Você está na página 1de 90

Segurança e Internet

Porque coisas más acontecem

Segurança e Internet Porque coisas más acontecem Paulo Laureano v1.07 http://pls.mrnet.pt Segurança e Internet,

Paulo Laureano

v1.07

Introdução

5

Sobre mim

5

A origem dos textos

5

A quem se destinam os textos

6

Copyright e distribuição

6

História de uma industria

7

Os melhores vilões de sempre, e o fascínio que provocam

8

“Os sete magnificos” - Precisamos de heróis à altura

10

Componentes dos sistemas operativos (“kernel” e “userland”) 11

“all the junk and bloat on top”

13

Simplicidade, funcionalidade e segurança andam de mão dada…

 

14

Migração e escolha de outros sistemas alternativos

15

Danos colaterais

17

Passwords

19

Fragilidades de passwords e dos seus titulares

19

Utilizar más passwords é muito perigoso!

20

Boas passwords e a nossa “master password”

21

Os sistemas operativos guardam as nossas passwords

21

Limitações dos sistemas operativos e gestores de passwords

22

Gestores e sincronizadores de passwords

23

Geradores de passwords alternativos

26

Sistemas alternativos e complementares

28

Facebook

Configuração segura

30

30

Nunca entregue ao Facebook passwords de outros serviços!

31

Cookies e tracking

Quem quer bolinhos?

E-mail

33

33

34

Escolher bom um programa de mail

34

Configure o acessos ao e-mail (envio e recepção) com SSL

35

Assine o mail, garanta a sua integridade e privacidade.

39

Assine digitalmente o seu e-mail

42

Encripte o seu e-mail

43

E

se o seu servidor de e-mail não suportar SSL?

46

O

que se deve esperar do servidor de e-mail de uma empresa?

47

DNS

49

O

que é o DNS?

50

Porque é que o DNS é importante para a nossa segurança?

51

Que DNS se deve utilizar?

52

Google DNS

52

OpenDNS

53

Comodo Secure DNS

55

Norton ConnectSafe

55

Alterar o servidor de DNS no router

55

WiFi (a sua rede wireless)

57

Configuração

57

Clientes do MEO precisam de cuidados adicionais!

57

Não tem a password para o seu router?

58

Rootkits

60

O

que é um rootkit?

60

O

que é que um hacker pode ver e fazer?

60

Lembrem-se que telefones também são computadores

62

Fogo, carros e facas de cozinha

62

Anti-vírus

64

Anti-vírus e o mercado de Mac OS X

64

De volta ao básico (virus 101)

65

Cavalos de troia, rootkits e outro malware.

69

Impacto de ter aplicações estranhas no sistema

70

Soluções reais em vez de doces ilusões

71

Para quem tem Windows (particulares)

73

Para quem tem Macs (particulares)

74

Linux Caixa Mágica

76

Instalar o Linux Caixa Mágica

77

Utilização no dia a dia

81

A

minha recomendação estratégica

87

As coisas de que não gosto particularmente

90

Introdução

Sobre mim

Quem sou eu? O meu nome é Paulo Laureano Santos. Sou casado com uma mulher maravilhosa (Marlene) e tinha um cão (chamado Dogo,

2004-2012). Agora somos temporariamente só dois cá em casa. A vida é feita destas coisas. Há

que aguentar, olhar em frente, e continuar

alguns a vida continua, resta recordar com saudade os nossos companheiros desaparecidos.

Este projecto é dedicado à memória do meu doguinho.

para

Este projecto é dedicado à memória do meu doguinho. para Gosto de motas e gadgets. São

Gosto de motas e gadgets. São pequenos momentos de prazer que tenho todos os dias, desfrutar de iPhones, iPads, AppleTV's, Mac's e da minha K1300S. Adoro administrar sistemas e programar computadores. Gosto menos de liderar equipas e gerir empresas.

Mas como me lembrei, há uns anos atrás, de formar uma empresa (chamada Mr.Net) com uns amigos, agora é um bocado "aguenta, não chora", porque nem a empresa se gere sozinha, nem a dúzia de pessoas que trabalha comigo pode chegar a "bom porto" sem "alguém ao leme".

A origem dos textos

Os textos aqui publicados em formato de livro são provenientes da minha página pessoal na Internet (ou do meu “blog” se preferirem). A página foi criada em 1996, e é actualizada quando me apetece escrever sobre algum assunto.

Para este projecto os textos são parcialmente actualizados, complementados com imagens e, em alguns, casos são escritos novamente. É reduzida sempre que possível a dependência de hyperlinks, de forma a serem mais legíveis quando não tiver acesso à Internet.

Em alguns casos pontuais, em particular na versão “e-Book” da página, são acrescentados videos e animações, que na versão simplificada de e- book (kindle/PDF) não estão disponíveis por limitações do formato.

A quem se destinam os textos

Tudo o que aqui encontram é escrito para ajudar pessoas com poucos conhecimentos de informática a conhecer e ultrapassar problemas de segurança comuns. Estes textos não são escritos a pensar em profissionais.

Mesmo fazendo eu um esforço para simplificar, tanto quanto possível, os problemas apresentados, estou certo que muitos potenciais leitores terão dificuldade em os perceber. A minha sugestão é que façam um esforço, pesquisem na Internet pelos termos e conceitos que não entendem, e tentem aplicar as soluções apenas depois de entender cada problema.

Nos casos em que não conseguir aplicar uma solução sozinho, sugiro que examine com atenção o problema e decida, em função dos riscos, se deve procurar ajuda alguém com mais conhecimentos de informática.

Copyright e distribuição

© 2012 - Todos os direitos são reservados. É expressamente proibida a distribuição destes textos.

História de uma industria

A informática é uma jovem industria milionária. Profundamente

desequilibrada entre a protecção dos consumidores e de fabricantes. Este texto é uma necessária introdução à história da informática e ao mundo em que vivemos. Leiam, vejam os filmes (duas horas) e documentários (três horas), liguem o cérebro e respirem fundo… seguem-se mais dois textos na serie “Informática 101” com a minha abordagem aos problemas e respectivas soluções.

É uma industria que está em grande parte por regulamentar, é durante

os primeiros anos a “lei da selva” como todas as novas industrias, em que os fabricantes de software (i.e. programas informáticos) declinam toda a responsabilidade por qualquer erro funcional ou de segurança. Não há qualquer tipo de garantia para o utilizador, nem que o programa faz sequer que é “descrito na embalagem”, corresponde às características anunciadas ou é de facto seguro/estável.

Por ser uma industria “milionária” tem a capacidade de comprar e influenciar políticos, pelo que “copiar ilegalmente software” é na maior parte dos países um crime punível com pena de prisão. O objectivo da industria (normal e expectável) é fazer tanto dinheiro quanto possível.

Quando uma industria (pensem por exemplo na industria automóvel ou farmacêutica) é regulamentada e forçada a “garantir” níveis de desempenho e segurança isso implica informar de forma mais rigorosa

o consumidor, responder judicialmente por erros, mentiras e omissões.

Custa dinheiro. Na informática estamos longe de isso acontecer. É claro

que se a indústria da informática pode escapar ao escrutínio de testes de qualidade e segurança, obrigatórios e a sério, ao contrário das

industrias farmacêutica ou automóvel que para colocarem produtos no mercado precisam de os testar, e passar pelo escrutínio de vários testes

e entidades reguladoras… obviamente que declina essa

responsabilidade e faz antes “mais dinheiro”

ficam os testes para “os

clientes”, e até podem vender as soluções para os problemas encontrados mais tarde.

Por ser assim é que temos versões “beta” (i.e. que é suposto significar que está por ser testar antes de ser lançada a versão “final”), com mais ou menos erros e defeitos, vendidas no mercado de forma impune. A Apple até se dá ao luxo de indicar a real “maturidade” e “falta de testes” de alguns produtos e tecnologias: o “Siri” do “iPhone 4S” (que é o principal argumento de venda e estrela dos anúncios!) que estará em “beta” provavelmente até o telefone ser substituído pela versão seguinte (iPhone 5?)… Na Apple até já se transformou em tradição; “iWork.com” (“beta” até ser descontinuado!), “Face Time” para o Mac, etc. Os fabricantes fazem isto porque podem. Se a industria farmacêutica tivesse a mesma liberdade também teríamos muitos (mais) medicamente “em beta”, os carros matariam muito mais do que matam, etc.

Os fabricantes de hardware não tiveram a mesma sorte… e há garantias a prestar aos consumidores. Mas mas no software “vale tudo”. É a lei do ouro (quem tem o ouro faz as leis). Cabe às empresas e particulares depois de entenderem o contexto histórico agirem em função disso. É por isso necessário agir de forma inteligente e exercer cautela.

Os melhores vilões de sempre, e o fascínio que provocam

Não é linear para a maior parte das pessoas perceber todas as perversões do mundo em que vivem, em particular no que respeita à informática. A IBM, Microsoft, Apple e Google, são empresas formidáveis. Empregam pessoas absolutamente geniais e verdadeiros fora de série. Não são é propriamente “anjinhos”, nem todos os quadros são “programadores” e há brilhantes “evangelistas”, comerciais e estrategas com uma agenda óbvia (e legitima!) que todos entendem:

maximizar lucros! Se o mercado não é regulamentado, se podem proteger os seus interesses e conseguir legislação que lhes é favorável, e podem assim obter mais lucros, tanto melhor, e é isso que fazem. É

aproveitar ao máximo o momento. E se aproveitam… Usam a sua força, jogam o seu jogo, e ainda conseguem escrever as regras do mesmo a seu favor. Excelente contexto histórico para construir as maiores fortunas do planeta. Não os levem a mal, a industria automóvel, de exploração de combustíveis fosseis e farmacêuticas fizeram o mesmo.

Os vencedores escrevem a história, e quando falamos em história recente, tudo acontece a uma velocidade que torna mais complicado criar um distanciamento que permita observar os factos. Estas mega- empresas são no contexto deste texto os “maus da fita”…

Serem os “maus da fita”, não impede o mundo de os ver com um fascínio quase hipnótico. Aqui os lideres de cada “gang” são extraordinários. Vencedores natos. Lutam entre si furiosamente. Há um seguimento quase religioso pelas várias empresas. O publico que exploram (e se exploram!) não só compra o software como ainda “veste a camisola”. Aplaude cada lançamento, vibra com os resultados das vendas, defende publicamente com alma e coração a sua “religião informática”.

A Microsoft custa milhões a estados, empresas e particulares, vendendo os mesmos produtos reciclados vezes sem conta.

Durante anos colocou a sua estratégia no terreno com “requintes de malvadez” absolutamente fantásticos, dignos dos piores vilões de qualquer série. Incompatibilidade entre formatos proprietários, tecnologias e protocolos que tornavam impraticável utilizar produtos concorrentes, etc. Minou (e mina) universidades e currículos escolares, com as suas tecnologias, em paralelo distribui certificados de “Microsoft certified Engineer”. Não fosse a Internet a minorar estragos (revelando problemas graves de segurança e alternativas) e hoje o estaríamos todos a falar “Microsoftês” e perfeitamente assimilados.

Os produtos da Microsoft serem em tantos casos medíocres, inseguros, pouco fiáveis e perfeitamente substituíveis com vantagens óbvias por alternativas (livres e pagas) não impediu o estrondoso sucesso da empresa. Muito desse sucesso alicerçado numa fantástica máquina comercial, a suprema inteligência e sentido estratégico com que lidaram com a IBM e Apple (no primeiro reinado do rei Steve Jobs e nos anos em que esteve ausente).

O melhor para perceberem a história é verem o filme:

- “Pirates of Silicon Valley” (link para filme completo no Youtube!).

Ou, se preferirem, podem ver narrado pelos protagonistas em formato

documentário:

- “Triumph of the Nerds” (partes 1, 2 e 3 no Youtube!)

O Google que é o actual “menino bonito da industria” faz-se passar por

campeão do bem na luta contra patentes e software livre e aberto, no entanto é um negócio construído com base em patentes, o motor de pesquisa é um segredo bem guardado (e longe de ser software aberto ou livre), idem para o código do gmail, adwords, adsense, etc. A forma como descaradamente copia projectos concorrentes, e usa o musculo proporcionado pelo poder do seu motor de pesquisa para os “promover”

e “integrar” (aquela “barrinha de topo” que integra tudo) é tudo menos

inocente ou resultado de ingenuidade. A forma como literalmente se apropriou do Java (RIP!) e Linux para fazer o Android é absolutamente fascinante.

“Os sete magnificos” - Precisamos de heróis à altura

Em 1960 o filme “Os sete magnificos” (baseado no fabuloso “Sete samurais”) mostrou ao mundo a história de uma aldeia aterrorizada por bandidos, que contratou sete pistoleiros para lutar por eles. Estes

sete “heróis” são na realidade anti-heróis, com diferentes origens e histórias, que o destino e circunstâncias uniu para salvar a aldeia.

Os “magníficos” no “mundo real” são programadores e administradores de sistemas que nos ajudam e lidar com os vários “gangs” de “mauzões” já apresentados. É possível conviver com a informática de forma inteligente, beneficiando do que de melhor existe, aplicando racionalidade e bom senso. Ao contrário dos filmes, aqui os vilões são também fornecedores de excelentes tecnologias, que podem e devem ser usadas. Cada empresa precisa dos seus “heróis magníficos”, que defendam os seus interesses pelo menos tão bem como os nossos “simpáticos vilões” defendem os deles, e é aqui que “a porca torce o rabo”…

Há infelizmente muito poucas pessoas inteligentes, com conhecimento de informática, imparcialidade e racionalidade, para ajudarem estados, empresas e particulares. Não chegam para todos as que existem. Sorte de quem tem a lucidez de os contratar. Porque é uma corrida contra o tempo. A maior parte dos técnicos capazes são recrutados pelas empresas de informática. Quanto mais não seja para jogarem na equipas deles, de acordo com as respectivas agendas. Mas há excepções. E encontrarem essas excepções é uma revelação, e um tremendo negócio, para quem o faz.

Tal como no filme “Os sete magníficos” os pistoleiros que não tenham sido recrutados pelos “gangs” são a melhor abordagem disponível para lidar com o mundo em que vivemos. E até os conhecem ou ouviram falar deles! São os “hackers”, os não alinhados, os anti-heróis. Não faço o culto destes personagens (com que me identifico) mas sim a descrição do que podem fazer por si… pensando, criticando, não alinhando com o “status quo”

Componentes dos sistemas operativos (“kernel” e “userland”)

Quando se fala em Windows, Mac OS X, Linux, *BSD, iOS, Android, Symbian e afins, estamos a falar de “sistemas operativos”. Antes de mais nada é preciso perceber o que são e quais os principais componentes.

