graves (eu diria totais) no implica que seja usado para esse efeito. Com estes programas extremamente simples fazer muitas coisas boas e ms. Trata-se de uma ferramenta, como tantas outras nas mos de quem a usar que est o poder de fazer bom ou mau uso da mesma. Os carros matam que se fartam, o fogo lixado, as facas de cozinha so letais se usadas contra algum.

http://pls.mrnet.pt

Segurana e Internet, Pgina 62

Pense duas vezes antes de instalar estes programas em qualquer computador ou telefone que seja utilizado por outra pessoa (cnjuge, colegas de trabalho, crianas, etc). Para alm das implicaes ticas e legais de o fazer, a quebra de conana que uma aco dessas implica provavelmente ser irreparvel, e arrisca-se a no gostar do que vai ver. Tudo o que aqui menciono no s objectivamente acessvel a qualquer pessoa (que pague para as usar), bem ou mal intencionada, como no exige qualquer know how de informtica. No estou a mostrar estas coisas para assustar as pessoas, mas sim para as despertar para os riscos que correm quando no se protegem. Talvez um exemplo colorido ajude a que despertem para a realidade

http://pls.mrnet.pt

Segurana e Internet, Pgina 63

Anti-vrus
Este capitulo no dirigido a utilizadores individuais, aos que pouco ou nada percebem de tecnologia, aos que no fazem a mnima ideia de como os computadores funcionam, nem querem saber. sim dirigido a prossionais de TI, hackers (i.e. pessoas que gostam de tecnologia e de perceber como as coisas funcionam) e aos utilizadores mais interessados em perceber como as coisas funcionam (mesmo que lhes faltem as bases para perceber tudo). Os conceitos expostos so muito simples de perceber. No preciso serem gnios. J aplicar no terreno as solues e lidar com as ferramentas outra conversa, e no para todos. Se a maior parte das pessoas que prossionalmente trabalham em tecnologias de informao no percebem patavina de segurana, e no sabem lidar de forma minimamente airosa com os problemas, completamente utpico pensar que o comum utilizador vai perceber alguma coisa. Restam os hackers (prossionais de TI ou os que esto a caminho disso) para perceber estes textos.

Anti-vrus e o mercado de Mac OS X Ando a observar os vendedores de anti-vrus (e ans) a tentarem colocar-se no mercado do Mac OS X. Todas as semanas aparecem noticias sobre o ultimo potencial grande problema de segurana e troiano da moda. Claro que os suspeitos do costume esto por trs de toda a histeria. Os press releases so sempre algo do tipo: http://www.theverge.com/2012/4/26/2976422/eugene-kasperskyapple-security-behind-microsoft-10-years http://ismashphone.com/2012/04/malware-is-indeed-abundant-onmac-os.html

http://pls.mrnet.pt

Segurana e Internet, Pgina 64

O resultado prtico aparecerem artigos destes em publicaes e sites: http://arstechnica.com/apple/2012/05/hands-on-with-ve-antivirusapps-for-the-mac/ http://lifehacker.com/5800267/the-non+alarmists-guide-to-macmalware-protection http://antivirus.about.com/od/antivirussoftwarereviews/tp/ aamacvir.htm O objectivo/agenda vender assinaturas de anti-vrus, expandir o mercado ao OS X, e fazer o mesmo que fazem no Windows ehr ou seja quase nada. uma industria de bilhes completamente idiota, feita para proteger pessoas de fantasmas (quase todos moderadamente inofensivos), da forma mais ineciente possvel, dado que a ideia no resolver nenhum problema ou causa da infeco, mas sim perpetuar o licenciamento (i.e. venda) do remdio. De preferncia os vrus so chatos, detectados e removidos s resmas, sempre com o utilizador a achar que cou muito protegido, e que lhe prestaram um servio bestial sem o qual a vida no possvel. Chegamos ao ridculo de haver milhares de vrus que no fazem nada a no instalar-se, propagar-se, e car pacientemente espera da remoo. Temos outros que originalmente numa data distante fariam qualquer coisa, mas o mundo salvo regularmente por estes paladinos da desinfeco digital. A Microsoft alinhou no jogo (no me perguntem a motivao!), e at chateia o utilizador acabado de comprar o produto deles (i.e. Windows) para ir imediatamente s compras, dado que falta o antivrus, com mensagens do tipo o seu computador est em risco. A palhaada chegou ao ponto de o vulgar utilizador do Windows achar que um anti-vrus uma espcie de extra obrigatrio. Porque que isto acontece? Sigam o dinheiro..,

