quarta-feira, 27 de abril de 2005

----------
VÍRUS •
----------

> Cara Inês, ao contrário do que diz o Fernando Costa, NAO existe um
> único vírus para Mac OS X. Mas o Fernando é do dark-side. No offense,
> mas a paranóia é criada por vocês.
>
> Existiam alguns para a geração anterior (6-9). Julgo que o problema se
> deve com uma má concepção das diferenças entre vírus, worms, trojans e
> malicious macros. A própria noção de vírus implica código executável
> que não se executa sozinho. É necessário uma aplicação host infectada
> ser executada para que esse código se "cole" a outras aplicações na
> máquina. Um vírus não existe enquanto entidade autónoma e muito menos
> em mensagens de mail. Não existe semelhante coisa.
>
> Todos recebemos TROJANS por email. Não importa o tipo de malware que
> está lá dentro, importa que se se trata de algo concebido para enganar
> o utilizador a executar, é um TROJAN! O que nos salva é o facto de
> esses binários executáveis disfarçados serem compilados para
> processadores da família do dark-side. Ou seja, nenhum PowerPC
> (g3,g4,g5) percebe sequer que aquilo é para executar. E mesmo que
> percebesse, não entenderia as instruções. É esta a razão pela qual o
> Word para Windows não funciona no Mac. Se esses vírus funcionassem no
> Mac, também o próprio Windows funcionaria.
>
> Avancemos para os vírus Macro. Os programas da suite Office possuem uma
> capacidade (feature para alguns, bloatware para mim) de interpretar uma
> linguagem - VBScript. Esta linguagem é utilizada para criar macros nos
> vários programas. O que acontece é que ela só é compilada no momento da
> execução. Num PC, é compilada para criar instruções dark-side, e num
> Mac para criar instruções PowerPC. Daí o mesmo script funcionar num
> lado e no outro. Ora se alguém escrever um script malicioso que apague
> os conteúdos do disco, ele vai ser executado quer no Mac quer no PC,
> mas agora vem a parte engraçada. Um Mac percebe a instrução de apagar
> ficheiros mas não sabe o que é o "C:\". A questão pode ser descrita
> desta forma para não ser muito técnico.
>
> O essencial é perceber que a existência de vírus ou qualquer tipo de
> malware para Mac, linux, unix, solaris não é uma impossibilidade, mas o
> universo de pessoas que usam estes sistemas é de tal forma pequeno
> quando comparado ao dark-side que não é aliciante criar malware para
> estas plataformas. Além disso estes sistemas existem há DEZENAS de anos
> e nunca foram criados vírus consistentes (apenas proof-of-concept) para
> eles.
>
> E como o seguro morreu de velho, aconselho algumas práticas que
> substituem de todo a utilização de anti-vírus quer em Mac quer em PC
> (uso-os no trabalho e não apanho vírus. não tenho AV nem no pc nem no
> Mac).
> 1 - NUNCA NUNCA NUNCA abrir nada que chegue poe e-mail de pessoas
> desconhecidas.
> 2 - NUNCA NUNCA NUNCA abrir nada que chegue por e-mail de pessoas
> conhecidas sem confirmar do que se trata.
> 3 - NUNCA NUNCA NUNCA abrir aplicação desconhecida sacada da net sem
> confirmar a assinatura disponível no site do fabricante (geralmente
> MD5).
> 4 - PCS: NUNCA NUNCA NUNCA ligar o pc à net antes de desactivar o file
> and printer sharing for microsoft networks logo após instalar o
> windows. Pode-se deixar o client for microsoft networks. Aliás é
> absolutamente anti-natura ter uma workstation a partilhar recursos. É
> para isso que existem file e printer servers. Coloca-se lá para todos
> acederem.
> 5 - Windows não é perfeito por isso: NUNCA NUNCA NUNCA ligar o pc à
> net sem ligar a firewall. Não conheço nenhuma decente para windows
> porque tendem a funcionar sobre aplicações e não sobre a stack em si. O
> ideal é controlar o que pode entrar (nao me preocupa o que sai porque
> parto do principio nao estar infectado) por porto. Se não existir
> nenhum serviço na máquina, FECHA-SE TUDO SEM EXCEPÇÃO. A maior
> inbecilidade que existe no mundo informático à face da terra é a
> quantidade de serviços pré-activados no Windows logo após uma
> instalação.
>
> Isto cobre quase todos os pontos de entrada. Se pegar no conceito de
> net como fonte dos binários e a mudar para cds, dvds, disquetes,
> flashdisks, então cobre tudo.
>
> Isto protege a integridade dos binários que correm e entram na máquina.
> Os dados podem ser atacados de mil e uma maneiras, todas elas falhas do
> Windows, dos próprios protocolos base TCP e IP. Não considero útil
> tomar medidas preventivas quando não se tem nada que alguém queira a
> ponto de perder dias a tentar roubar, mas ficam algumas ideias.
> 1 - NUNCA NUNCA NUNCA inserir dados pessoais (visas incluídos, duh) em
> sites não seguros. Encriptação SSL 128 bits é o MINIMO DOS MINIMOS.
> 2 - NAO CONFIAR NUNCA em sites desconhecidos ou com pouca
> credibilidade que (como se não bastasse) tenham certificados
> auto-emitidos ou cuja authority não seja reconhecida pelos root
> servers. Esta é difícil de explicar mas se o browser lhe mostrar um
> avisso de problemas com o certificado e não conhecer o site/empresa ao
> qual está a aceder, NAO O USE.
> 3 - VERIFICAR SEMPRE se os avisos de certificados são do tipo "ESTE
> SITE TINHA CERTIFICADO X MAS AGORA TEM Y. NAO ERA ISTO QUE EU TINHA CA
> GRAVADO. QUER CONTINUAR". SE isto acontecer aborte imediatamente e
> confirme telefonicamente com a empresa/sistema utilizando um número
> existente numa fonte credível (flyer, televisão, páginas amarelas) se
> realmente passou a Y. Tem havido uma crescente de ataques MITM deste
> tipo sobretudo na rede netcabo.
> 4 - PESSOAL DA NETCABO, VERIFIQUEM QUAIS OS IPS QUE VOS ESTAO
> ASSIGNADOS. Confirmem com a Netcabo, em caso de dúvida, se aqueles IPS
> são da rede netcabo. IPS de classes non-routed (10.x.x.x, 172.16-32,
> 192.168.x.x) NAO SAO ATRIBUIDOS POR ELES e resultam de ataques
> DHCP-MITM (basicamente alguém montou um server dhcp e a vossa máquina
> apanhou um ip atribuido por ele em vez do da netcabo, o que implica que
> o vosso tráfego passa por ele e pode ser "vasculhado").
> 5 - PESSOAL COM REDES WIRELESS, ENCRIPTAÇÃO É O PRIMEIRO MANDAMENTO.
> WEP é muito muito mau, WPA é bom. Não usem palavras do dicionário como
> pass. Bom bom é aceder a uma rede wireless com WPA, uma pass tipo
> mkpasswd (numeros, letras e simbolos) só para ter um ip. Para aceder ao
> que quer que seja, VPN com encriptação (PPTP, L2TP/IPSEC, OpenVPN) e
> autenticação. Se têm informação mesmo sensível, epá a RSA é amiga e tem
> sistemas de one-time tokens (securID, etc) muito bons.
>
> Cumprimentos,
> Filipe Varela

Sem comentários:

Enviar um comentário