O componente mais importante de um sistema operativo é o kernel. O

kernel é para todos os efeitos o “segundo” programa que é executado quando arranca o computador (primeiro é a BIOS/EFI), e é responsável por (entre outras coisas, como disponibilizar acesso ao hardware; memória, discos, pens usb, video, etc) gerir todos os restantes programas que forem executados, respectivas prioridades e memória que podem utilizar.

A acompanhar o “kernel” são distribuídos com os sistemas operativos

uma série de programas auxiliares a que se chama normalmente “userland” (ou “user space”) que são concebidos para “controlar” e

“aceder” a funcionalidade disponibilizada pelo “kernel”, bem como permitir ao utilizador lançar/eliminar outros programas e gerir ficheiros em disco.

Em sistemas operativos com interfaces gráficos estes são normalmente

carregados para memória e executados durante o processo de arranque

e consistem normalmente em programas da “userland”. Na prática são

a versão “gráfica” do velhinho “dir/ls/makedir/etc”, em que o utilizador

com o mouse (ou com toques no caso dos interface de “touch) navega entre directorias, e lista ficheiros de dados, ou executa programas.

Pouco mudou ao longo dos últimos 40 anos relativamente à forma como estas estruturas se relacionam.

Infelizmente os fabricantes de sistemas operativos tornaram-se progressivamente mais gananciosos, porque podiam, porque eram eles

que decidiam o que era distribuído “por defeito” em cada computador…

e começaram a misturar com a “userland” uma série de aplicações que

deveriam ser distribuídas “à parte” (fossem criadas pela mesmo empresa ou por empresas diferentes). Editores de texto, bases de dados,

folhas de calculo, programas de multimédia, jogos, programas de mail, browsers e tudo resto (e mais um par de botas)…

“all the junk and bloat on top”

A ideia é simples: se uma empresa que distribui o sistema operativo for incluindo “coisas” em cima do sistema de base, os utilizadores tendem a usar “essas coisas”, por oposição a tecnologias de terceiros. E estaria tudo bem se o software fosse como o vinho do Porto e melhorasse com os anos. Não melhor, pelo contrário tende a ficar “avinagrado”muito depressa. Muitos dos utilizadores não sabem sequer como alterar o programa por defeito para o “e-mail”, ou “navegar na Internet”.

Quando a Microsoft que estava “atrasada para a festa” que era a Internet abriu os olhos, rapidamente percebeu a importância estratégica do espaço ocupado por outras empresas (como a Netscape que disponibilizava um programa de e-mail e browser), e para “ganhar o espaço” nessa “nova moda” que era a world wide web e o e-mail recorreu ao truque de criar o seu próprio browser (IE) e cliente de e- mail (Outlook) e integrar os mesmos no sistema operativo. A ideia foi desde o inicio usar a popularidade do Windows para ganhar notoriedade e posição (ocupar o espaço) nesse estranho mundo online. A Apple seguiu os mesmos passos distribuindo o Internet Explorer como o “browser” por defeito nos Mac’s (e mais tarde criando o Safari e Apple Mail).

Quando um utilizador instala browsers (Chrome, Firefox, Opera e afins) ou programas de e-mail (Mozilla Thunderbird) alternativos (e melhores!) obtém o mesmo tipo de funcionalidade, em arquivos que pode instalar e desinstalar na totalidade. Acontece que os fabricantes de sistemas operativos tendem a esquecer-se de permitir ao utilizador remover com o mesmo tipo de facilidade os componentes que distribuíram… tendem a tornar os mesmos “embebidos” no sistema operativo, dificultando ou impossibilitando a sua remoção.

O espaço em disco é um problema menor, acontece que o software não

envelhece com graciosidade, e estes programas tendem a ficar desactualizados, em particular quando o fabricante do sistema operativo resolve que uma dada versão deixa de ser suportada. Por exemplo utilizadores com o Windows 95/98/ME/2000/XP (ou com o Mac OS X em versões mais antigas - é a mesma coisa), tendem a ter estas peças de museu instaladas, cheias de bugs, problemas graves de segurança, que são permanentemente explorados por malware/vírus.

No mundo do Windows o problema é ainda agravado pelos fabricantes de hardware, que junto com o Windows tendem a instalar “demos” e “programas patrocinados”, “programas que ao expirar procuram levar

o utilizador a comprar algo”, etc, na esmagadora maioria dos casos pura palha electrónica, que alguém lhes pagou para meter no computador. Esses programas todos representam espaço em disco desperdiçado, provavelmente CPU e memória (dado que alguns “arrancam por defeito” com o Windows, e em alguns casos problemas de segurança. A Microsoft que sempre observou passivamente o fenómeno, agora inclusive presta

computador… só é pena que não remova a sua própria “tralha” (como o

IE, Outlook, Media player e afins) responsável por tantos problemas graves de segurança.

A Apple tende a ser parecida com a Microsoft. Segue a mesma lógica de

ocupação de “espaços estratégicos”. A diferença é apenas na qualidade

do lixo “extra” que vem com o sistema operativo (o lixo da Apple tende

a ser de melhor qualidade o da Microsoft). Em ambos os casos os

sistemas são distribuídos misturados com várias aplicações que claramente são “marcações de território”.

Simplicidade, funcionalidade e segurança andam de mão dada…

Quanto mais simples for o sistema operativo mais simples é de o tornar seguro. Deve ser adequado à função particular de um computador (seja

pessoal ou profissional). Os problemas mencionados do Windows e Mac OS X transformam ambos os sistemas “particularmente inadequados” para a maior parte das funções. É um paradoxo cheio de piada porque é precisamente o que a maior parte dos administradores de sistemas tem no seu parque informático.

A Microsoft vende o windows em “pacotes” especializados faz isso de

forma cumulativa: as versões “home” levam com a tralha destinada aos

utilizadores domésticos, à qual acresce mais tralha nas versões “supostamente profissionais”, a que depois acresce mais tralha em versões “premium”. Fantástico. Depois propõem a actualização em cadeia de tudo isto em patches de segurança cumulativos de uma séria de coisas perfeitamente inúteis que estão instaladas por defeito.

É possível no Windows e OS X não instalar vários componentes (ou

desinstalar), mas exige um profundo conhecimento dos sistemas, e a maior parte dos “informáticos” não faz a mínima ideia de como isso se faz, nem sequer percebem a importância de os sistemas serem tão simples quanto possível. Foi criada uma geração de técnicos que sabe fazer “reboots e carregar em botões” sem perceber “muito mais” do assunto. Fizeram o culto da incompetência e facilítismo (instale a mais, que assim está lá tudo), ao mesmo tempo que cresceu a complexidade e quantidade de componentes instalado.

Um sistema operativo é potencialmente mais seguro, se tiver apenas os componentes necessários para a função que desempenha, não deve ter aplicações esquecidas e desactualizadas (e muito menos aplicações activas, que são impossíveis de actualizar!)… deve ser tão simples e pequeno quanto possível.

Migração e escolha de outros sistemas alternativos

O Linux (e BSD ou Google Chrome OS) são melhores opções, mais

simples de operar, mais baratas de suportar e incomparavelmente mais seguras, para muitos dos postos de trabalho que o Windows ou Mac OS

X. Tendem ainda a ser mais simples de personalizar “por empresa” e “posto de trabalho”, e o facto de não haver licenciamento de cópias permite uma replicação mais simples e ilimitada. É feita uma (ou mais) “instalação modelo”, faz-se a imagem do disco, e depois duplica-se para os vários computadores da empresa. A formação necessária para a maior parte dos administradores de sistemas é de “horas” e há excelentes manuais publicados.

Casos há em que o Windows e OS X são boas opções (ou melhores, ou mesmo obrigatórias), mas é necessário sempre emagrecer as distribuições, e evitar as aplicações “oferecidas” uniformizando o parque informático com alternativas disponíveis para todos os sistemas operativos. Por outras palavras: IE, Outlook, Safari, Apple Mail e afins, devem ser substituídos por aplicações “universais” disponíveis para todas as plataformas usadas no parque informático.

Não tem lógica nenhuma os administradores de sistemas gerirem e suportarem múltiplos browsers, programas de e-mail, de calendário, várias “suites de Office”, etc. É um convite ao erro, à actualização “por fazer”, ao problema de segurança que “passou ao lado”. Adicionalmente não faz sentido ter excessiva dependência de um fabricante particular.

Os processos de migração do sistema operativo são muito simples (mais complicadas são as migrações entre aplicações que as pessoas utilizam), e devem ser o ultimo passo de um processo. Primeiro implementam-se em Windows/Mac gradualmente as aplicações universais, só depois se deve mudar o sistema operativo. A migração do sistema operativo propriamente dito depende mais de condicionantes relacionadas com o hardware a suportar (computador e periféricos) que dos aspectos humanos (i.e. habituação a diferentes aplicações, que pode ser feita no ambiente de origem). O recurso à virtualização de sistemas (e acesso remoto) permite correr aplicações “exclusivas” de outros sistemas operativos em ambientes mais seguros, controlados e mais fáceis de manter seguros e actualizados.

Danos colaterais

Não se deve confundir o sistema operativo com as aplicações que as pessoas usam e deve ser evitada a promiscuidade entre ambos os componentes de um sistema informático. Essa promiscuidade resulta de uma tentativa de controlar mercados da parte dos fabricantes de sistemas operativos, mas não é uma boa ideia. Na prática os computadores com sistemas operativos mais antigos ficam “bloqueados” de se actualizarem para as ultimas versões das aplicações, o que causa problemas de segurança.

O

resultado é a diferença entre o “IE” (fragmentado pelas versões 6, 7, 8

e

9) e os utilizadores do Firefox e Chrome (que estão sempre nas

ultimas versões devidamente actualizadas, mesmo quando estão em versões mais antigas dos sistemas operativos). O mesmo se passa com os restantes componentes do sistema: clientes de mail, suporte a PDF, etc. São estes componentes desactualizados os mais explorados por vírus, worms e malware, para se instalarem. Este cenário é perigoso e disparatado. É uma armadilha sem solução, causada pelos fabricantes de sistemas operativos ,que importa evitar! Use SEMPRE software tão independente do sistema operativo quanto possível e mantenha o mesmo actualizado.

Adicionalmente, se o seu parque informático suporte múltiplas plataformas (Mac, Windows, Linux, etc), é importante escolher o mesmo software para todas. Essa escolha permite limitar custos/ esforço de suporte a utilizadores, dar mais atenção aos problemas e actualizações de cada software, etc.

Os sistemas operativos devem ser tão simples e fáceis de manter seguros e actualizados quanto possível. Eu recomendo a utilização de sistemas open source (linux, *BSD ou Chrome OS) por serem mais simples de personalizar à medida de cada posto de trabalho. A esmagadora maioria das aplicações que as pessoas precisam de utilizar

estão disponíveis em qualquer plataforma. As excepções devem ser encaradas com “naturalidade”, exactamente como “excepções” que são, recorrendo à utilização pontual de outros sistemas operativos e aplicações ou o recurso a virtualização.

A história desta industria levou a Apple e a Microsoft e montarem esta armadilha. A resposta dos profissionais de informática (e utilizadores mais conscientes) deve ser “banir a utilização de tudo o que esteja indevidamente a ser distribuído com os sistemas operativos”. É preciso fazer uma dieta rigorosa aos sistemas que utilizamos, simplificar os mesmos, e não aceitar este tipo de presentes envenenados.

Não devemos ser “danos colaterais” de uma guerra entre milionários gananciosos.

Passwords

As passwords são em muitos casos o único obstaculo a que estranhos acedam a computadores, redes WiFi, páginas na Internet e dados que queremos protegidos. No entanto a maior parte das pessoas não faz a mínima ideia como criar, guardar e gerir as suas passwords.

Escrevi sobre passwords e a resposta das pessoas que leram o texto no na minha página pessoal foi tremendo. Foram feitos inúmeras partilhas em redes sociais e recebi mais e-mail a propósito deste artigo que de qualquer outro.

Fragilidades de passwords e dos seus titulares

As passwords são uma sequencia de caracteres, que deve ser tão longa quanto possível e impossível de adivinhar. As passwords não são para ser "decoradas". Devem ser evitadas “palavras coladas”, e meter "alguns números” e uns pontos de exclamação ou virgulas (no inicio ou final) não melhora muito o cenário.

As passwords devem ser fortes, de preferência sem utilizar “palavras” de forma a resistir a ataques com base em dicionários. Os ataques de dicionário consistem em utilizar programas que testam passwords até acertarem. Esses programas tentam milhares de combinações por segundo.

Os dicionários (listas de palavras) disponíveis na Internet para qualquer hacker incluem “passwords comuns”, baseadas em palavras de uma determinada língua, bem como milhares que foram roubadas de sites, bem como a possibilidade de testar todas as sequencias possíveis de caracteres até descobrir a password.

As passwords são também atacáveis via dados recolhidos sobre os titulares (engenharia social) e não devem nunca ser construídas com base em matriculas de carros, datas com significado para a pessoa, nomes de animais de estimação, etc.

E claro, a forma mais simples de descobrir uma password é muitas

vezes “pedir” a mesma ao titular. E as pessoas dão as passwords, quando são enganadas, em sites “falseados” (ataques de Phishing), quando pensam que estão a conversar com uma pessoa em quem

confiam (troca de identidade), até ao telefone quando pensam que estão

a falar com o “serviço de suporte” do sistema que a password protege.

As passwords devem ser únicas e, se uma for encontrada por um hacker, não deve comprometer vários dos sistemas que utilizamos.

Utilizar más passwords é muito perigoso!

As passwords não devem ser memorizáveis por seres humanos, esse é o papel dos computadores, e todos os sistemas operativos populares (Windows, Mac e Linux) nos oferecem ferramentas disponíveis para esse efeito.

O sistema operativo é menos susceptível de confundir sites, porque o

endereço de Internet é semelhante, a imagem dos conteúdos “muito parecida”. Esses ataques (de Phishing e engenharia social) exploram falhas de seres humanos, de confusão visual, de emoções que levam pessoas ao ler um texto a ter uma resposta precipitada, entregando a sistemas informáticos falsificados as suas credenciais sem exercerem o devido escrutínio sobre se o site é o que parece ser.

Estas “vulnerabilidades” de seres humanos são muito exploradas na

Internet. Afectam precisamente as mesmas pessoas que guardam para

si o ónus de memorizar passwords, de as inventar, de criar más

estratégias, para lidar com um problema que está resolvido no sistema operativo que estão a utilizar.

Boas passwords e a nossa “master password”

Boas passwords do tipo "&E3)dD*ry8#4nj'm8Xj1)" tendem a ser complicadas de memorizar, complicadas de transmitir oralmente, e absolutamente desprovidas de algo que as ligue ao titular da conta ou serviço em que é utilizada.