De volta ao bsico (virus 101)


http://pls.mrnet.pt Segurana e Internet, Pgina 65

http://en.wikipedia.org/wiki/Computer_virus - para ler ok? Um vrus um programa de computador que se propaga (i.e. se copia e instala), e como qualquer organismo equivalente fora do mundo informtico, tem que ter uma estratgia de sobrevivncia (evitar deteco e remoo). Os que se propagam de forma pouco eciente do mais tempo a que medidas de deteco existam e impeam a dita propagao, os que tiverem ms estratgias de sobrevivncia esto mais expostos e consequentemente so mais susceptveis de serem eliminados. Vamos imaginar que o vrus faz algo que d nas vistas (i.e. coloca em risco a sua estratgia de sobrevivncia por ser detectado); formata o computador, faz efeitos visuais perceptveis pelo utilizador, crasha o sistema torto e a direito, comunica para outros sistemas enviando informao. Tudo o que d nas vistas coloca em causa a sobrevivncia do prprio vrus. Tudo o que coloque essa sobrevivncia em risco diminui a probabilidade de se multiplicar mais vezes. O compromisso ideal para um vrus portanto ser ultra-discreto e multiplicar-se de forma eciente (durante tanto tempo quando possvel). O que os anti-virus tipicamente fazem monitorizar a rede (i.e. rewall), que executveis comunicam, para onde e em que ports. Fazem tambm a pesquisa por assinaturas (i.e. conjuntos de bytes) que permitam identicar um padro previamente associado a um vrus ( essa a origem das denies e actualizaes constantes das bases de dados, que correspondem ao servio assinado pelos clientes, que devem ser utilizados perpetuamente), quer na comunicao, quer nos cheiros em disco (i.e. da os scans ao disco, para ver se encontram em cheiros os ditos padres).

http://pls.mrnet.pt

Segurana e Internet, Pgina 66

Esta metodologia no faz qualquer sentido, a pior abordagem possvel para se segurar um sistema informtico, serve apenas para perpetuar a venda assinaturas das bases de dados de padres. Pelo menos enquanto houver medo do bicho seguinte. O problema comea pelo funcionamento com base em padres conhecidos, que signica que um vrus tem que chegar aos fornecedores de anti-vrus, de forma a ser identicado o padro e distribuda a soluo. Ora, eu estranho a velocidade a que isso parece suceder (caramba, os vrus chegam l muito depressa!), estranho a ecincia para determinar um padro nico que no se confunda com outros binrios e comportamentos, e o facto desta abordagem to m poder ser to eciente a maior parte do tempo. No lhes d jeitinho nenhum que os clientes com assinatura sejam infectados, no entanto, e por uma espantosa coincidncia constante e quase universal, a maior parte das pessoas com um anti-vrus parece nunca ser infectada ANTES dos vrus chegarem s empresas, serem estudados, e lanado os respectivos antdotos. E enquanto nada se passa os fabricantes de anti-vrus parecem estranhamente empenhados em informar o utilizador que as bases de dados foram actualizadas (i.e. est protegido contra mais uma montanha de germes). Alguns fazem aparecer popups, outros anunciam em alta voz, alguns fazem uns rudos tipo sonar, lembrando os clientes que o guardacostas est sempre presente. Quando termina a assinatura, claro, volta o Windows volta a queixar-se que o computador est em risco eminente e constante. Estranhamente os vrus parecem estar, h vrios anos, com um srio problema de reproduo que, para se reproduzirem precisam de sistemas informticos com problemas de segurana por resolver. Precisam de ultrapassar os normais patches de segurana (actualizaes) dos fabricantes dos sistemas operativos, dos autores dos programas, das ferramentas bsicas de sistema (como os rewall que monitorizam a comunicao). As janelas de oportunidade para se propagarem so diminutas e relativamente raras. Quando uma se abre
http://pls.mrnet.pt Segurana e Internet, Pgina 67

normalmente d nas vistas, conhecida e tudo quanto bichedo tenta explorar esse canal. Algo que progressivamente mais complicado (porque os vrios sistemas operativos vo evoluindo, bem como as prticas de programao segura). Para ser muito preciso e claro: sem bugs, defeitos de programao ou de engenharia dos sistemas informticos, essas janelas de oportunidade no existem. Logo os vrus (e a sua multiplicao/reproduo) s existe em sistemas defeituosos. Corrigido o defeito o vrus pode permanecer no sistema infectado, mas deixa de se propagar sozinho. Para lidar com esta limitao chata, passmos a ter vrus com uma reproduo assistida! Usam um recurso ilimitado para se espalharem: a estupidez humana. Usam o e-mail, com textos que levem as pessoas a aceder a sites remotos, ou a executar uma aplicao embebida na mensagem, que de alguma forma induza em erro o utilizador. Os anti-vrus lidam com isto, novamente, com a abordagem mais ineciente possvel (bases de dados de sites remotos, que podem estar em constante mutao, logo tornando a lista inecaz com cada infeco) e padres do executvel (novamente provenientes de uma autpsia realizada pela empresa que vende o antdoto, que para isso precisa de receber o mail antes dos clientes). Qual o papel dos anti-vrus? Bom, a mim parecem-me que partem de uma premissa fatal em termos de inecincia: precisarem de ser analisados antes de descobrirem os padres a detectar. H algum efeito positivo? H, ningum infectado pelas gripes dos anos anteriores, se continuarem a pagar a assinatura. Mas no seria prefervel ter os computadores actualizados (i.e. destruir as vias de infeco em vez de reconhecer os germes)? Lidar com as limitaes humanas de instalar e executar programas estranhos ao sistema? Limitando a capacidade de qualquer novo programa de interferir com executveis e dados (link), processos de bootstraping (link) e automatizando processos de preservao de dados entre acessos (link)?
http://pls.mrnet.pt Segurana e Internet, Pgina 68

