O modelo de segurança do (insira seu sistema aqui) não funciona

Conforme o Moardib bem colocou alguns posts atrás, o modelo da Microsoft é uma peneira, por dar ao usuário comodidade demais. Acostumou-o mal. Por outro lado, modelos de segurança como o Unix e derivados são considerados restritivos demais. Um usuário não ter acesso a um diretório por não estar logado como root? Pessoas comuns não têm essa percepção e dificilmente achariam isso prático. É um problema? Sim. Resolve e torna o sistema realmente seguro? Não.A EDUCAÇÃO é a primeira grande solução. Com uso de mais neurônios ninguém cairia em golpes manjados como cartões do humortadela, mensagens “veja as fotos da Sandy com o cavalo”, etc. Só que com o advento dos exploits mais espertos, sejam os que usam falhas em bibliotecas como JPEG e similares, o simples ato de visualizar uma imagem pode ser danoso.

Assim como é danoso acreditar em dogmas que determinam a infalibilidade do que quer que seja. A argumentação principal dos usuários Linux é que com o modelo de segurança do sistema, somente os dados do usuário ativo seriam afetados. Aplicações malignas ficariam restritas. Isso não é verdade, como veremos adiante.

Primeiro: O que vale mais, seus dados ou o sistema operacional?

Na pior das hipóteses, coloco o CD de instalação, um filme no DVD e deixo rodar. Já meus dados… céus.. tenho um HD externo, backups em dois sites e mesmo assim não me sinto seguro. São meus bens mais valiosos. Qualquer sistema que não mantenha meus dados seguros não é seguro o suficiente.

Qualquer programa que você baixe e rode vai herdar as suas permissões de segurança, não há nada de mágico ali. Você está dando essas permissões ao clicar duas vezes. Nas versões recentes do XP, os programas baixados assumem uma permissão abaixo do usuário normal, gerando um prompt de alerta bem feio. Mesmo assim, não importa quantas mensagens o Windows mostre. No final, VAI ser executado.

Que ele só contamine/apague/moleste o que está no /home ou no “My Documents” já é dano demais pra mim. Precisamos de outro modelo de segurança.

Só que a coisa ainda piora.

Segundo: O modelo não é à prova de balas

A velha afirmação de que o modelo hierárquico do Unix é proteção infalível para o usuário nunca foi levada a sério nos círculos de segurança de software. Uma simples pesquisa no Google por “Privilege Escalation” já joga por terra essa lenda urbana. Há muitos, muitos bugs onde aplicações malignas podem executar com nível mais alto que o usuário que as chamou, algumas como ROOT, vide este bug idiota no cron da aplicação Vixie Cron do Gentoo Linux.

Recomendo a todos que querem uma visão mais realista do estado da segurança no mundo online, uma visita a sites como o Security Focus, onde você pode escolher seu sistema/fornecedor preferido e ver quantos bugs relativos a segurança já foram catalogados.

Também são hospedeiros da Bugtraq, a lista mais famosa sobre segurança, preferida pelos os hackers E engenheiros de software.

Ontem mesmo a TechWeb noticiou de um novo cavalo de tróia para MacOS, capaz de contaminar E executar aplicações com nível de ROOT.

TODO sistema tem que estar atualizado, de preferência com suas ferramentas de update no automático. Usuários de Linux ganham aqui, pelo modelo centralizado, os usuários Windows só contam com atualizações automáticas do sistema operacional, as aplicações são soltas demais. Demandam um certo comprometimento do usuário com segurança, mais uma vez o elo mais fraco dessa corrente.

Como recomendações posso sugerir:

  • Rode menos, porém melhores aplicações. Cuidado com os programas muito populares mas com péssimo histórico de segurança, como os eMules da vida.
  • Tire uma hora por semana para atualizar seus programas que não estejam no automático
  • Assine os boletins de atualização/segurança dos desenvolvedores dos programas que você usa. Blogs no RSS também são uma boa
  • Faça Backup do que é realmente importante (inclusive das fotos da Sandy). Use encriptação se for o caso, mantenha-o online, em um gdrive ou similar. DVD-RW é uma opção.
  • Se for visitar sites suspeitos, use um programa de virtualização, como o VMWARE. Isso irá efetivamente protegê-lo, enquanto você mantiver a aplicação baixada dentro da “caixa de areia” da virtualização.

[original em: http://www.meiobit.com/arq/008129.html]

Anúncios

Deixe um comentário

Arquivado em Geral

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s