Precisamos de um local seguro para as guardar, seja digitalmente (que é conveniente para fazermos “cut & paste” das mesmas) ou dentro de algum cofre físico (que não dá jeitinho nenhum).

Se optarmos pela opção digital, que é o que eu faço, devemos ter UMA password (a nossa "master password") que protege todas as outras. É a única password que conhecemos, não serve para nenhum serviço em particular, a não ser aceder às nossas outras passwords.

Esta “master password” temos mesmo que decorar, e devemos guardar

a mesmo “offline”, num cofre, para em caso de emergência ou de um

ataque de amnésia a podermos consultar. Em lado nenhum a

guardamos digitalmente. Paradoxalmente esta password é tipicamente

a mais "fraca" que usamos.

Os sistemas operativos guardam as nossas passwords

Os utilizadores de Mac OS X são servidos pelo "keychain". Memoriza todas as passwords e, quando estamos a "ligar-nos a uma rede wireless", usar "uma aplicação" ou um "visitamos um site", preenche os campos de login e password automaticamente.

Para aceder a qualquer password do “keychain” o utilizador só precisa de saber uma única password (a mesma que utiliza para aceder ao seu login). Todos os dados estão encriptados e protegidos. Se é esta a opção

que quer perseguir como solução deve configurar o seu computador para se auto-bloquear sempre que esteja sem ser usado mais que uns minutos (de forma a ser necessária a password de login para que fique funcional). No windows é basicamente a mesma coisa que acontece.

Alguns programas, em Mac OS X, Windows e Linux utilizam as suas próprias estruturas para guardar logins e passwords, como é por exemplo o caso do Firefox

Em ambos os casos as passwords estão "sem segurança" quando se faz login no computador e este está a ser usado, ficam protegidas pela operação de “logout” (o encerrar da sessão do utilizador e todos os seus processos) ou por estar bloqueado o acesso ao computador através de uma password do “screen blanker”.

As soluções do Windows e Mac OS X são frágeis, dado que a nossa “master password” é a password de “entrada” no sistema. Se entregamos o computador a alguém essa pessoa poderá fazer uso dessas facilidades. Se é esta a solução que quer adoptar deve ter cuidado especial ao partilhar o computador com outras pessoas. Cada pessoa deve ter a sua conta pessoal, e deve existir uma conta especial para administração da máquina (ou seja ninguém deve ter poderes de “administração”).

Como sempre a wikipedia é útil http://en.wikipedia.org/wiki/Password como complemento de qualquer texto

Limitações dos sistemas operativos e gestores de passwords

Pessoalmente eu não gosto particularmente das opções “nativas” oferecidas em Windows e Mac OS X. Usam encriptação fraca, uma “master password” correspondente ao “login de entrada”, e não são na minha opinião soluções adequadas a uma realidade mais complexa que aquela para que foram desenhadas (i.e. um computador com múltiplos utilizadores).

No “mundo real” as pessoas precisam de aceder a diversos sistemas a partir de outros computadores, tablets e telemóveis. Isto torna a

utilização de passwords “fortes” um pesadelo

do tipo "&E3)dD*ry8#4nj'm8Xj1)" para o Facebook do telemóvel, depois outra equivalente para o Twitter, outra para o mail, outras para

cada um dos sites que utiliza.

imagine-se a copiar algo

Esse cenário é a razão pela qual a maior parte das pessoas faz o disparate de usar más passwords: são mais práticas e mais simplificam a vida do utilizador. Acontece que são menos eficazes na sua função.

Há alternativas melhores para “gerir” passwords, que usam encriptação forte, e permitem sincronizar as mesmas entre diferentes computadores, tablets e telemóveis.

Gestores e sincronizadores de passwords

A minha solução de eleição é o 1password (agilebits.com). É uma solução comercial e, na minha opinião, a melhor implementação de um gestor de passwords. Suporta um numero limitado de plataformas (que coincidem com as que utilizo): Windows, Mac, iPad/iPhone e Android.

com as que utilizo): Windows, Mac, iPad/iPhone e Android. Todas as passwords são sincronizadas via Dropbox

Todas as passwords são sincronizadas via Dropbox (ou WiFi) entre todos os sistemas que utilizamos. Integra com vários browsers (Safari, Firefox e Chrome) o que é muito prático. Utiliza encriptação forte e uma “master password” que nada tem a ver com o nosso login. Melhor ainda;

podemos configurar o sistema para só disponibilizar passwords contra a nossa “master password”, pelo que é “como termos uma só password para tudo” (quando na realidade são todas diferentes).

Adicionalmente podemos guardar texto, dados de cartões de crédito, numero de série de telefone, computadores, software, etc. Fica tudo encriptado, sempre disponível, e mesmo que o nosso “telefone” ou “computador” perdido/roubado estivesse “por bloquear”, este pode ser configurado para exigir a nossa “master password” em todos os acessos que fazemos.

Nos telefones podemos (opcionalmente) usar uma “master password” diferente, mais simples de introduzir (um código numérico por exemplo) e mais prática para um aparelho sem teclado.

Uma vez instalado o 1password é um prazer de usar. Todos os nossos browsers conhecem o sistema, em todos os sites o login é feito automaticamente, com apenas um clique do rato. Incluído no plugin está um gerador de password fortes, que nos sugere passwords diferentes para cada site, sempre que fazemos ou alteramos um registo.

Existem vários sistemas semelhantes ao 1password, mais baratos e até gratuitos, com funcionalidade equivalente.

Existem vários sistemas semelhantes ao 1password, mais baratos e até gratuitos, com funcionalidade equivalente. Rapidamente me chegaram mensagens de amigos recomendando duas alternativas: LastPass (lastpass.com) e KeePass (keepass.info).

São sistemas que eu não usei pessoalmente, mas que me pareceram robustos e particularmente interessantes. Por exemplo o LastPass suporta mais plataformas (incluindo o Blackberry, Symbian, Windows

mobile, webOS e Linux) e mais browsers (incluindo o Internet Explorer

e o Opera).

A versão “premium” custa $1 por mês (cobrado em conjuntos de 12 meses, ou seja $12 por ano) e parece-me uma excelente proposta. Custa

o mesmo que um café por mês

O KeePass é “open source” e gratuito. A apresentação do sistema na página do projecto

O KeePass é “open source” e gratuito. A apresentação do sistema na

página do projecto é mais pobre visualmente, o que não implica que seja menos funcional, simples de utilizar ou competente no cumprimento da missão de nos proteger e facilitar a utilização de boas passwords.

Geradores de passwords alternativos

Para quem prefira não ter um gestor de passwords (como o 1password, LastPass ou KeePass), e utilizar apenas as funcionalidades do sistema operativo para guardar passwords (porque eventualmente só utilizam um computador, e não utilizam “tablets” e “smartphones”) é recomendável que utilize um bom gerador de passwords.

As passwords não devem ser criadas pela própria pessoa! Devem ser aleatórias e desprovidas de qualquer lógica que as ligue ao titular da conta que protegem. Para isso usam-se geradores de passwords.

Faça o download de um e use sempre que precisa de criar uma

password. Utilize sempre o máximo de caracteres suportado pelo serviço (por exemplo no paypal.com são 20 caracteres) e, se não souber

o limite, use pelo menos 30 caracteres (se forem demasiados o sistema queixa-se e fica a saber qual o limite suportado).

Windows: http://www.securesafepro.com/pasgen.php Mac OS X:

Windows:

Windows: http://www.securesafepro.com/pasgen.php Mac OS X:

Mac OS X:

Quanto mais “longa e estapafúrdia” for uma password melhor. Os geradores de passwords suportam “limitar a password” a alguns tipos de caracteres de forma a suportar sistemas que tenham limitações quanto ao que aceitam numa password.

Usar passwords longas não é um problema: Não as vai decorar de qualquer forma, esse é o papel do Mac OSX ou Windows, pelo que não faz

qualquer diferença prática e aumenta substancialmente a sua segurança.

Sistemas alternativos e complementares

Há sistemas alternativos ao uso de passwords, sistemas que complementam as passwords, e até sistemas que permitem que as passwords possam ser “roubadas à vontade” porque só podem ser usadas uma vez.

Google e Facebook oferecem opções de “autenticação com dois factores” que são interessantes (e que pode activar na sua conta): para além da sua password, sempre que aceder de um computador “diferente” do “que costuma utilizar”, é enviado para si um código por SMS. Sem esse código a sua password não chega para entrar no sistema.

Na Battle.Net (para quem gosta dos jogos da Blizzard como Starcraft e World of Warcraft) existem sistema de “one time password” complementados por geradores em hardware (para ter no porta-chaves).

Existem igualmente aplicações para telefones para gerir “one time passwords” (que é o que faz o autenticador da Blizzard).

passwords” (que é o que faz o autenticador da Blizzard). Eu pessoalmente acho que as passwords

Eu pessoalmente acho que as passwords “tradicionais” são um bom compromisso entre segurança e conveniência, desde que bem

utilizadas. Infelizmente são vulneráveis a uma realidade objectiva

o seu computador for “hackado”? Nesse caso as passwords precisam de ser alteradas, dados que não é possível saber se permanecem secretas.

se

É neste cenário que os métodos alternativos e complementares de passwords “brilham”. Porque mesmo que alguém tenha a sua password

ela, só por si, não serve para nada. Se for preciso ter uma chave USB no computador, ou receber algo pelo telefone, ou usar uma peça de

hardware que está no seu porta chaves mais complicada.

a vida do “hacker” fica muito

Atenção que usar “autenticação com dois factores” significa que precisa

de ter os dois consigo para se autenticar. Se não tiver acesso a um deles fica bloqueado do seu acesso. É eficiente a parar hackers, mas também o

pode parar a si

acontece e já me aconteceu a mim. É seguro e chato.

Um problema adicional é que os factores de autenticação adicionais não são “todos iguais” ou “equivalentes”. Uma chave USB (como a YubiKey, ver http://yubico.com), ligada a um computador que esteja “hackado” limita riscos, mas não os anula totalmente. É preferível utilizar sistemas que envolvam dois aparelhos completamente separados (telefone e computador), e que nunca junte os dois factores de autenticação (i.e. se o seu homebanking manda SMS para o telefone que complementam a password, nunca deve usar esse telefone para aceder ao serviço directamente).

usar esse telefone para aceder ao serviço directamente). Os dois factores de autenticação são uma excelente

Os dois factores de autenticação são uma excelente ideia, mas que implica muito menos conveniência e facilidade de utilização, e cabe a cada um de nós ponderar sobre a importância e/ ou necessidade de proteger um serviço com uma “protecção adicional”.

É importante referir que nem todos os sistemas de gestão de password se adequam ou suportam usar factores adicionais de autenticação. Se pretende perseguir essa abordagem necessita de estudar a fundo os requisitos do sistema que escolher.

Facebook

Configuração segura

Se usa o Facebook deve ligar o SSL (i.e. “Secure browsing”) e a autenticação por dois factores (i.e. “Login Approvals”):

por dois factores (i.e. “Login Approvals”): Ambas as opções se encontram nas preferência em

Ambas as opções se encontram nas preferência em “account settings” -> “Security”.

“Secure browsing” -> Faz com que a sua sessão seja protegida (i.e. encriptada) utilizando SSL.

“Login Approvals” -> Quando se liga ao facebook a partir de um computador (ou telefone/tablet) diferente do habitual, o Facebook envia um SMS para o telefone que escolher com uma password complementar à que normalmente usa. Desta forma, mesmo que alguém lhe consiga roubar a password não consegue usar a sua conta.

Ambas as opções devem estar em todos os utilizadores (bom, exceptuando os que não tiverem telemóveis para receber o SMS). Isto é particularmente importante se utiliza redes WiFi públicas (FON, hotspots da pt-wifi, etc). Não chateiam nada, e fazem toda a diferença em termos de segurança.

Nunca entregue ao Facebook passwords de outros serviços!

Este anuncio (ver imagem) apareceu no meu Facebook.

Será que as pessoas dão mesmo a password de mail a terceiros, na esperança de encontrarem “amigos”? Dão. Dão pois.

Isto é tão absurdamente errado: “Nunca entreguem a vossa password de mail a ninguém”. E se o fizeram no passado, não repitam.

a ninguém”. E se o fizeram no passado, não repitam. Nem ao “Facebook”, nem a seja

Nem ao “Facebook”, nem a seja quem for, excepto a quem vos presta o serviço de mail. O e-mail é a ferramenta usada para recuperar passwords de outros sites, o “poder” de controlar uma conta de e-mail, ainda que temporariamente, é algo que não deve ser delegado em nenhuma circunstância.

Sugestão: mudem de password. Verifiquem que escolhem uma boa password, e que o vosso mail está configurado de forma segura.

Os sujeitos que operam o Facebook são loucos! A sério? A Password de mail? Para encontrarem “amigos”? Mesmo? Pedem uma coisa dessas aos utilizadores? E eles dão?

Umas horas mais tarde o anuncio mudou… passou a aparecer em versão “com uma bandeira nacional”, já sem referir amigos… mas continua a pedir a password de mail.

sem referir amigos… mas continua a pedir a password de mail. http://pls.mrnet.pt Segurança e Internet, Página

Uns minutos depois de ter publicado o texto na minha página pessoal, uma das pessoas deixou-me uma nota a dizer que não tinha dado a password de mail a ninguém… o que me faz suspeitar que alguma coisa é capaz de estar muito errada com o mecanismo que publica estas coisas na barra lateral direita do Facebook, ou pelo menos com as referências que faz a quem “usou o serviço”.

Textos que consultei ao investigar este disparate:

Fascinante como uma empresa com a dimensão do Facebook pode fazer uma barbaridade destas!

Cookies e tracking

Quem quer bolinhos?

Há “bolinhos” (dos bons) e “bolinhos” (dos maus), e nós queremos que os nossos browsers tenham uma dieta saudável… queremos que os cookies que contribuem para a funcionalidade dos sites funcionem, queremos que aqueles que estão a fazer “tracking” dos nossos movimentos sejam rejeitados. O “Do not track” é um plugin para o seu browser que faz toda a diferença (bloqueia os maus, com o cuidado de o deixar, caso queira, usar os mesmos poder por exemplo para interagir com redes sociais). Simples e eficaz.

Link:

É a sua privacidade que está em jogo. Sim, isso é relevante, um minuto seu e o problema deixa de existir…

E-mail

Cuidar da(s) sua(s) conta(s) de e-mail é particularmente importante. O e-mail é utilizado para recuperar passwords de sites, para além da comunicação entre pessoas, o que faz dele um alvo apetecível para qualquer hacker. Se tiver controle sobre o seu e-mail o hacker pode “recuperar” as suas passwords, fazer passar-se por si e enganar pessoas que consigo contactam. Demora uns minutos a configurar correctamente o e-mail e pode evitar uma série de dissabores.