Para alm das ms abordagens normais (e inecazes excepto contra problemas previamente conhecidos), depois temos a entrada no reino da completa fantasia, em que alguns produtos se dizem capazes de detectar vrus futuros, variando as abordagens entre o completamente imbecil e o totalmente utpico. Mas nem vou entrar em detalhes, bastando dizer o bvio: no dia em funcionassem eram feitas as ultimas vendas do programa de anti-vrus ah, sim, mesmo isso que pretendem oferecer: a destruio do seu prprio mercado. Essas formulas mgicas no existem, e se existissem estavam nos sistemas operativos, destruindo instantaneamente toda a industria de medicamentos informticos e banha da cobra digital.

Cavalos de troia, rootkits e outro malware. Os nomes pomposos so simples de entender, mas devem estudar o que signicam. Cavalos de troia so a verso digital de um engodo que permita ultrapassar a muralha e atacar os inimigos a partir de dentro da fortaleza. A diferena para o vrus que manda o e-mail a passividade, o falso programa no envia coisa nenhuma, colocado na Internet e aguarda que o puxem e instalem, fornecendo o utilizador as credenciais necessrias ao sistema para ultrapassar a muralha virtual. Um rootkit um sistema que perpetua a existncia de um programa escondido do sistema operativo, no permitindo s normais ferramentas disponveis visualizar o que est instalado ou a ser executado. Nem todo o malware so rootkits, nem todos os rootkits so malware. O software malicioso pode nem estar particularmente escondido, e o rootkit pode ser apenas um sistema de manuteno escondido pela equipa de TI de uma empresa para o processo no ser morto ou removida a aplicao pelo utilizador.
http://pls.mrnet.pt Segurana e Internet, Pgina 69

A maior parte das aplicaes de anti-vrus so muito parecidas com rootkits (para evitar que os vrus as removam ou anulem). Muito malware so plugins de browsers (para fazer tracking de utilizadores, apanhar passwords, etc), addons de sistema (drivers de teclados / keyloggers), de video, etc.

Impacto de ter aplicaes estranhas no sistema Eu escrevi h uns tempos um artigo sobre as possibilidades inerentes a ter um rootkit. Basicamente quem instala um rootkit faz o que quiser da mquina. Acrescento s que o Rookit pode correr na BIOS da mquina, no kernel do sistema operativo, e ser absolutamente impossvel de detectar pelo sistema operativo. Pode no entanto ser detectado por um sistema externo, desde que se saiba o que devia estar na BIOS e no disco, e se possa comparar com o que l est. Para os prossionais de IT: esta a nica forma de assegurar a segurana de uma mquina, saber se alguma coisa foi alterada, e ter a certeza que o sistema entregue corresponde ao que est actualmente a uso. Tudo o resto so fantasias e falsas iluses de segurana, lutar contra os problemas conhecidos, fechando os olhos a todos os que forem novos (ou feitos de propsito para um alvo especico, como a sua empresa, e no para ataques genricos e indiscriminados). O seu porttil inspeccionado pelo seu servio de IT com que regularidade? Ah! Como nunca? viver uma iluso de segurana, perpetuada por pessoas mal treinadas e que precisam de apoio. A culpa disto a irresponsabilidade em cadeia, as promessas vazias de muitas empresas de segurana, que parecem resistir a tudo menos 10 minutos de investigao: http://blog.webroot.com/2011/09/13/ mebromi-the-rst-bios-rootkit-in-the-wild/ , http:// www.computerworld.com/s/article/99843/ RSA_Microsoft_on_rootkits_Be_afraid_be_very_afraid, etc.
http://pls.mrnet.pt Segurana e Internet, Pgina 70

Solues reais em vez de doces iluses - Os sistemas precisam de monitorizao externa. Investiguem o Tripwire e percebam que fundamental ser capaz de detectar alteraes em sistemas, em particular saber o que a normalidade (i.e. que binrios existem) para se poder detectar quando algo muda. A monitorizao comea na BIOS e termina no mais recente documento editado pelo utilizador. Todos os sistemas operativos (isto no tem nada a ver com ser Windows, linux ou Mac) precisam de ser conhecidos. A regularidade das alteraes dene a velocidade a que descoberta toda e qualquer modicao. importante que existam pessoas na vossa organizao (ou contratadas) para aferir dados caso sistemas sejam alterados. NO SE PROCURA POR PADRES CONHECIDOS DE VIRUS E MALWARE MAS SIM POR QUALQUER MODIFICAO AO QUE SABEMOS QUE DEVIA L ESTAR. - Os sistemas de rewall so absolutamente vitais (assegurado que correm em cima de um kernel e stack de tcp/ip saudvel e no adulterado) para evitar qualquer comunicao por binrios no explicitamente autorizados. - O sistema operativo deve ser preservado num lesystem read only. Caso no saibam h discos com switch de hardware (read only / read write) que complementam uma BIOS e kernel saudveis. As reas de escrita devem ser limitadas (swap, directorias temporrias e reas de utilizadores). - Os binrios que correm no sistema devem ser assinados digitalmente e sandboxed/chrooted ou correr em ambientes virtualizados e isolados. toda a gente to rpida a usar virtualizao nos sistemas de backend e depois esquecem-se dela nos computadores que toda a gente usa. O impacto de qualquer vrus ou troiano em sistemas de chroot/sandbox/ virtualizados prximo de nulo. Se o sistema s corre binrios assinados digitalmente extremamente complicado de ultrapassar,
http://pls.mrnet.pt Segurana e Internet, Pgina 71

mesmo com a tal ilimitada disponibilidade humana para fazer disparates. - O sistema operativo deve assegurar verses de dados (i.e. todas, sempre que um cheiro modicado) e roolback de preferncia sincronizada em servidores externos. Ainda no foi assimilado pela maior parte das empresa que deve existir uma clara separao entre dados e executveis. Os dados devem ser dissociados de mquinas particulares e sincronizados para os servidores da empresa (pensem numa Dropbox privada, com encriptao forte, capaz de assegurar que em qualquer local onde o utilizador faa login esto os seus dados disponveis). - Os sistemas de DNS devem ser monitorizados e autenticados. Bloqueado todo o trfego para outros servidores. - Os sistemas de e-mail devem ser monitorizados e autenticados. Bloqueado todo o trfego para outros servidores. - As cadeias de certicao (de certicados digitais) devem estar em suportes read only. - Os browsers no podem estar desactualizados (nem um update que seja: espreitem o chrome e a prxima verso do Firefox para descobrirem sistemas de auto-update automticos). - Os sistemas de backup devem ser automticos, transparentes, e testados regularmente pelos utilizadores (o time machine do OS X ligado a uma time capsule um bom exemplo para seguirem), podendo estes fazer roolback para qualquer verso de qualquer documento, aceder ao que foi apagado, etc. Estas funcionalidades esto disponveis em sistema de cloud storage (e as empresas podem criar os seus ou utilizar sistemas off the shelf).

http://pls.mrnet.pt

Segurana e Internet, Pgina 72

A ignorncia cura-se, os maus procedimentos mudam-se, mas para isso absolutamente fundamental que liguem o crebro e ponham a mo na conscincia. Todos, de prossionais de TI a gestores. O pior erro que podem cometer no pensarem sobre o que fazem e usam todos os dias. O sucesso dos programas de anti-vrus e respectivas assinaturas em empresas diz muito sobre a real dimenso do problema Quanto a particulares bom, no vejo que se possa fazer alguma coisa, tecnologia que no percebem, e natural que estejam num beco sem sada. Antes com anti-vrus contra as maleitas conhecidas que sem eles (e nenhum outro tipo de segurana). Usem os gratuitos. Vai dar ao mesmo.

Para quem tem Windows (particulares) - Usem o Open DNS. - 99.9% dos vrus/troianos que podem apanhar seguindo links de email, ou pginas na Internet, esto relacionados com software instalado no vosso computador que no est actualizado, esse o principal problema (via de infeco), pelo que a primeira prioridade a resolver. Instalem o Secunia personal scanner (http://secunia.com/ vulnerability_scanning/personal/) que vos ajudar a perceber o que est no vosso computador desactualizado e representa uma vulnerabilidade. - Mantenham o ash e Java desligados excepto para sites em que implicitamente conam. No Chrome existe a funcionalidade equivalente nas preferncias (liguem a dita cuja). Evitem usar o IE caso no tenham acesso ultima verso disponvel (visto que a Microsoft no permite usar a ultima verso em instalaes antigas do Windows), recomendo que usem o Chrome (ou o Firefox, Safari, Opera, desde que tenham um plugin que permita desligar por defeito o Java e Flash excepto para os sites que autorizarem).
http://pls.mrnet.pt Segurana e Internet, Pgina 73

- Escolham e dominem um bom rewall (http:// www.techsupportalert.com/best-free-rewall.htm). O importante que vos permite escolher que aplicaes comunicam com o exterior, por defeito bloqueie todas excepto as que autorizarem explicitamente, e percebam quando algo de novo e anormal est a tentar estabelecer ligaes com o exterior ou a tentar contactar a vossa mquina. - Faam backups to regulares quanto possvel (nas empresas isto facilitado por boas prticas impostas por bons administradores de sistemas prossionais, os particulares precisam de as substituir com alguma disciplina pessoal). - Ao contrrio do Mac OS X (em que no existe um histrico de vrus: nenhum, zero, zilch, batatoides), no Windows importante estarem protegidos contra infeces do passado (e para isso os anti-vrus com a sua abordagem completamente idiota at servem). Utilizem um antivrus gratuito e sem interesses comerciais (i.e. que no tenha interesse em vos vender coisa nenhuma). No recomendo que usem nenhuma ferramenta que tenha um interesse implicito em que comprem uma verso paga e para isso ofeream uma gratuita com uma proteco de alguma forma reduzida! Recomendo o ClamWin (http:// www.clamwin.com/).