Curiosamente o e-mail da maior parte das pessoas está completamente escancarado. Configurado sem SSL (o que significa que é muito simples apanhar a password) e sem qualquer certificado digital instalado (o que significa que é muito simples falsificar e-mails fazendo-se passar pelo titular).

Escolha um bom programa de (cliente de) e-mail. Configure decentemente o seu acesso (com SSL) aos servidores. Instale os certificados digitais (S/MIME) que garantem a autenticidade (que a mensagem é mesmo sua), integridade (que a mensagem não foi modificada) e confidencialidade (que estranhos não podem aceder ao conteúdo).

Escolher bom um programa de mail

Se não tem técnicos (i.e. administradores de sistemas profissionais para o ajudar) eu recomendaria o “Mozilla thunderbird” para o Windows e Linux. Utilizadores de Mac OS X não estão nada mal servidos pelo Mail da Apple, podem no entanto se preferirem também usar o “Mozilla Thunderbird”.

Não recomendo nenhum dos clientes de mail criados pela Microsoft por motivos vários, de qualquer forma tudo o que explico sobre o mail

aplica-se naturalmente também a estes, dado que suportam ligações protegidas por SSL e certificados digitais (S/MIME).

Num cenário empresarial a escolha deve ser feita por quem administra o parque informático (i.e. administradores de sistemas) que saibam o que estão a fazer. Se na sua empresa não há um, é mau sinal, e significa que “muitas coisas podem correr mal de repente”. Se acha que a sua escolha é melhor que a do administrador de sistemas, ou está a ser burro ou o dito cujo é muito mauzinho, cenário em que deviam mudar alguma coisa porque, novamente, “muitas coisas podem correr muito mal de repente”. Se há um profissional a fazer escolhas respeitem as ditas cujas, ou mudem de profissional, não devem é ter um e sabotar o trabalho dele.

Configure o acessos ao e-mail (envio e recepção) com SSL

Utilizem sempre as versões seguras dos protocolos, no caso da Mr.Net (minha empresa) o que usamos é:

Secure SMTP (SSMTP) - port 465 (é o protocolo de envio seguro) IMAP4 over SSL (IMAPS) - port 993 (é o melhor protocolo de recepção) Secure POP3 (SSL-POP) - port 995 (protocolo “antigo” de recepção)

As versões inseguras (que não devemos usar) são:

SMTP - port 25 (é o protocolo de envio inseguro) IMAP4 - port 143 (versão insegura do protocolo de recepção) POP3 - port 110 (versão insegura protocolo “antigo” de recepção)

O meu IMAP configurado no Apple Mail (na imagem) configurado para usar SSL (a diferença entre estar configurado de forma segura ou totalmente insegura é um clique no “SSL”). Não dá muito mais trabalho

Vamos espreitar o que acontece quando se configura uma conta de e- mail, em qualquer programa, usando como exemplo o “Mozilla thunderbird”:

programa, usando como exemplo o “Mozilla thunderbird”: Quando no “ Mozilla thunderbird ” configuramos uma
programa, usando como exemplo o “Mozilla thunderbird”: Quando no “ Mozilla thunderbird ” configuramos uma

Quando no “Mozilla thunderbird” configuramos uma conta, é pedido pelo programa o nosso nome, endereço de e-mail e password. Uma vez

fornecidos o programa tenta ”configurar” o serviço. Acontece que as escolhas que os programas fazem “por defeito” são completamente inseguras. Em vez de STARTTLS e a porta 143

Queremos é usar a configuração segura: SSL/TLS na porta 993!!!

Ou seja, se o programa de mail “adivinha mal” a configuração de

recepção de e-mail

e se a aceitamos

estamos

completamente

expostos

de e-mail e se a aceitamos estamos completamente expostos O mesmo se passa com o protocolo
de e-mail e se a aceitamos estamos completamente expostos O mesmo se passa com o protocolo

O mesmo se passa com o protocolo de envio de e-mail, por defeito os

programas “tendem” a “adivinhar” a porta 25, com STARTTLS

E queremos sempre alterar isso para a versão segura: SSL/TLS na porta 465. E o

E queremos

sempre alterar isso para a versão segura:

SSL/TLS na porta 465.

E o problema de

base é este: o mail parece

“funcionar”

exactamente da mesma forma,

com

o mail parece “funcionar” exactamente da mesma forma, com http://pls.mrnet.pt Segurança e Internet, Página 38

configurações seguras ou inseguras. Naturalmente as pessoas não conseguem perceber a diferença, e nunca lhes ocorreu que este problema existisse

A mesma coisa se passa,

para concluir, com o Apple Mail em que o “Use Secure Sockets Layer” deve estar seleccionado na configuração de envio.

Para saber mais sobre o SSL existe um excelente artigo na Wikipedia. Não é informação que interessa e todos, mas satisfaz os mais curiosos.

que interessa e todos, mas satisfaz os mais curiosos. Assine o mail, garanta a sua integridade

Assine o mail, garanta a sua integridade e privacidade.

Independentemente da forma como envia e recebe o seu e-mail, este está armazenado nos servidores de forma insegura (normalmente sem qualquer tipo de encriptação), e isto significa que o administrador desse sistema pode ler o seu mail, bem como um hacker que ganhe acesso ao servidor. Sem que saiba, ambos podem “programar acções” para, por exemplo, receber cópias das suas mensagens.

A única forma que tem de combater (parcialmente) isto é utilizar

certificados digitais e manter o seu mail encriptado em todos os cenários em que isso for possível. Isto é uma solução “parcial”, porque não tem como evitar que pessoas lhe enviem mail “sem encriptação”, por exemplo quando utiliza ferramentas de recuperação de passwords .

Deixe-me repetir: os administradores de sistemas e hackers podem ver o seu mail. Está interiorizado o conceito? O seu servidor de mail deve estar confiado a pessoas ou instituições em quem confie, capazes de guardar os seus segredos. Quem aceder ao seu e-mail tem acesso ao seu Facebook, Twitter e afins. O mail é inerentemente inseguro, apenas podemos minorar riscos.

Os passos necessários para “minorar riscos”, consistem na instalação de certificados digitais. Ganhando a capacidade de encriptar e-mails, assinar os mesmos digitalmente e garantir que não são modificados por terceiros.

Instale os certificados digitais.

Aceda a http://www.comodo.com/home/email-security/free-email- certificate.php COM O FIREFOX (é importante ser com o Firefox) e carregue no botão vermelho que diz “Free Download”:

e carregue no botão vermelho que diz “Free Download”: http://pls.mrnet.pt Segurança e Internet, Página 40

Preencha o formulário (nome, apelido, e-mail a proteger, diga que não se

quer receber a mailing list deles e que concorda com o acordo de utilização)

e espere pelo e-mail (a dizer que o certificado está pronto). Deve demorar menos de um minuto.

Quando chegar o e-mail, levante o certificado COM O FIREFOX seguindo a instruções que estão na mensagem. De seguida:

Vá às preferencias do Firefox -> Advanced -> certificates -> Your certificates

Fazer o BACKUP para o seu Desktop.

Se usa o Apple Mail (em Mac OS X): um duplo clique no certificado de que fez backup, autorize que se acrescente ao keychain. Fechar o Mail, abrir novamente o Mail, e acabou a instalação

programa, vá ao menu “Tools” -

> “Options” -> “Advanced”.

Pressione o botão “Manage certificates”.

Na janela que se abre escolha “Import”, o ficheiro de que fez backup no Firefox (que deverá estar no seu Desktop) e terminou a instalação

(que deverá estar no seu Desktop) e terminou a instalação Todo o processo deve demorar uns

Todo o processo deve demorar uns 5 ou 10 minutos se tanto

Assine digitalmente o seu e-mail

Uma vez instalado o certificado há dois tipos de operação, “assinar” e “encriptar” o e-mail.

Exemplo de assinatura (botão) no Apple Mail em Mac OS X na imagem à direita.

A mesma coisa em Mozilla

Thunderbird em Windows (em que

é usado um “menu” no botão de

“Security”) na imagem à direita

“menu” no botão de “Security”) na imagem à direita Este mail não é encriptado, pode ser
“menu” no botão de “Security”) na imagem à direita Este mail não é encriptado, pode ser

Este mail não é encriptado, pode ser enviado a qualquer pessoa, tenha ou não certificados digitais instalados. A esmagadora maioria dos programas de mail vai “reconhecer” que a mensagem está assinada digitalmente

e transmitir isso ao utilizador que ler o e-mail. Indica que é mesmo aquele remetente que enviou e que a mensagem não foi modificada por ninguém. Caso alguém altere qualquer coisa na mensagem aparece um erro.

Caso alguém altere qualquer coisa na mensagem aparece um erro. http://pls.mrnet.pt Segurança e Internet, Página 42

Dado que é trivial falsificar e-mails não assinados digitalmente, é para mim espantoso como as pessoas pretendem usar e-mails como prova de que algo foi escrito por alguém, ou como ferramenta profissional, em que facilmente alguém pode roubar a sua identidade digital. E isto acontece todos os dias. Tudo muda de figura quando há assinaturas digitais envolvidas. Neste caso é possível provar quem escreve os e-mails e assegurar a integridade dos mesmos.

Encripte o seu e-mail

A encriptação das mensagens só ocorre quando a pessoa com quem se

troca mensagens também tem um certificado instalado. Só quem envia e quem recebe o e-mail consegue abrir a mensagem. Hackers e administradores de sistemas ficam “de fora”. Todas as mensagens devem, ser sempre encriptadas, entre amigos, cônjuges, colegas de trabalho ou clientes. Não há motivo nenhum para não serem, não dá mais trabalho ter o e-mail seguro e privado.

Qual a diferença de compor uma mensagem encriptada?

Carregar no botão do “cadeado” (Apple Mail) ou em “encrypt this message” no

“Mozilla thunderbird”. Só isso, um clique, e

o mail é confidencial!

Mas para quem receber o e-mail, caso

seja o destinatário, verá algo parecido com

a imagem apresentada (em baixo), no cabeçalho do e-mail:

com a imagem apresentada (em baixo), no cabeçalho do e-mail: http://pls.mrnet.pt Segurança e Internet, Página 43
com a imagem apresentada (em baixo), no cabeçalho do e-mail: http://pls.mrnet.pt Segurança e Internet, Página 43

Se não for, verá algo parecido com isto (ou seja, consegue perceber quem é o “destinatário” e “remetente”, “dia e hora”, “subject” (assunto), mas tudo o resto está cifrado, é impossível de ler

(assunto), mas tudo o resto está cifrado, é impossível de ler http://pls.mrnet.pt Segurança e Internet, Página

Uma vez instalados os certificados é conveniente ter os mesmos nos vários clientes de e-mail que utilize, de forma a não ter de esperar “por chegar a casa” ou “ao escritório” para ler um mail que esteja “encriptado”.

Blackberry’s, Androids e iPhones/iPads, bem como muitos smartphones da nokia, permitem instalar certificados digitais.

A instalação de certificados digitais no iPhone/ iPad consiste em enviar o backup do certificado (que ainda deve estar no vosso Desktop) por mail para a conta que tiverem configurada no iPhone/iPad. Abrir o e-mail, carregar no certificado e confirmar que querem acrescentar o mesmo ao sistema. Só isso.

Convém claro que verifiquem se o SSL está ligado. Acedam às preferência do “mail” no iPhone escolham a conta. Dentro do écran da conta carreguem no endereço

a conta. Dentro do écran da conta carreguem no endereço No tab de SMTP verifiquem que

No tab de SMTP verifiquem que o SSL está ligado

verifiquem as preferência do IMAP e S/MIME. Vejam as minhas

no tab advanced

as preferência do IMAP e S/MIME. Vejam as minhas no tab advanced http://pls.mrnet.pt Segurança e Internet,
as preferência do IMAP e S/MIME. Vejam as minhas no tab advanced http://pls.mrnet.pt Segurança e Internet,

Com o correio cifrado o risco de alguém estar a acompanhar comunicações por mail de terceiros é substancialmente anulado. Não instalar os certificados é um convite ao disparate, é porem-se mesmo a jeito, para um dia, quando menos esperam, “as coisas correrem mal”. E podiam ter evitado isso com 5 minutos de configurações.

Não me perguntem porque é que isto não é feito por todos os particulares, e em todas as empresas, que eu não sei responder…

Já vi de tudo acontecer (de divórcios a pessoas serem convidadas a sair de empresas) por não terem um pingo de cuidado e assumirem um disparate tão grande como o mail ser algo “privado” a que “só eles acedem”.

Demora menos tempo a tornar o mail (relativamente) seguro do que levou a ler este texto.

E se o seu servidor de e-mail não suportar SSL?

Para minha surpresa recebi várias mensagens do tipo “liguei o SSL e o mail deixou de enviar (ou receber, ou ambas as coisas)”. Confesso que não estava à espera de em 2012 (altura em que o artigo original foi colocado online na minha página pessoal) isto fosse possível.

Mude de provider de e-mail. A sério. Não vejo uma alternativa. Eu recomendaria uma empresa sólida sobre o ponto de vista técnico (Google gmail por exemplo).

Se o problema é “com o velhinho servidor de uma empresa”, fale com os responsáveis pelo serviço de e-mail e explique a situação, pode ser que percebam que ter um servidor próprio de e-mail só é uma boa opção caso o mantenham actualizado e sejam capazes de prestar o serviço com um mínimo de qualidade.

De forma genérica eu recomendaria o Google gmail a todos, particulares e empresas, dado eles fazerem “quase tudo bem feito”. Em empresas com maior dimensão pode ser uma opção criar e manter servidores próprios, mas se o fazem devem ser capazes de os administrar

correctamente, e isso implica muito trabalho, equipas de manutenção em 24*7*365, e não é barato.

O que se deve esperar do servidor de e-mail de uma empresa?

Para além do óbvio (suportar SSL no envio e recepção de e-mail), as empresas devem assinar digitalmente a passagem de mensagens pelos seus servidores. Notem que isto não é a mesma coisa que assinar “as mensagens propriamente ditas”: assinar mensagens com s/mime, nos clientes de e-mail , serve para garantir que foi determinada pessoa que enviou o e-mail e que este está intacto. Nos servidores o que é assinado é a ORIGEM das mensagens (certifica que foi enviada a partir dos servidores de uma determinada empresa). São coisas diferentes e ambas importantes.

A assinatura dos servidores serve para evitar que terceiros se

possam fazer passar pela empresa. Os servidores que assinam as mensagens dão instruções a todos os restantes servidores de e-mail da Internet para “descartarem e não entregarem mensagens que não tenham proveniência verificada”. Isto serve para evitar que os clientes possam receber mensagens falsificadas. O protocolo diz algo parecido com: eu sou o domínio “xxxx.pt”, todas as mensagens que usam este domínio são provenientes do servidor de mail X (ou Y), caso recebam mensagens de qualquer outro servidor a fazer-se passar por esta empresa, mandem as mensagens para o lixo em vez de as entregarem ao destinatário, porque são forjadas.

A estes ataques, via falsificação de identidade, chama-se “Phishing”. O burlão manda milhares de mensagens, fazendo-se passar por uma empresa em que, por exemplo, se faz passar pela contabilidade de uma empresa apresentado falsas contas. Ou pelo apoio a clientes solicitando uma mudança de password.

Entre as tecnologias mais populares para evitar estas falsificações estão o SPF (mais antiga e sem recorrer a uma verificação criptográfica) e o DKIM (versão moderna e mais robusta do conceito). Estas tecnologias, para serem eficientes, precisam de usar as opções de “hardfail” (SPF) e “Discard” (DKIM). Por outras palavras, necessitam de instruir todos os servidores de mail da INternet para não aceitarem falsificações de mensagens em nome da sua Empresa. Sem as opções correctas o que estão a fazer é dizer aos servidores de mail que “as mensagens são provavelmente falsas, mas entreguem na mesma”, o que não serve para nada. Na prática os filtros de “spam” consideram as mensagens falsificadas como mais um factor de classificação de potenciais mensagens de spam, o que é muito pouco eficaz para as impedir de chegar às pessoas.

A assinatura dos servidores deve ser utilizada como complemento da assinatura (S/MIME) de cada pessoa, a primeira autentica a proveniência da mensagem dos servidores correctos, a segunda o autor e integridade conteúdo do e-mail.

Muito poucas empresas em Portugal fazem um trabalho tão bom como a ZON à data em que escrevo este texto. Os servidores usam SPF com “hardfail” no domínio “zon.pt”, e as mensagens com as contas dos clientes são devidamente assinadas com S/MIME.

A maior parte das empresas só faz disparates. Não autentica coisa nenhuma, ou não instrui os servidores de e-mail para descartar mensagens falsificadas, e não assina os conteúdos. Resultado prático:

milhares de mensagens falsificadas a circular na Internet.

Infelizmente muitas dessas empresas são bancos, fornecedores de electricidade, gás, fazem comércio electrónico e são operadores de telecomunicação. É a si que estão a tornar vulnerável quando agem desta forma. Pelo que deve manifestar o seu desagrado.

DNS

Quando originalmente escrevi na minha página pessoal sobre a importância de configurar bons servidores de DNS nos computadores, e nas redes de sua cada e empresa, não estava à espera de descobrir tantos disparates. O meu artigo original sobre o assunto acabou por se transformar no “equivalente informático a pontapear um ninho de vespas”.

Recomendava (ingenuidade minha) que as pessoas alterassem os DNS de todos os seus computadores para uma configuração segura, e chamava a atenção para em redes domésticas (e de empresas) faz mais sentido configurar os “routers”, de forma a que os computadores da rede recebessem essas opções de forma automática.

Infelizmente, na sequência dessa recomendação, fui contactado por algumas pessoas, dizendo que as opções de alterar os seus DNS não estavam disponíveis nos “routers” que tinha em casa (ou na empresa). Achando isso estranho (dado que em todos os meu routers, comprados nos últimos 20 anos, as opções sempre existiram) fui investigar o que se passava.

Descobri com essa investigação que ZON e MEO tinham escondido essas opções nos seus “routers”. Até aí, mesmo não percebendo a lógica dessa opção, estava “tudo bem”, e apenas respondia aos clientes dessas empresas para “configurarem antes do DNS em cada aparelho” lamentando as escolhas dos fornecedores.

Acontece que, não satisfeito com o que tinha constatado, resolvi investigar que raio de “routers” eram esses, e como se poderia contornar a situação. E foi nesse ponto que tropecei no “ninho de vespas”. Descobri que os routers tinham vários utilizadores de administração escondidos dos clientes, com as passwords publicadas na Internet (há anos!) e que, com esses utilizadores, qualquer hacker podia alterar opções de routing (fazer passar todo o tráfego por

máquinas perigosas) e DNS das redes. Isto coloca os titulares dos serviços em risco eminente.

Tão rapidamente quanto possível escrevi artigos a denunciar publicamente o assunto: MEO e ZON foram as empresas sobre as quais escrevi.

Para meu desgosto não é possível ensinar os utilizadores a alterarem este estado de coisas. Há demasiados routers no mercado, e sem “know how” adequado a lidar com cada caso só o operador pode resolver a situação e dar instruções aos seus clientes.

Tudo isto torna ainda mais importante que os utilizadores tenham em cada aparelho o DNS bem configurado (e o seu mail configurado de forma segura, e evitem usar passwords em sites sem HTTPS).

Isto não é alarmismo excessivo, é mera constatação de facto, que me leva a recomendar que tratem a vossa própria rede como um ambiente hostil (equivalente a um “hotspot wifi” livre).

O que é o DNS?

A explicação mais “simples” que conheço é a do livro DNS FOR DUMMIES: http://www.dummies.com/how-to/content/dns-what-it-is-and- what-it-does.html

Vou tentar de qualquer forma criar uma analogia que todos possam perceber nas linhas que se seguem.

Um servidor na Internet é identificado por um numero, o seu endereço IP. Algo do tipo “195.22.11.61”. Este numero (ou melhor conjunto de quatro números, separados por “pontos”) é o equivalente à morada de uma casa (Rua qualquer coisa. Numero X) . Nestes servidores podem estar hospedados diferentes serviços (vários sites diferentes,

servidores de e-mail, etc), da mesma forma que numa casa (ou morada de uma empresa) pode viver mais que que uma pessoa identificadas pelo seu nome próprio (o Senhor João, a sua esposa Matilde e o filho Bernardo). Os serviços de computadores também usam nomes próprios (mail.xxxx.pt, site.xxxx.pt, site.yyyy.pt, etc) que podem residir no mesmo endereço IP (equivalente à morada).

Quando no nosso computador acedemos a um site, o DNS é o serviço que identifica que o nome desse site corresponde a um determinado IP, e informa o nosso “browser” ou “programa de e-mail” que se deve dirigir a determinada “morada” e perguntar lá pelo serviço pelo a determinado nome. É como informar alguém alguém que se deve dirigir à morada X e perguntar pelo senhor Y.

Porque é que o DNS é importante para a nossa segurança?

Porque quando vamos interagir com alguém (ou alguma entidade), e lhes vamos dar dinheiro ou credenciais de identificação, não as queremos entregar à entidade errada. Ora, se o DNS nos informar mal, não estamos a comunicar com quem pretendemos, e a partir daí podem acontecer vários problemas desagradáveis.

O DNS é fundamental para o normal funcionamento de quase todos os

protocolos. O e-mail, a web, ftp, entre tantos outros

O DNS, se for configurado para o efeito, pode servir como uma barreira

de defesa. Na Internet abundam máquinas que servem conteúdos perigosos, como “vírus”, “troianos” e “malware para todos os gostos”, bem como “falsos sites” de Phishing.

Configurar o DNS de um computador é simples (Mac, Windows, Linux), mas atenção que esta configuração por “computador” só faz sentido para quem tenha portáteis, que viajam entre diferentes redes.

Para computadores de secretária e portáteis que na prática não saiam

de casa ou dos escritório, o que faz sentido é configurar o DNS no seu “router” (dessa forma todos os computadores da rede recebem a configuração quando se ligam à rede). Infelizmente os senhores da ZON

e MEO não percebem a consequência das más opções que fizeram (ver introdução deste capitulo).

Que DNS se deve utilizar?

Um que seja rápido é tipicamente a primeira resposta. Isto porque com um DNS rápido toda a Internet parece (e é) mais rápida. Os mais técnicos entre os leitores utilizar o “namebench” para descobrir quais as melhores opções “perto de si”.

Eu acrescento um segundo critério que considero ser ainda mais importante. Ser rápido é importante, mas na minha opinião é menos importante que ter um DNS que contribua para haver menos hipóteses de risco (ser hackado, enganado ou infectado com alguma porcaria “rapidíssimo” não me parece desejável) para o utilizador.

Em minha casa e no meu portátil utilizo o OpenDNS, pelo que, quanto a recomendações, estamos conversados. Lembrem-se que podem mudar a configuração de um computador em segundos para uma alternativa, caso seja necessário.

Google DNS

Os servidores mais rápidos deveriam ser os do ISP a que está ligado (aqueles que por defeito estão configurados no seu router de acesso), na prática raramente são. Em quase todos os cenários o campeão da velocidade vão ser os servidores de DNS do Google (DNS: 8.8.8.8

e 8.8.4.4). Não fazem qualquer tipo de “voodoo” (i.e. filtragem de

domínios e sites perigosos) para o proteger de coisa nenhuma. São rápidos, fiáveis e a mais perfeita implementação do serviço de DNS disponível ao comum utilizador da Internet.

OpenDNS

O OpenDNS (DNS: 208.67.222.222 e 208.67.220.220) é um projecto diferente. Para além do normal serviço de DNS, filtram endereços de Phishing, chamando a atenção do utilizador para o facto de estar prestes a entrar num site perigoso. A comunidade de utilizadores do OpenDNS é gigantesca (mais de trinta milhões de utilizadores, uma em cada três escolas americanas, e várias empresas) e coopera a identificar novas ameaças através do projecto PhishTank (espreitem e percebam como são perigosos os sites de Phishing). Há ainda uma versão que filtra (opcional) sites de porno para uso doméstico (DNS: 208.67.222.123 e 208.67.220.123). Tudo isto é gratuito.

208.67.222.123 e 208.67.220.123 ). Tudo isto é gratuito. http://pls.mrnet.pt Segurança e Internet, Página 53

O projecto conta ainda com versões pagas, que permitem afinar filtros

para quem tem crianças, e filtram adicionalmente “malware” diverso e tráfego de “bots” (computadores hackados). Para um agregado familiar

a versão paga custa menos de cerca de 2 euros por mês. Existem ainda

versões para empresas e instituições diversas, em que preço é determinado em função da dimensão da rede em causa. É uma questão de pedirem o orçamento no site.

em causa. É uma questão de pedirem o orçamento no site. Em versão Beta é ainda

Em versão Beta é ainda possível encriptar toda a comunicação de DNS. Chama-se DNSCrypt e está disponível para Windows e Mac OS X e pode ser encontrada em http://www.opendns.com/technology/dnscrypt/

encontrada em http://www.opendns.com/technology/dnscrypt/ Recomendo a utilização do DNSCrypt (mas com uma pitada de

Recomendo a utilização do DNSCrypt (mas com uma pitada de sal): isto implica que quando “não tiverem acesso” à Internet, dentro de algumas redes, precisam de se lembrar que está instalado (e provavelmente ligar a opção de

usar o port 443 ou o fallback).

É uma versão inicial, que funciona exemplarmente bem, mas pode dar

origem a algumas expressões intrigadas e comichão na cabeça…

Comodo Secure DNS

Gratuito para uso doméstico, pago para uso em empresas e instituições, é uma alternativa ao OpenDNS. Inclui filtros de Phishing, Malware, etc. Nunca o utilizei pessoalmente. Os DNS são 8.26.56.26 e 8.20.247.20.

Norton ConnectSafe

Serviço gratuito para particulares, pago para uso em empresas e instituições, é mais uma alternativa ao OpenDNS. Nunca o utilizei pessoalmente.

Os DNS (escolha o par que mais lhe interessar) são:

198.153.192.40 e 198.153.194.40 (filtro normal de Phishing,

malware e esquemas vários),

198.153.192.50 e 198.153.194.50 (filtra também pornografia)

198.153.192.60 e 198.153.194.60 (filtra pornografia e outros

conteúdos que a Norton acha pouco indicados para crianças).

Alterar o servidor de DNS no router

Nas páginas de todos os serviços mencionados estão instruções para fazer as alterações ao nível dos routers, em vez de fazer em cada aparelho individualmente. Essa é também a minha recomendação.

Pelos motivos apontados (neste texto) os utilizadores do MEO e ZON podem encontrar dificuldades em o fazer. Eu sugiro a esses utilizadores que considerem a compra de um segundo router, desliguem o WiFi do router fornecido pelo operador, e configurem tudo em sistemas minimamente adequados à missão de criar uma rede segura para a vossa família e/ou empresa.

Infelizmente, dificilmente vão conseguir resolver o problema de outra forma, porque estas empresas são irresponsáveis, prestam um péssimo serviço ao bloquear a configuração de DNS, colocando os seus clientes em risco. Falar com os serviços de “call center” das ditas empresas é como falar com uma parede. Nem os operadores estão preparados para lidar com esta situação, nem o MEO e ZON demonstraram qualquer vontade que me leve a crer que “reconhecem” e “tencionam resolver” o problema (Maio de 2012).

WiFi (a sua rede wireless)

Configuração

A sua rede wireless deve ser configurada com WPA/WAP2, usando AES em vez de TKIP (se o seu router permitir) e com uma password forte (ler primeiro capitulo desde documento). Os routers não são difíceis de configurar, desde que saiba procurar pelas “palavras” e “siglas” que pretende alterar.

Todos os restantes métodos de protecção de redes wireless são ineficazes e não servem para rigorosamente nada: Esconder o SSID, WEP e “filtros de MAC ADDRESS”.

Na minha página encontrar instruções para entrar em qualquer rede mal protegida em minutos. Sim, é absurdamente simples, e muito perigoso para si não saber que essa é a realidade.

Clientes do MEO precisam de cuidados adicionais!

Há vários sites na Internet com as passwords wireless deixadas por defeito em clientes do MEO (sim as passwords da vossa rede!). Experimentem que não é difícil nem precisam de ser cientistas nucleares:

Isto quer dizer que a maior parte das pessoas tem a sua rede wireless completamente escancarada, não é preciso ser “hacker” nenhum para ter acesso à Internet.

O problema não é “alguém” partilhar o vosso acesso à Internet. É um

hacker poder explorar isto para estando na vossa rede, por trás do

firewall do vosso router, poder atacar livremente os vossos computadores.

Verifique se a sua rede está vulnerável (com os links que indiquei), modifique o seu SSID (nome da rede wireless) e a sua password (de acordo com o indicado no inicio deste capitulo).

NOTA: fui informado por um amigo que “Isto não é verdade, trust me. A percentagem de Speedtouches que ainda tem o hash conhecido já é muito reduzida. Por dois motivos: 1. Porque alterámos a password em muitos dos clientes através da reconfiguração remota que conseguimos fazer em alguns modelos do parque. 2. Porque há já largos meses que todos os routers que fornecemos não padecem deste problema.”.