Para quem tem Macs (particulares) - Usem o OpenDNS. - Mantenham o vosso Mac actualizado (especialmente o software da Adobe e Microsoft que usarem: estas duas companhias sozinhas so responsveis pela esmagadora maioria de problemas de segurana do Mac OS X nos ltimos anos).

http://pls.mrnet.pt

Segurana e Internet, Pgina 74

- Mantenham o ash e Java desligados com um plugin (http:// hoyois.github.com/safariextensions/clicktoplugin/). No Chrome existe a funcionalidade equivalente nas preferncias (liguem a dita cuja). - Compre e instalem o LitleSnitch ( um rewall com que muitos conseguiro lidar). - Faam backups com o Time machine e assegurem-se que so to regulares quanto possvel. - Se querem um anti-vrus (que no vos vai servir para nada, a menos que andem a piratear software, e mesmo nesse cenrio mais uma questo de timing da potencial infeco que qualquer outra coisa) usem o ClamXav. Que, repito uma ultima vez, no vos vai servir para nada. O resto no simples de explicar nem prtico para particulares a prxima verso do OS X (10.8 / mountain lion) suporta de raiz a opo de correrem apenas binrios assinados digitalmente e em sandboxes, deve ajudar Os comportamentos de risco no Mac so relacionados com executarem cheiros de origem questionvel (piratarias, puxados de links que vos chegam em mensagens de e-mail, ou em falsos sites). Se no o zerem no vo apanhar malware nenhum.

http://pls.mrnet.pt

Segurana e Internet, Pgina 75

Linux Caixa Mgica


O Linux Caixa Mgica um excelente sistema operativo. Desenvolvido em Portugal a pensar nos portugueses, com suporte e documentao em lngua portuguesa, e de distribuio gratuita. Para as empresas nacionais e estado Portugus, signica a capacidade de usar software nacional, em vez de pagar milhes de euros, a empresas estrangeiras. Existindo uma alternativa nacional, capaz de responder a todos os requisitos necessrios para a execuo do trabalho , obviamente, de se utilizar preferencialmente. Acontece que o Linux Caixa Mgica, a semelhana de tantas outras distribuies de Linux importadas, mais seguro e mais eciente (com menores requisitos de sistema) para a esmagadora maioria das misses. A maioria dos postos de trabalho de empresas nacionais cariam melhor servidas com o Caixa Mgica que com o Windows ou Mac OS X. H excepes a esta regra, sempre que o software que precisam de correr no esteja disponvel, em formato igual ou equivalente, o que no o caso para a maioria das funes e ambientes empresariais. Mesmo quando existe uma dependncia de algum software especico de outro sistema operativo, faz mais sentido na maior parte dos casos ter o mesmo a correr em mquina virtuais ou usando os servios na cloud da Google/Microsoft, e acessvel via citrix, vnc, remote desktop ou um simples browser, que manter mltiplas instalaes em mquinas individuais. E faz mais sentido a todos os nveis, incluindo custos de operao e manuteno. O mesmo se aplica aos disparates (sim, eu considero um disparate aberrante) como servidores de calendrios, e-mail e gesto de contactos proprietrios e incompatveis com toda e qualquer plataforma excepto a do fabricante. Muito bonito para quem tem a nostalgia pelos anos 90, mas uma aberrao em 2012. Uma aberrao cara, complexa de manter, insegura por natureza e pouco exvel. So monos. Opes que
http://pls.mrnet.pt Segurana e Internet, Pgina 76

podiam parecer boas no sculo passado, mas o mundo avana implacavelmente em outro sentido e o Darwinismo na informtica implacvel. Comparar os servios do Google e Microsoft (na cloud) com servidores de Outlook como comparar os Zepplin com avies modernos. O mundo mudou. Os servios do Microsoft/Google na web funcionam to bem em Linux como em Windows ou Mac. A diferena so os custos de operao, manuteno e segurana, entre plataformas. No o que estas podem oferecer, que grosso modo a mesma coisa, mas quanto custam para oferecer servios equivalentes. Altura em que recordo que uma plataforma Windows implica tambm a manuteno de anti-virus, antimalware, e o tretas ans, que so dispensveis, s servem para retirar ao nosso computador espao em disco, memria e CPU, que seria melhor empregues a fazer o que queremos que ele faa quando o usamos. J para no falar que alguma dessa palha absurda custa dinheiro tambm.