No entanto encontro redes vulneráveis em TODOS os prédios de Lisboa em que me dou ao trabalho de fazer o teste (até Maio de 2012), o que me leva a crer que devo ter uma “sorte bestial” e “muita pontaria”.

Não tem a password para o seu router?

Bom, estão publicadas na Internet há anos, e todos os hackers sabem disso, isto porque as empresas são totalmente irresponsáveis (deveriam usar uma password única por cliente) e utilizam as mesmas passwords para toda a gente. Deve alterar estas passwords para algo que seja único da sua rede.

Os routers tendem a estar nos extremos da gama de IP’s em que está a vossa rede, pelo que experimentem no browser algo do tipo: http:// 192.168.1.1 ou http://192.168.1.254 (mas podem não estar nessa gama

de IP’s, nesse caso precisam de o descobrir qual a gama de IP’s que está

a ser usada). Nada como ligar para as linhas de apoio da ZON/MEO

Bom, dito isto, se é cliente do MEO, aceda ao seu router e configure o mesmo (pode ligar para a PT e pedir apoio, é para isso que servem as linhas de ajuda ao cliente). Para os mais versados em “informatiquês” as passwords que costumam ser deixadas por defeito são:

Login: Administrator Password: 3!play

Login: sumeo Password: m30acc355

Login: telepac Password: telepac

Login: meo Password: meo

Se for cliente da ZON e tiver um ZON HUB (que é o que actualmente instalam) os acessos do router por defeito são:

Login: home Password: zonnet

Login: home_admin Password: zonnetadmin

Não me lembro das passwords dos routers mais antigos (pode ligar para a ZON e pedir apoio, é para isso que servem as linhas de ajuda ao cliente).

Isto estar em centenas de páginas na Internet publicado, e não ser entregue a cada cliente (só eles não sabem as passwords) é uma vergonha.

Rootkits

O que é um rootkit?

“um rootkit” é software que é escondido no sistema, perpetua o acesso remoto de quem o instalou, permite o acesso a um conjunto de ferramentas que quebram qualquer tipo de confidencialidade.

A melhor forma de entender o que significa é instalar um e ver o efeito. Todos os exemplos que vou dar são serviços pagos. É de propósito.

Quem estiver interessado em saber “mais” pode começar pelo artigo da wikipedia sobre rootkits, e a partir daí usar o Google para chegar ao código fonte de uns quantos rootkits. E se souber como compilar um programa chegará a rootkits “funcionais e gratuitos”. Modificar os mesmos (para evitar detecção) e descobrir como os instalar em máquinas é igualmente trivial para quem dedica algum tempo ao assunto. A primeira parte é mais complexa, a segunda nem por isso, dado que os utilizadores caiem em ataques de Phishing, instalam troianos puxados a partir de redes de p2p, etc.

O que é que um hacker pode ver e fazer?

Quase tudo, excepto “festinhas no monitor”. Pode ligar microfones e ouvir ou gravar qualquer conversa, pode tirar imagens ou videos de câmaras ou das imagens que aparecerem no monitor, apanhar todas as teclas que alguém pressionar no teclado, ver todas as mensagens recebidas ou escritas, todos os “chats”, retirar/modificar/apagar qualquer ficheiro existente no disco, receber relatórios sobre tudo o que o utilizador faz e respectivas passwords, etc. A lista é quase infindável. Verifiquem por exemplo o “Spector pro”.

http://pls.mrnet.pt Segurança e Internet, Página 61
http://pls.mrnet.pt Segurança e Internet, Página 61

Quer experimentar com um computador seu? É só ler os reviews e comprar. Seja um Mac ou Windows há escolhas para todos os gostos.

A maioria destes programas permite correr em modo “escondido” ou

“com avisos ao utilizador” que está a ser monitorizada a actividade do

computador.

Lembrem-se que telefones também são computadores

E naturalmente que não ficam de fora. Neles podemos “naturalmente”

saber onde estão (GPS e/ou triangulação de células), ver todos os sms recebidos ou enviados, ver listas de chamadas feitas ou recebidas, ouvir as conversas, ouvir o som ambiente quando a pessoa não está a usar o telefone, consultar contactos e agendas, ver videos e fotografias, etc.

Exemplos acessíveis e fáceis de instalar:

Fogo, carros e facas de cozinha

Estas aplicações podem ser utilizadas para fins legítimos (controle de menores por exemplo).O facto de conter código que pode potenciar invasões de privacidade graves (eu diria totais) não implica que seja usado para esse efeito. Com estes programas é extremamente simples fazer muitas coisas “boas e más”. Trata-se de uma ferramenta, como tantas outras é nas mãos de quem a usar que está o poder de fazer bom ou mau uso da mesma. Os carros matam que se fartam, o fogo é lixado, as facas de cozinha são letais se usadas contra alguém.

Pense duas vezes antes de instalar estes programas em qualquer computador ou telefone que seja utilizado por outra pessoa (cônjuge, colegas de trabalho, crianças, etc). Para além das implicações éticas e legais de o fazer, a quebra de confiança que uma acção dessas implica provavelmente será irreparável, e arrisca-se a não gostar do que vai ver.

Tudo o que aqui menciono não só é objectivamente acessível a qualquer pessoa (que pague para as usar), bem ou mal intencionada, como não exige qualquer “know how” de informática. Não estou a mostrar estas coisas para assustar as pessoas, mas sim para as despertar para os riscos que correm quando não se protegem.

Talvez um “exemplo colorido” ajude a que despertem para a realidade…

Anti-vírus

Este capitulo não é dirigido a “utilizadores individuais”, aos que “pouco ou nada” percebem de tecnologia, aos que não fazem a mínima ideia de como os computadores funcionam, nem querem saber. É sim dirigido a profissionais de TI, hackers (i.e. pessoas que gostam de tecnologia e de perceber como as coisas funcionam) e aos utilizadores “mais interessados” em perceber como as coisas funcionam (mesmo que lhes faltem “as bases” para perceber “tudo”).

Os conceitos expostos são muito simples de perceber. Não é preciso serem génios. Já aplicar no terreno as soluções e lidar com as ferramentas é outra conversa, e não é para todos. Se a maior parte das pessoas que profissionalmente trabalham em tecnologias de informação não percebem patavina de segurança, e não sabem lidar de forma minimamente airosa com os problemas, é completamente utópico pensar que o comum utilizador vai perceber alguma coisa. Restam os hackers (profissionais de TI ou os que estão a caminho disso) para perceber estes textos.

Anti-vírus e o mercado de Mac OS X

Ando a observar os vendedores de anti-vírus (e afins) a tentarem colocar-se no mercado do Mac OS X. Todas as semanas aparecem noticias sobre “o ultimo potencial grande problema de segurança e troiano da moda”. Claro que os “suspeitos do costume” estão por trás de toda a histeria.

Os “press releases” são sempre algo do tipo:

O resultado prático é aparecerem artigos destes em publicações e sites:

O objectivo/agenda é vender assinaturas de anti-vírus, expandir o

mercado ao OS X, e fazer o mesmo que fazem no Windows… ehr… ou seja “quase nada”.

É uma industria de bilhões completamente idiota, feita para proteger

pessoas de fantasmas (quase todos moderadamente inofensivos), da forma mais ineficiente possível, dado que a ideia não é “resolver nenhum problema ou causa da infecção”, mas sim perpetuar o licenciamento (i.e. venda) do “remédio”. De preferência os vírus são “chatos”, detectados e removidos às resmas, sempre com o utilizador a achar que ficou muito “protegido”, e que lhe prestaram um serviço bestial sem o qual a vida não é possível. Chegamos ao ridículo de haver “milhares de vírus que não fazem nada a não instalar-se, propagar-se, e ficar pacientemente à espera da remoção”. Temos outros que originalmente numa data distante “fariam qualquer coisa”, mas o mundo é salvo regularmente por estes paladinos da desinfecção digital.

A Microsoft alinhou no jogo (não me perguntem a motivação!), e até

chateia o utilizador “acabado de comprar o produto deles” (i.e. Windows) para ir imediatamente às compras, dado que falta o “anti- vírus”, com mensagens do tipo “o seu computador está em risco”. A palhaçada chegou ao ponto de o vulgar utilizador do Windows achar que um “anti-vírus” é uma espécie de “extra” obrigatório. Porque é que isto acontece? Sigam o dinheiro ,

De volta ao básico (virus 101)

Um vírus é um programa de computador que se propaga (i.e. se copia e instala), e como qualquer organismo equivalente fora do mundo informático, tem que ter uma estratégia de sobrevivência (evitar detecção e remoção). Os que se propagam de forma “pouco eficiente” dão mais tempo a que medidas de detecção existam e impeçam a dita propagação, os que tiverem más estratégias de sobrevivência estão mais expostos e consequentemente são mais susceptíveis de serem eliminados.

Vamos imaginar que o vírus faz algo que “dá nas vistas” (i.e. coloca em risco a sua estratégia de sobrevivência por ser detectado); formata o computador, faz efeitos visuais perceptíveis pelo utilizador, crasha o sistema torto e a direito, comunica para outros sistemas enviando informação. Tudo o que dá “nas vistas” coloca em causa a sobrevivência do próprio vírus. Tudo o que coloque essa sobrevivência em risco diminui a probabilidade de se multiplicar “mais vezes”.

O compromisso ideal para um vírus é portanto ser ultra-discreto e

multiplicar-se de forma eficiente (durante tanto tempo quando possível).

O que os anti-virus tipicamente fazem é “monitorizar a rede” (i.e.

firewall), que executáveis comunicam, para onde e em que ports. Fazem também a pesquisa “por assinaturas” (i.e. conjuntos de bytes) que permitam identificar um padrão previamente associado a um vírus (é essa a origem das “definições e actualizações” constantes das “bases de dados”, que correspondem ao serviço “assinado” pelos clientes, que devem ser utilizados perpetuamente), quer na comunicação, quer nos ficheiros em disco (i.e. daí os “scans” ao disco, para ver se encontram em ficheiros os ditos padrões).

Esta metodologia não faz qualquer sentido, é a pior abordagem possível para se segurar um sistema informático, serve apenas para perpetuar a venda assinaturas das bases de dados de padrões. Pelo menos enquanto houver “medo” do “bicho seguinte”. O problema começa pelo “funcionamento com base em padrões conhecidos”, que significa que um vírus tem que “chegar aos fornecedores de anti-vírus”, de forma a ser identificado o padrão e distribuída a solução. Ora, eu estranho “a velocidade” a que isso parece suceder (caramba, os vírus chegam lá muito depressa!), estranho a eficiência para determinar um padrão “único” que não se confunda com outros binários e comportamentos, e o facto desta abordagem “tão má” poder ser “tão eficiente” a maior parte do tempo.

Não lhes dá “jeitinho nenhum” que os clientes “com assinatura” sejam infectados, no entanto, e por uma espantosa coincidência constante e quase universal, a maior parte das pessoas com um anti-vírus parece nunca ser infectada ANTES dos vírus chegarem às empresas, serem estudados, e lançado os respectivos antídotos. E enquanto “nada se passa” os fabricantes de anti-vírus parecem estranhamente empenhados em informar o utilizador que as bases de dados foram actualizadas (i.e. está protegido contra mais uma montanha de

germes). Alguns fazem aparecer popups, outros anunciam em alta voz, alguns fazem uns ruídos tipo sonar, lembrando os clientes que o guarda- costas está sempre presente. Quando termina a assinatura, claro, volta

o

Windows volta a queixar-se que o computador está em risco eminente

e

constante.

Estranhamente os vírus parecem estar, há vários anos, com um sério problema de reprodução… é que, para se reproduzirem precisam de sistemas informáticos com problemas de segurança por resolver. Precisam de ultrapassar os normais patches de segurança (actualizações) dos fabricantes dos sistemas operativos, dos autores dos programas, das ferramentas básicas de sistema (como os firewall que monitorizam a comunicação). As janelas de oportunidade para se propagarem são diminutas e relativamente raras. Quando uma se abre

normalmente “dá nas vistas”, é conhecida e tudo quanto é “bichedo” tenta explorar esse canal. Algo que é progressivamente mais complicado (porque os vários sistemas operativos vão evoluindo, bem como as práticas de programação segura).

Para ser muito preciso e claro: sem bugs, defeitos de programação ou de engenharia dos sistemas informáticos, essas janelas de oportunidade não existem. Logo os vírus (e a sua multiplicação/reprodução) só existe em sistemas defeituosos. Corrigido o defeito o “vírus” pode “permanecer” no sistema infectado, mas deixa de se propagar “sozinho”.

Para lidar com esta limitação chata, passámos a ter “vírus” com uma “reprodução assistida”! Usam um “recurso ilimitado” para se espalharem: a estupidez humana. Usam o e-mail, com textos que levem as pessoas a aceder a sites remotos, ou a executar uma aplicação embebida na mensagem, que de alguma forma induza em erro o utilizador. Os anti-vírus lidam com isto, novamente, com a abordagem mais ineficiente possível (bases de dados de sites remotos, que podem estar em constante mutação, logo tornando “a lista” ineficaz com cada infecção) e padrões do executável (novamente provenientes de uma autópsia realizada pela empresa que vende o antídoto, que para isso precisa de receber o mail antes dos clientes).

Qual o papel dos anti-vírus? Bom, a mim parecem-me que partem de uma premissa fatal em termos de ineficiência: precisarem de ser analisados antes de descobrirem os padrões a detectar. Há algum efeito positivo? Há, ninguém é infectado pelas gripes dos anos anteriores, se continuarem a pagar a assinatura. Mas não seria preferível ter os computadores actualizados (i.e. destruir as vias de infecção em vez de “reconhecer” os germes)? Lidar com as limitações humanas de instalar e executar programas “estranhos” ao sistema? Limitando a capacidade de qualquer novo programa de interferir com executáveis e dados (link), processos de bootstraping (link) e automatizando processos de preservação de dados entre acessos (link)?

Para além das más abordagens “normais” (e ineficazes excepto contra problemas previamente conhecidos), depois temos a entrada no reino da completa fantasia, em que alguns produtos se dizem capazes de “detectar vírus futuros”, variando as abordagens entre o completamente imbecil e o totalmente utópico. Mas nem vou entrar em detalhes, bastando dizer o óbvio: no dia em funcionassem eram feitas as ultimas vendas do programa de anti-vírus… ah, sim, é mesmo isso que pretendem oferecer: a destruição do seu próprio mercado. Essas formulas mágicas não existem, e se existissem estavam nos sistemas operativos, destruindo instantaneamente toda a industria de “medicamentos informáticos e banha da cobra digital”.