Instalar o Linux Caixa Mgica O processo semelhante ao de instalao do Windows ou Mac OS X. Escolhemos em que lngua queremos os sistema (ao contrrio do Windows, que vendido sem suporte multilngue), a nossa localizao, qual o teclado que temos, o nosso utilizador e respectivo avatar ou fotograa to simples ou complicado como qualquer outro sistema, as decises e perguntas so basicamente as mesmas.

http://pls.mrnet.pt

Segurana e Internet, Pgina 77

http://pls.mrnet.pt

Segurana e Internet, Pgina 78

Os requisitos para correr o Linux Caixa Mgica so relativamente baixos (Pentium II a 350Mhz, 256Mb de RAM, 4Gb de disco). Seguramente mais baixos que os necessrios para correr verses modernas do MAC OS X ou Windows. Mas quanto melhor for a vossa mquina mais agradvel de usar o sistema.

http://pls.mrnet.pt

Segurana e Internet, Pgina 79

A ideia de que os Linuxes so para as mquinas velhas deriva do facto de at funcionarem de forma agradvel nesses sistemas. Mas no h aqui milagres ou voodoo, os programas que se utilizam so para todos os efeitos os mesmos (ou equivalentes) que nos restantes sistemas operativos (processadores de texto, folhas de calculo, browsers, clientes de e-mail). Mesmo descontando o que se ganha em no estar a correr os anti-qualquer-coisa-que-no-windows--umproblema, o resto ser equivalente em termos de desempenho. Ningum espere que por estar a correr Linux o Firefox seja muito mais rpido que no Windows ou Mac, que isso no faz sentido nenhum. Notei dois problemas menores durante a instalao: - Resolvi editar o nome do computador, em em vez do V de certo o sistema insistia que o nome j existia (e mostrava antes o simbolo de erro ao lado da caixa de edio). Mudando o focus para qualquer outro campo fazia aparecer o V. - No consegui tirar a minha fotograa para associar ao login, aparecia um quadrado verde, se bem que a cmera do meu porttil foi claramente detectada (como se percebe pela imagem exposta neste artigo). Nada de especial, mas preferia obviamente no ter tropeado em nenhum dos dois. No conheo a metodologia de testes antes do lanamento de cada verso, mas pareceram-me problemas que at deveriam ser relativamente simples de detectar. O da fotograa at pode estar relacionado com o meu hardware especico, mas a validao visual do nome da mquina deve ser universal. Se calhar poucas pessoas se preocupam com os nomes das mquinas e os alteram durante a instalao e escapou aos testes de qualidade Todo o processo de instalao grco, agradvel e to rpido quando o vosso computador permitir. Conta para um melhor desempenho na instalao primordialmente a velocidade do leitor de CD ou DVD, e em
http://pls.mrnet.pt Segurana e Internet, Pgina 80

menor escala a velocidade de escrita do disco rgido de computador, CPU e memria disponveis. No meu caso demorou cerca de 15 minutos a instalao.

Utilizao no dia a dia Eu sou um utilizador de Mac OS X, que a par do Windows, so sistemas comerciais extremamente polidos. A produo cuidada at ao mais pequeno detalhe, e menos no se esperaria de software comercial (e relativamente caro). Linux Caixa Mgica no ca atrs. E na instalao de base temos muito software bem escolhido e totalmente funcional, algum dele no existe nas distribuies dos sistemas operativos comerciais (tendo que ser instalado no Mac ou Windows). Ao contrrio do Mac e do Windows h tambm uma apreciada ausncia de lixo; demos que no servem para nada e aplicaes completamente inteis. Vamos ento ao bsico para se ter uma ideia geral do que podemos encontrar assim que termina a instalao:

Suporte a redes sociais (incluindo Facebook e Twitter). Algo que confesso no estava procura ou espera de encontrar (eu utilizo as redes sociais no browser).
http://pls.mrnet.pt Segurana e Internet, Pgina 81

uma agradvel surpresa ver que para quem vive estas coisas de forma diferente h bom suporte extra no Linux Caixa Mgica. Estava to habituado a olhar para o Linux como plataforma de servidores que no tinha nenhuma expectativa de ver este suporte para uso em mquinas de Desktop. Com o sistema instalado o LibreOfce (que equivalente em termos de funcionalidade ao Ofce da Microsoft). Ao contrrio das plataformas comerciais (Mac OS X e Windows) est pronto a funcionar desde primeiro arranque do sistema. Para ter uma ideia de como funciona pode instalar o mesmo no Windows/Mac: http:// www.libreofce.org/ O sistema no pretende ser igual ao Ofce da Microsoft. parecido, e igualmente capaz, em termos de funcionalidade. S que custa 0 euros, e quando compra o Ofce da Microsoft est a enviar centenas de Euros para fora de Portugal. Tudo porque muita or de estufa prefere estar endividada at s orelhas e ter o pas (e empresas) arruinadas a adaptar-se. Desculpem a franqueza mas no consigo ser simptico relativamente a prima-donas, muito menos relativamente aos seus patres e cheas. Na Mr.Net foi usado o OpenOfce durante anos. Nunca nos impediu de fazer propostas, apresentaes e relatrios. Pouparam-se milhares de
http://pls.mrnet.pt Segurana e Internet, Pgina 82

euros em licenas, que revertem para investimento em pessoas e no nosso futuro.