Cavalos de troia, rootkits e outro malware.

Os nomes “pomposos” são simples de entender, mas devem estudar o que significam.

Cavalos de troia são a versão digital de um engodo que permita ultrapassar a “muralha” e atacar os inimigos a partir de dentro da fortaleza. A diferença para o vírus que manda o e-mail é a “passividade”, o falso programa não envia “coisa nenhuma”, é colocado na Internet e aguarda que o puxem e instalem, fornecendo o utilizador as “credenciais” necessárias ao sistema para ultrapassar a “muralha virtual”.

Um rootkit é um sistema que perpetua a existência de um programa escondido do sistema operativo, não permitindo às normais ferramentas disponíveis visualizar o que está instalado ou a ser executado. Nem todo o “malware” são “rootkits”, nem todos os “rootkits” são “malware”. O software malicioso pode nem estar particularmente escondido, e o rootkit pode ser apenas um sistema de manutenção “escondido pela equipa de TI de uma empresa” para o processo não ser “morto” ou “removida a aplicação” pelo utilizador.

A maior parte das aplicações de anti-vírus são muito parecidas com

rootkits (para evitar que os vírus as removam ou anulem). Muito malware são plugins de browsers (para fazer tracking de utilizadores, apanhar passwords, etc), addons de sistema (drivers de teclados / keyloggers), de video, etc.

Impacto de ter aplicações estranhas no sistema

Eu escrevi há uns tempos um artigo sobre as possibilidades inerentes a ter um rootkit. Basicamente quem instala um rootkit faz o que quiser da máquina. Acrescento só que o Rookit pode correr na BIOS da máquina, no kernel do sistema operativo, e ser absolutamente impossível de detectar pelo sistema operativo. Pode no entanto ser detectado por um sistema externo, desde que se saiba o que devia estar na BIOS e no disco, e se possa comparar com o que lá está. Para os profissionais de IT:

esta é a única forma de assegurar a segurança de uma máquina, saber se alguma coisa foi alterada, e ter a certeza que o sistema entregue corresponde ao que está actualmente a uso. Tudo o resto são fantasias e falsas ilusões de segurança, é lutar contra os problemas conhecidos, fechando os olhos a todos os que forem “novos” (ou feitos de propósito para um alvo especifico, como a sua empresa, e não para ataques genéricos e indiscriminados).

O seu portátil é inspeccionado pelo seu serviço de IT com que

regularidade? Ah! Como nunca? É viver uma ilusão de segurança, perpetuada por pessoas mal treinadas e que precisam de apoio. A culpa disto é a irresponsabilidade em cadeia, as promessas vazias de muitas empresas “de segurança”, que parecem resistir a tudo menos… 10 minutos de investigação: http://blog.webroot.com/2011/09/13/ mebromi-the-first-bios-rootkit-in-the-wild/ , http://

Soluções reais em vez de doces ilusões

- Os sistemas precisam de monitorização externa. Investiguem o

Tripwire e percebam que é fundamental ser capaz de detectar alterações em sistemas, em particular saber o que é “a normalidade” (i.e. que binários existem) para se poder detectar quando algo muda. A monitorização começa na BIOS e termina no mais recente documento editado pelo utilizador. Todos os sistemas operativos (isto não tem nada a ver com ser Windows, linux ou Mac) precisam de ser conhecidos. A regularidade das alterações define a velocidade a que é descoberta toda e qualquer modificação. É importante que existam pessoas na vossa organização (ou contratadas) para aferir dados caso sistemas sejam alterados. NÂO SE PROCURA POR PADRÕES CONHECIDOS DE VIRUS E MALWARE MAS SIM POR QUALQUER MODIFICAÇÃO AO QUE SABEMOS QUE DEVIA LÁ ESTAR.

- Os sistemas de firewall são absolutamente vitais (assegurado que correm em cima de um kernel e stack de tcp/ip saudável e não adulterado) para evitar qualquer comunicação por binários não explicitamente autorizados.

- O sistema operativo deve ser preservado num filesystem read only.

Caso não saibam há discos com switch de hardware (read only / read write) que complementam uma BIOS e kernel saudáveis. As áreas de escrita devem ser limitadas (swap, directorias temporárias e áreas de utilizadores).

- Os binários que correm no sistema devem ser assinados digitalmente e

sandboxed/chrooted ou correr em ambientes virtualizados e isolados. É toda a gente tão rápida a usar virtualização nos sistemas de backend e depois esquecem-se dela nos computadores que toda a gente usa. O impacto de qualquer vírus ou troiano em sistemas de chroot/sandbox/ virtualizados é próximo de nulo. Se o sistema só corre binários assinados digitalmente é extremamente complicado de ultrapassar,

mesmo com a tal “ilimitada disponibilidade humana” para fazer disparates.

- O sistema operativo deve assegurar versões de dados (i.e. todas,

sempre que um ficheiro é modificado) e roolback de preferência sincronizada em servidores externos. Ainda não foi assimilado pela maior parte das empresa que deve existir uma clara separação entre dados e executáveis. Os dados devem ser dissociados de máquinas particulares e sincronizados para os servidores da empresa (pensem numa “Dropbox” privada, com encriptação forte, capaz de assegurar que em qualquer local onde o utilizador faça login estão os seus dados disponíveis).

- Os sistemas de DNS devem ser monitorizados e autenticados. Bloqueado todo o tráfego para outros servidores.

- Os sistemas de e-mail devem ser monitorizados e autenticados. Bloqueado todo o tráfego para outros servidores.

- As cadeias de certificação (de certificados digitais) devem estar em suportes read only.

- Os browsers não podem estar desactualizados (nem um update que seja: espreitem o chrome e a próxima versão do Firefox para descobrirem sistemas de auto-update automáticos).

- Os sistemas de backup devem ser automáticos, transparentes, e

testados regularmente pelos utilizadores (o “time machine” do OS X ligado a uma “time capsule” é um bom exemplo para seguirem), podendo estes fazer “roolback” para qualquer versão de qualquer documento, aceder ao que foi apagado, etc. Estas funcionalidades estão disponíveis em sistema de cloud storage (e as empresas podem criar os seus ou utilizar sistemas “off the shelf”).

A ignorância cura-se, os maus procedimentos mudam-se, mas para isso

é absolutamente fundamental que liguem o cérebro e ponham a mão na consciência. Todos, de profissionais de TI a gestores. O pior erro que podem cometer é não pensarem sobre o que fazem e usam todos os dias.

O sucesso dos programas de anti-vírus e respectivas assinaturas em

empresas diz muito sobre a real dimensão do problema…

Quanto a particulares… bom, não vejo que se possa fazer alguma coisa, é tecnologia que não percebem, e é natural que estejam num beco sem saída. Antes com anti-vírus contra as maleitas “conhecidas” que sem eles (e nenhum outro tipo de segurança). Usem os gratuitos. Vai dar ao mesmo.

Para quem tem Windows (particulares)

- Usem o Open DNS.

- 99.9% dos vírus/troianos que podem “apanhar” seguindo links de e-

mail, ou páginas na Internet, estão relacionados com software instalado no vosso computador que não está actualizado, esse é o principal problema (via de infecção), pelo que é a primeira prioridade a resolver. Instalem o “Secunia personal scanner” (http://secunia.com/ vulnerability_scanning/personal/) que vos ajudará a perceber o que está no vosso computador desactualizado e representa uma vulnerabilidade.

- Mantenham o flash e Java desligados excepto para sites em que implicitamente confiam. No Chrome existe a funcionalidade equivalente nas preferências (liguem a dita cuja). Evitem usar o IE caso não tenham acesso à ultima versão disponível (visto que a Microsoft não permite usar a ultima versão em instalações antigas do Windows), recomendo que usem o Chrome (ou o Firefox, Safari, Opera, desde que tenham um plugin que permita desligar por defeito o Java e Flash excepto para os sites que autorizarem).

- Escolham e dominem um bom firewall (http://

www.techsupportalert.com/best-free-firewall.htm). O importante é que vos permite escolher que aplicações comunicam com o exterior, por defeito bloqueie todas excepto as que autorizarem explicitamente, e percebam quando algo de “novo” e “anormal” está a tentar estabelecer ligações com o exterior ou a tentar contactar a vossa máquina.

- Façam backups tão regulares quanto possível (nas empresas isto é

facilitado por boas práticas impostas por bons administradores de sistemas profissionais, os particulares precisam de as substituir com

alguma disciplina pessoal).

- Ao contrário do Mac OS X (em que não existe um histórico de vírus:

nenhum, zero, zilch, batatoides), no Windows é importante estarem protegidos contra infecções do passado (e para isso os anti-vírus com a sua abordagem completamente idiota até “servem”). Utilizem um anti- vírus gratuito e sem interesses comerciais (i.e. que não tenha interesse em vos vender coisa nenhuma). Não recomendo que usem nenhuma ferramenta que tenha um “interesse implicito” em que comprem uma versão “paga” e para isso ofereçam uma “gratuita” com uma protecção de alguma forma reduzida! Recomendo o ClamWin (http:// www.clamwin.com/).

Para quem tem Macs (particulares)

- Usem o OpenDNS.

- Mantenham o vosso Mac actualizado (especialmente o software da

Adobe e Microsoft que usarem: estas duas companhias sozinhas são responsáveis pela esmagadora maioria de problemas de segurança do Mac OS X nos últimos anos).

- Mantenham o flash e Java desligados com um plugin (http://

hoyois.github.com/safariextensions/clicktoplugin/). No Chrome existe a funcionalidade equivalente nas preferências (liguem a dita cuja).

- Compre e instalem o LitleSnitch (é um firewall com que muitos conseguirão lidar).

- Façam backups com o Time machine e assegurem-se que são tão regulares quanto possível.

- Se querem um anti-vírus (que não vos vai servir para nada, a menos

que andem a piratear software, e mesmo nesse cenário é mais uma questão de timing da potencial “infecção” que qualquer outra coisa) usem o ClamXav. Que, repito uma ultima vez, não vos vai servir para nada.

O resto não é simples de explicar nem prático para particulares… a próxima versão do OS X (10.8 / mountain lion) suporta de raiz a opção de correrem apenas binários assinados digitalmente e em sandboxes, deve ajudar…

Os comportamentos de risco no Mac são relacionados com executarem ficheiros de origem “questionável” (piratarias, puxados de links que vos chegam em mensagens de e-mail, ou em “falsos sites”). Se não o fizerem não vão apanhar malware nenhum.

Linux Caixa Mágica

O Linux Caixa Mágica é um excelente sistema operativo. Desenvolvido em Portugal a pensar nos portugueses, com suporte e documentação em língua portuguesa, e de distribuição gratuita. Para as empresas nacionais e estado Português, significa a capacidade de usar software nacional, em vez de pagar milhões de euros, a empresas estrangeiras. Existindo uma alternativa nacional, capaz de responder a todos os requisitos necessários para a execução do trabalho é, obviamente, de se utilizar preferencialmente.

Acontece que o Linux Caixa Mágica, a semelhança de tantas outras distribuições de Linux importadas, é mais seguro e mais eficiente (com menores requisitos de sistema) para a esmagadora maioria das missões. A maioria dos postos de trabalho de empresas nacionais ficariam melhor servidas com o Caixa Mágica que com o Windows ou Mac OS X. Há excepções a esta regra, sempre que o software que precisam de correr não esteja disponível, em formato igual ou equivalente, o que não é o caso para a maioria das funções e ambientes empresariais.

Mesmo quando existe uma dependência de algum software “especifico” de outro sistema operativo, faz mais sentido na maior parte dos casos ter o mesmo a correr em máquina virtuais ou usando os serviços “na cloud” da Google/Microsoft, e acessível via citrix, vnc, remote desktop ou um simples browser, que manter múltiplas instalações em máquinas individuais. E faz mais sentido a todos os níveis, incluindo custos de operação e manutenção.

O mesmo se aplica aos disparates (sim, eu considero um disparate

aberrante) como servidores de calendários, e-mail e gestão de contactos “proprietários e incompatíveis com toda e qualquer plataforma excepto

a do fabricante”. Muito “bonito” para quem tem a nostalgia pelos anos

90, mas uma aberração em 2012. Uma aberração cara, complexa de manter, insegura por natureza e pouco flexível. São monos. Opções que

podiam parecer boas no século passado, mas o mundo avança implacavelmente em outro sentido e o Darwinismo na informática é implacável. Comparar os serviços do Google e Microsoft (na “cloud”) com servidores de Outlook é como comparar os Zepplin com aviões modernos.

O mundo mudou. Os serviços do Microsoft/Google na web funcionam tão

bem em Linux como em Windows ou Mac. A diferença são os custos de operação, manutenção e segurança, entre plataformas. Não o que estas podem oferecer, que grosso modo é a mesma coisa, mas quanto custam para oferecer serviços equivalentes. Altura em que recordo que uma plataforma Windows implica também a manutenção de anti-virus, anti- malware, e o tretas afins, que são dispensáveis, só servem para retirar ao nosso computador espaço em disco, memória e CPU, que seria melhor empregues a fazer o que queremos que ele faça quando o usamos. Já para não falar que alguma dessa palha absurda custa dinheiro também.

Instalar o Linux Caixa Mágica

O processo é semelhante ao de instalação do Windows ou Mac OS X.

Escolhemos em que língua queremos os sistema (ao contrário do Windows, que é vendido sem suporte multilíngue), a nossa localização, qual o teclado que temos, o nosso utilizador e respectivo “avatar” ou “fotografia”… É tão simples ou complicado como qualquer outro sistema, as “decisões” e “perguntas” são basicamente as mesmas.

http://pls.mrnet.pt Segurança e Internet, Página 78
http://pls.mrnet.pt Segurança e Internet, Página 78
http://pls.mrnet.pt Segurança e Internet, Página 78
Os requisitos para correr o Linux Caixa Mágica são relativamente baixos (Pentium II a 350Mhz,
Os requisitos para correr o Linux Caixa Mágica são relativamente baixos (Pentium II a 350Mhz,

Os requisitos para correr o Linux Caixa Mágica são relativamente baixos (Pentium II a 350Mhz, 256Mb de RAM, 4Gb de disco). Seguramente mais baixos que os necessários para correr versões modernas do MAC OS X ou Windows. Mas quanto melhor for a vossa máquina mais agradável é de usar o sistema.