Integrado no sistema est um repositrio de aplicaes adicionais para download e instalao, bem como um sistema de gesto de actualizaes automticas, que alerta o utilizador e permite manter o sistema sempre actualizado. Puxei um gestor de passwords (Gorilla) que foi das poucas componentes que considero essenciais que no estava includa na instalao de base. A oferta no particularmente rica, mas perfeitamente adequada maior parte das necessidades de um computador para uso prossional. No foi esquecido o suporte a gestores de multimdia integrados no sistema. Bem como players para todos os formatos comuns. At suporte

http://pls.mrnet.pt

Segurana e Internet, Pgina 83

a Torrents com o Transmission est disponvel na instalao de base do sistema. Mais uma vez confesso que no estava espera.

Mas vamos ao que so as minha ferramentas preferidas: Firefox, Skype, Mozzila Thunderbird. Todos disponveis na instalao de base do sistema e prontos a usar (estes trs e um bom terminal, que est igualmente disponvel, so as minha principais aplicaes em Mac OS X).

http://pls.mrnet.pt

Segurana e Internet, Pgina 84

O Firefox vem com suporte a Flash e Java pr-instalado e 100% funcional. semelhana do Windows e Mac OS X esto disponveis alguns joguinhos clssicos na instalao de base. Sudoku, jogos de cartas, e at um clone do Puzzle Bubble... Entre os extras que podemos puxar esto mltiplas ferramentas de desenvolvimento nas mais diversas linguagens de programao, pelo que tenho tudo o que preciso para um computador de qualquer quadro da empresa. Dicilmente o mesmo deixa de ser verdade para a esmagadora maioria dos posto de trabalho em Portugal.
http://pls.mrnet.pt Segurana e Internet, Pgina 85

Qual exactamente a lgica de se pagarem milhes Apple e Microsoft? Para a maioria dos casos no h nenhuma lgica. Nenhuma boa desculpa para a maioria dos computadores em Portugal, em empresas Portuguesas, no correr o Linux Caixa Mgica. H casos em que se justicam outras opes mas no so seguramente a maioria. O que h muita gente estpida, que no percebe o potencial do que lhe passa frente do nariz, com averso a mudanas, mesmo quando essas mudanas signicam ter melhores salrios, tornar as empresas mais competitivas e capazes de empregar mais gente. Faa as contas. O custo de software de um parque informtico signicativo. A Mr.Net e vrias outras empresas nacionais, incluindo a prpria Caixa Mgica, do suporte e apoio aos processos de migrao. Tenham juzo e parem de mandar dinheiro para os estados unidos. Rezam os mitos urbanos que mudar da Microsoft ou Apple para tecnologias livres e gratuitas proibitivo, porque o custo de gesto da mudana e apoio aos utilizadores enorme (aquilo a que pomposamente chamam o cost of ownership) completamente estpido e desprovido de lgica. Todas estas ferramentas (Firefox, Thunderbird, Skype, libreOfce, etc) podem ser usadas em Windows/Mac (e algumas j o so em muitas empresas). A diferena que a gerir as janelas est um sistema operativo sem vrus, malware, e ans. Mais eciente, mais simples de administrar e mais robusto. Est na hora de planear a mudana e acabar com as parvoces da informtica em que tudo est preso por arames. Computadores com browsers desactualizados (a quantidade de IE 6, 7 e 8 em empresas assustadora, mais de metade do planeta est a usar browsers com mais de duas verses de atraso relativamente ao que a prpria Microsoft lanou), sistemas operativos inseguros e programas de e-mail arcaicos (como o Outlook).
http://pls.mrnet.pt Segurana e Internet, Pgina 86

A ignorncia de prossionais da informtica, e as ms escolhas que zeram no passado, algo que se anula, com formao e educao. Se insistirem em andar a caar bruxas e mandar dinheiro pela janela (pun intended) sugiro s organizaes que troquem de prossionais. tem que haver limites para a incompetncia. H vrios putos novos mais baratos, com mentes abertas e capacidade de aprender coisas novas a sair das nossas faculdades. E em tempo de crise so mais baratos.

A minha recomendao estratgica O Linux Caixa Mgica no pode deixar de ser a minha recomendao de sistema operativo para o Desktop da maior parte das empresas nacionais. Porque tem suporte prossional e documentao em Portugus, prestada por tcnicos Portugueses, porque mantido por uma empresa nacional, e porque tem a qualidade necessria para justicar a minha recomendao pessoal. Eu no gosto particularmente de Linux pessoalmente, por vrios motivos, nenhum deles relacionado com a capacidade do sistema de desempenhar as tarefas para as quais eu o proponho. O que eu no gosto est relacionado com a documentao dos sistemas, procedimentos de administrao e actualizao, em que prero outros sistemas Unix (como os *BSD). Quando me ouvem dizer que no gosto particularmente de Linux, estou a referir-me a aspectos tcnicos que so invisveis e irrelevantes para a maior parte dos utilizadores e administradores de sistemas. O Linux Caixa Mgica uma delicia. Em vrios aspectos roa a excelncia. No o recomendo por representar uma alternativa mais barata s ofertas comerciais da Microsoft e Apple, recomendo sim por ser uma alternativa melhor s ditas ofertas. Melhor por ser mais seguro, melhor por ter uma melhor seleco de software na instalao
http://pls.mrnet.pt Segurana e Internet, Pgina 87