A ideia de que os Linuxes são “para as máquinas velhas” deriva do facto de até “funcionarem” de forma agradável nesses sistemas. Mas não há aqui “milagres” ou “voodoo”, os programas que se utilizam são para todos os efeitos os mesmos (ou equivalentes) que nos restantes sistemas operativos (processadores de texto, folhas de calculo, browsers, clientes de e-mail). Mesmo descontando o que se ganha em não estar a correr os “anti-qualquer-coisa-que-no-windows-é-um- problema”, o resto será equivalente em termos de desempenho. Ninguém espere que por estar a correr Linux o “Firefox” seja muito mais rápido que no Windows ou Mac, que isso não faz sentido nenhum.

Notei dois “problemas menores” durante a instalação:

- Resolvi editar o “nome do computador”, em em vez do “V” de certo o

sistema insistia que o nome já existia (e mostrava antes o simbolo de erro ao lado da caixa de edição). Mudando o focus para qualquer outro

campo fazia aparecer o “V”.

- Não consegui tirar a minha fotografia para associar ao login, aparecia um “quadrado verde”, se bem que a câmera do meu portátil foi claramente detectada (como se percebe pela imagem exposta neste artigo).

Nada de especial, mas preferia obviamente não ter tropeçado em nenhum dos dois. Não conheço a metodologia de testes antes do lançamento de cada versão, mas pareceram-me problemas que até deveriam ser relativamente simples de detectar. O da fotografia até pode estar relacionado com o meu hardware especifico, mas a validação visual do nome da máquina deve ser universal. Se calhar poucas pessoas se preocupam com os nomes das máquinas e os alteram durante a instalação e escapou aos testes de qualidade…

Todo o processo de instalação é “gráfico”, agradável e tão rápido quando o vosso computador permitir. Conta para um melhor desempenho na instalação primordialmente a velocidade do leitor de CD ou DVD, e em

menor escala a velocidade de escrita do disco rígido de computador, CPU e memória disponíveis. No meu caso demorou cerca de 15 minutos a instalação.

Utilização no dia a dia

Eu sou um utilizador de Mac OS X, que a par do Windows, são sistemas comerciais extremamente “polidos”. A produção é cuidada até ao mais pequeno detalhe, e menos não se esperaria de software comercial (e relativamente caro). Linux Caixa Mágica não fica atrás. E na instalação de base temos muito software bem escolhido e totalmente funcional, algum dele não existe nas distribuições dos sistemas operativos comerciais (tendo que ser instalado no Mac ou Windows). Ao contrário do Mac e do Windows há também uma apreciada ausência de lixo; demos que não servem para nada e aplicações completamente inúteis.

Vamos então ao básico para se ter uma ideia geral do que podemos encontrar assim que termina a instalação:

Suporte a redes sociais (incluindo Facebook e Twitter). Algo que confesso não estava à procura ou à espera de encontrar (eu utilizo as redes sociais no browser).

à espera de encontrar (eu utilizo as redes sociais no browser). http://pls.mrnet.pt Segurança e Internet, Página

É uma agradável surpresa ver que para quem “vive” estas coisas de forma diferente há bom suporte “extra” no Linux Caixa Mágica.

Estava tão habituado a olhar para o Linux como plataforma de servidores que não tinha nenhuma expectativa de ver este suporte para uso em máquinas de Desktop.

de ver este suporte para uso em máquinas de Desktop. Com o sistema é instalado o

Com o sistema é instalado o LibreOffice (que é equivalente em termos de funcionalidade ao Office da Microsoft).

Ao contrário das

plataformas

comerciais (Mac OS

X e Windows) está

pronto a funcionar desde primeiro arranque do sistema. Para ter uma ideia de como funciona pode instalar o mesmo no Windows/Mac: http:// www.libreoffice.org/

O sistema não pretende ser “igual” ao Office da Microsoft. É parecido, e

igualmente capaz, em termos de funcionalidade. Só que custa 0 euros, e

quando compra o Office da Microsoft está a enviar centenas de Euros para fora de Portugal. Tudo porque muita “flor de estufa” prefere estar endividada até ás orelhas e ter o país (e empresas) arruinadas a “adaptar-se”. Desculpem a franqueza mas não consigo ser simpático relativamente a prima-donas, muito menos relativamente aos seus patrões e chefias.

Na Mr.Net foi usado o OpenOffice durante anos. Nunca nos impediu de fazer propostas, apresentações e relatórios. Pouparam-se milhares de

euros em licenças, que revertem para investimento em pessoas e no nosso futuro.

que revertem para investimento em pessoas e no nosso futuro. Integrado no sistema está um repositório

Integrado no sistema está um repositório de aplicações adicionais para download e instalação, bem como um sistema de gestão de actualizações automáticas, que alerta o utilizador e permite manter o sistema sempre actualizado.

Puxei um gestor de passwords (Gorilla) que foi das poucas componentes que considero “essenciais” que não estava incluída na instalação de base.

A oferta não é particularmente “rica”, mas é perfeitamente adequada à maior parte das necessidades de um computador para uso profissional.

Não foi esquecido o suporte a gestores de multimédia integrados no sistema. Bem como players para todos os formatos comuns. Até suporte

a Torrents com o “Transmission” está disponível na instalação de base do sistema. Mais uma vez confesso que não estava à espera.

do sistema. Mais uma vez confesso que não estava à espera. Mas vamos ao que são
do sistema. Mais uma vez confesso que não estava à espera. Mas vamos ao que são

Mas vamos ao que são as minha ferramentas preferidas: Firefox, Skype, Mozzila Thunderbird. Todos disponíveis na instalação de base do sistema e prontos a usar (estes três e um bom “terminal”, que está igualmente disponível, são as minha principais aplicações em Mac OS X).

O Firefox vem com suporte a Flash e Java pré-instalado e 100% funcional. À semelhança

O Firefox vem com suporte a Flash e Java pré-instalado e 100%

funcional.

À semelhança do

Windows e Mac OS X estão disponíveis alguns joguinhos clássicos na instalação de base. Sudoku, jogos de cartas, e até um clone do Puzzle Bubble

Sudoku, jogos de cartas, e até um clone do Puzzle Bubble Entre os “extras” que podemos

Entre os “extras” que podemos puxar estão múltiplas ferramentas de desenvolvimento nas mais diversas linguagens de programação, pelo que tenho tudo o que preciso para um computador de qualquer quadro da empresa. Dificilmente o mesmo deixa de ser verdade para a esmagadora maioria dos posto de trabalho em Portugal.

Qual é exactamente a lógica de se pagarem milhões à Apple e Microsoft? Para a maioria dos casos não há nenhuma lógica. Nenhuma boa desculpa para a maioria dos computadores em Portugal, em empresas Portuguesas, não correr o Linux Caixa Mágica. Há casos em que se justificam outras opções mas não são seguramente a maioria.

O que há é muita gente estúpida, que não percebe o potencial do que lhe passa à frente do nariz, com aversão a mudanças, mesmo quando essas mudanças significam ter melhores salários, tornar as empresas mais competitivas e capazes de empregar mais gente. Faça as contas. O custo de software de um parque informático é significativo. A Mr.Net e várias outras empresas nacionais, incluindo a própria Caixa Mágica, dão suporte e apoio aos processos de migração. Tenham juízo e parem de mandar dinheiro para os estados unidos.

Rezam os mitos urbanos que “mudar da Microsoft ou Apple” para tecnologias livres e gratuitas” é “proibitivo”, porque o “custo de gestão da mudança e apoio aos utilizadores” é enorme (aquilo a que pomposamente chamam o “cost of ownership”) é completamente estúpido e desprovido de lógica.

Todas estas ferramentas (Firefox, Thunderbird, Skype, libreOffice, etc) podem ser usadas em Windows/Mac (e algumas já o são em muitas empresas). A diferença é que “a gerir as janelas” está um sistema operativo sem vírus, malware, e afins. Mais eficiente, mais simples de administrar e mais robusto.

Está na hora de planear a mudança e acabar com as parvoíces da informática em que tudo está preso por arames. Computadores com browsers desactualizados (a quantidade de IE 6, 7 e 8 em empresas é assustadora, mais de metade do planeta está a usar browsers com mais de duas versões de atraso relativamente ao que a própria Microsoft lançou), sistemas operativos inseguros e programas de e-mail arcaicos (como o Outlook).

A ignorância de profissionais da informática, e as más escolhas que

fizeram no passado, é algo que se anula, com formação e educação. Se insistirem em andar a caçar bruxas e mandar dinheiro pela “janela” (pun intended) sugiro às organizações que troquem de profissionais. tem que haver limites para a incompetência. Há vários putos novos mais baratos, com mentes abertas e capacidade de aprender coisas novas a sair das nossas faculdades. E em tempo de crise são mais baratos.

A

minha recomendação estratégica

O

Linux Caixa Mágica não pode deixar de ser a minha recomendação

de sistema operativo para o Desktop da maior parte das empresas nacionais. Porque tem suporte profissional e documentação em Português, prestada por técnicos Portugueses, porque é mantido por uma empresa nacional, e porque tem a qualidade necessária para justificar a minha recomendação pessoal.

Eu não gosto particularmente de Linux pessoalmente, por vários motivos, nenhum deles relacionado com a capacidade do sistema de desempenhar as tarefas para as quais eu o proponho. O que eu não gosto está relacionado com a documentação dos sistemas, procedimentos de administração e actualização, em que prefiro outros sistemas Unix (como os *BSD). Quando me ouvem dizer que não gosto particularmente de Linux, estou a referir-me a aspectos técnicos que são “invisíveis e irrelevantes” para a maior parte dos utilizadores e administradores de sistemas.

O Linux Caixa Mágica é uma delicia. Em vários aspectos roça a

excelência. Não o recomendo por representar uma alternativa “mais barata” às ofertas comerciais da Microsoft e Apple, recomendo sim por

ser uma alternativa melhor ás ditas ofertas. Melhor por ser mais seguro, melhor por ter uma melhor selecção de software na instalação

de base, melhor por essa instalação de base poder adequada à medida de cada empresa (por ser “open source” e por haver em Portugal bons técnicos capazes de o fazer para si).

em Portugal bons técnicos capazes de o fazer para si). Durante anos o Linux (e outros

Durante anos o Linux (e outros sistemas Unix) passou ao lado do sucesso no Desktop. Porque

a Microsoft e Apple tudo

fizeram (e fazem) para o desacreditar (uns de forma mais subtil que outros), protegendo os seus interesses e agenda. Isso não impediu que o Linux esteja por trás da esmagadora maioria dos sites que visita, dos motores de pesquisa que utiliza, nos telefones mais populares, nos routers que o ligam à Internet e lhe proporcionas redes wireless em casa e no escritório.

e lhe proporcionas redes wireless em casa e no escritório. A melhor tecnologia no entanto é

A melhor tecnologia no entanto

é muito difícil de travar, em

particular quando cai nas mãos de técnicos competentes, e hoje em dia os sistemas Unix estão por trás do Mac OS X, iPhones,

iPads, Androids, Google, Skype.

É uma guerra impossível de

ganhar a médio e longo prazo, por muito dinheiro que se gaste em lobbies, por muito esforço que se faça de evangelização de professores universitários, CTO’s de empresas e políticos. É por isso que assistimos à Microsoft a

usar Linux para expandir a sua rede de Skype, á Apple a usar Unix nos seus sistemas operativos (em computadores e telefones).

Não se trata de “poupar dinheiro”, mas sim de melhorar substancialmente os sistemas informáticos de que depende, aumentar drasticamente a segurança e fiabilidade dos mesmos, poder ter os mesmos sempre actualizados com o que de melhor a tecnologia lhe pode oferecer, e poder usufruir desse curioso efeito colateral de custar menos dinheiro.

A informática sofre ainda os efeitos de ser uma industria nova, pouco

regulamentada, em que os conceitos de garantia aplicáveis, e responsabilidade dos fabricantes, estão por passar para legislação. É em tudo semelhante ao que se passou com quase todas as novas industrias. Este período, que me parece estar a chegar ao fim, permitiu construir fortunas imensas, vendendo produtos sem qualidade a um publico desprotegido e ignorante. Não leve a peito a expressão “ignorante”, isso cura-se, todos o somos em quase todas as áreas do conhecimento.

Mas já lidamos com computadores diariamente há uns anos. Não estará na altura de ligar o cérebro e exercer algum espirito critico relativamente às nossas escolhas e resultados que produziram ao longo dos anos? Durante quanto tempo vai usar um anti-algo-que-é-um-

defeito-de-fabrico no seu sistema operativo? Durante quanto tempo vai comprar software sem exigir garantias e responsabilidade? Durante quanto tempo vai conviver com a mediocridade? Ainda não é óbvio para

si que tem que haver limites para a quantidade de disparates que as

pessoas a quem compra software podem fazer à sua custa?

A minha empresa há anos que se dá ao cliente garantia sobre defeitos de

fabrico do software que se produz. É chato durante anos ter a obrigação que resolver os disparates que fazemos e corrigir produtos defeituosos? É. Assim é mais difícil ganhar dinheiro, mas olhamos as pessoas olhos nos olhos e temos brio profissional e orgulho no que fazemos.

As coisas de que não gosto particularmente

O Gnome 3 (gestor de janelas) é “estranho mas entranha-se” (um bocadinho como a coca-cola) e é particularmente bonito e funcional. Questiono-me se a opção por diferentes ambientes de janelas faz sentido (kde, gnome, etc). Focar esforço em um dos ambientes gráficos, sem complexos, parece-me melhor opção. Haver diferentes ISO’s para cada ambiente gráfico também me parece ser uma opção “popular entre distribuições de linux” mas infeliz.

Pessoalmente (e profissionalmente) preferia uma orientação diferente para o caixa mágica: uma distribuição com menos aplicações (estão lá todas as que quero: Firefox, Thunderbird, etc), mas há muitas mais que dispensaria. Preferia que fosse usado o excelente sistema de instalação de software adicional para “quase tudo” o que não é propriamente uma componente do sistema operativo.

Tenho a noção que a Microsoft e Apple habituaram os utilizadores a que esteja “sempre instalado por defeito” um “browser”, programa de e- mail, calculadoras, uns quantos jogos, programas de multimédia, etc, etc, etc. Percebo por isso a opção de usar as “mesmas armas” para cativar corações de potenciais utilizadores. No entanto não é, no meu entender, a abordagem mais correcta.

Por ser um sistema aberto (open source) e de distribuição livre, podemos criar uma distribuição tão “limitada e simples” como o “Google Chrome OS”, ou tão “cheio de tralha” como o Windows ou Mac OS X. O que gostaria era de ver o Linux Caixa Mágica tornar estas escolhas mais simples de executar na prática (i.e. a partir das imagens que distribuem no site).

Entendo as opções tomadas, mas questiono-me se estão suficientemente

“focadas” no que me parece ser o mercado profissional

parecem feitas à medida de um mercado que tradicionalmente usa pouco o Linux: utilizadores domésticos. É na minha opinião um erro.

porque me