de base, melhor por essa instalao de base poder adequada medida de cada empresa (por ser open source e por haver em Portugal bons tcnicos capazes de o fazer para si). Durante anos o Linux (e outros sistemas Unix) passou ao lado do sucesso no Desktop. Porque a Microsoft e Apple tudo zeram (e fazem) para o desacreditar (uns de forma mais subtil que outros), protegendo os seus interesses e agenda. Isso no impediu que o Linux esteja por trs da esmagadora maioria dos sites que visita, dos motores de pesquisa que utiliza, nos telefones mais populares, nos routers que o ligam Internet e lhe proporcionas redes wireless em casa e no escritrio. A melhor tecnologia no entanto muito difcil de travar, em particular quando cai nas mos de tcnicos competentes, e hoje em dia os sistemas Unix esto por trs do Mac OS X, iPhones, iPads, Androids, Google, Skype. uma guerra impossvel de ganhar a mdio e longo prazo, por muito dinheiro que se gaste em lobbies, por muito esforo que se faa de evangelizao de professores universitrios, CTOs de empresas e polticos. por isso que assistimos Microsoft a

http://pls.mrnet.pt

Segurana e Internet, Pgina 88

usar Linux para expandir a sua rede de Skype, Apple a usar Unix nos seus sistemas operativos (em computadores e telefones). No se trata de poupar dinheiro, mas sim de melhorar substancialmente os sistemas informticos de que depende, aumentar drasticamente a segurana e abilidade dos mesmos, poder ter os mesmos sempre actualizados com o que de melhor a tecnologia lhe pode oferecer, e poder usufruir desse curioso efeito colateral de custar menos dinheiro. A informtica sofre ainda os efeitos de ser uma industria nova, pouco regulamentada, em que os conceitos de garantia aplicveis, e responsabilidade dos fabricantes, esto por passar para legislao. em tudo semelhante ao que se passou com quase todas as novas industrias. Este perodo, que me parece estar a chegar ao m, permitiu construir fortunas imensas, vendendo produtos sem qualidade a um publico desprotegido e ignorante. No leve a peito a expresso ignorante, isso cura-se, todos o somos em quase todas as reas do conhecimento. Mas j lidamos com computadores diariamente h uns anos. No estar na altura de ligar o crebro e exercer algum espirito critico relativamente s nossas escolhas e resultados que produziram ao longo dos anos? Durante quanto tempo vai usar um anti-algo-que--umdefeito-de-fabrico no seu sistema operativo? Durante quanto tempo vai comprar software sem exigir garantias e responsabilidade? Durante quanto tempo vai conviver com a mediocridade? Ainda no bvio para si que tem que haver limites para a quantidade de disparates que as pessoas a quem compra software podem fazer sua custa? A minha empresa h anos que se d ao cliente garantia sobre defeitos de fabrico do software que se produz. chato durante anos ter a obrigao que resolver os disparates que fazemos e corrigir produtos defeituosos? . Assim mais difcil ganhar dinheiro, mas olhamos as pessoas olhos nos olhos e temos brio prossional e orgulho no que fazemos.

http://pls.mrnet.pt

Segurana e Internet, Pgina 89

As coisas de que no gosto particularmente... O Gnome 3 (gestor de janelas) estranho mas entranha-se (um bocadinho como a coca-cola) e particularmente bonito e funcional. Questiono-me se a opo por diferentes ambientes de janelas faz sentido (kde, gnome, etc). Focar esforo em um dos ambientes grcos, sem complexos, parece-me melhor opo. Haver diferentes ISOs para cada ambiente grco tambm me parece ser uma opo popular entre distribuies de linux mas infeliz. Pessoalmente (e prossionalmente) preferia uma orientao diferente para o caixa mgica: uma distribuio com menos aplicaes (esto l todas as que quero: Firefox, Thunderbird, etc), mas h muitas mais que dispensaria. Preferia que fosse usado o excelente sistema de instalao de software adicional para quase tudo o que no propriamente uma componente do sistema operativo. Tenho a noo que a Microsoft e Apple habituaram os utilizadores a que esteja sempre instalado por defeito um browser, programa de email, calculadoras, uns quantos jogos, programas de multimdia, etc, etc, etc. Percebo por isso a opo de usar as mesmas armas para cativar coraes de potenciais utilizadores. No entanto no , no meu entender, a abordagem mais correcta. Por ser um sistema aberto (open source) e de distribuio livre, podemos criar uma distribuio to limitada e simples como o Google Chrome OS, ou to cheio de tralha como o Windows ou Mac OS X. O que gostaria era de ver o Linux Caixa Mgica tornar estas escolhas mais simples de executar na prtica (i.e. a partir das imagens que distribuem no site). Entendo as opes tomadas, mas questiono-me se esto sucientemente focadas no que me parece ser o mercado prossional... porque me parecem feitas medida de um mercado que tradicionalmente usa pouco o Linux: utilizadores domsticos. na minha opinio um erro.
http://pls.mrnet.pt Segurana e Internet, Pgina 90

Você também pode gostar