Fonte: Altieres Rohr*
Especial para o G1Colunista responde às perguntas de leitores sobre segurança. Também tem dúvidas? Os comentários estão abertos; participe.
Este pacotão responde mais três dúvidas deixadas por leitores da coluna Segurança para o PC: como impedir que arquivos do disco sejam lidos por um LiveCD? É possível dizer que um antivírus é melhor do que outro caso ele detecte pragas no PC em um exame realizado após outro antivírus já estar em operação? Por que a janela de confirmação do Java é ruim? Confira as respostas.
Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.
>>> Impedindo a leitura de arquivos via boot por CD
Eu uso o Windows e verifiquei que posso alterar todos os arquivos do meu PC dando um boot com um LiveCD do Ubuntu Linux. Pressionando F11 (em alguns é F12), é possível escolher o disco de boot, não é mesmo? Pois bem, como eu desabilito essa opção?
Wagner
Se arquivos não estiverem criptografados no disco, não é possível protegê-los da leitura por quem tem acesso físico ao PC. (Foto: Divulgação)
É isso mesmo: iniciando o computador com um LiveCD do Linux, você terá acesso a todos os arquivos armazenados no disco, inclusive aqueles que estão em contas de usuário administrativas protegidas por senha.
Isso não acontece porque o Linux explora algum tipo de falha de segurança. O que impede o usuário de ler o arquivo de outra conta no Windows é o próprio sistema. Não existe nenhuma alteração nos dados armazenados no disco. O Windows é “educado” e respeita a regra de não abrir o arquivo. O Linux, é claro, não precisa seguir as mesmas regras.
Isso nos leva à sua pergunta: você geralmente pode impedir o sistema de iniciar com outras mídias, alterando as configurações no Setup da BIOS. Ele pode ser acessado com a tecla DEL (mais comum), F2 ou outras, dependendo do modelo da placa-mãe. Basta pressionar repetidamente o botão enquanto o computador estiver ligando e você terá acesso ao Setup.
Lá, você pode escolher quais mídias serão usadas para iniciar o computador – disquete, pendrive, CD-ROM, rede. Mas, assim como você pode trocar, outra pessoa também pode. Então, você terá de configurar uma senha de supervisor do Setup para que outros usuários não consigam fazer a alteração.
No entanto, se alguém tiver acesso ao seu computador por algum tempo, restringir a mídia de inicialização será inútil. Basta retirar a bateria da placa-mãe por alguns segundos para que a senha seja “esquecida” e o computador poderá ser ligado com qualquer mídia. O indivíduo malicioso também poderia simplesmente instalar o disco rígido em outro computador.
O ideal é fazer uso de criptografia ou outros recursos que de fato protejam os arquivos. A coluna deu várias dicas aqui e aqui. Com isso, os arquivos no disco são de fato alterados, e não simplesmente protegidos via software.
>>> Antivírus detecta pragas que outro programa deixou escapar
Não acredito nestes testes. Eu usava o avast. Aí, decidi testar o Microsoft Security Essentials (MSSE). Quando o instalei, tomei um susto. Achei sete vírus no meu PC que o avast não tinha encontrado. O MSSE veio, sim, para competir com os melhores antivírus. Por ter o nome Microsoft, já deixa as concorrentes preocupadas.
Germano
Germano, essa sua conclusão está equivocada. Você não pode instalar outros antivírus em um computador onde outro programa já estava em execução e concluir que, se esse novo programa detectar mais pragas, que ele era melhor que o outro.
Explicando: o MSSE detectou sete pragas que o avast deixou passar. Porém, não dá para saber quantos vírus o avast removeu ou mesmo impediu de infectar seu PC para deixar apenas estes sete. E não dá pra saber se o MSSE teria detectado todas essas pragas que o avast bloqueou. Você não saberá disso porque, como o avast estava em execução, ele já tinha removido esses vírus, e o MSSE não precisou removê-los.
Qualquer antivírus que detecta pragas em um PC onde outro programa já estava instalado não pode ser considerado 'melhor'. (Foto: Reprodução)
A impressão que se tem ao instalar um novo antivírus e que ele detecta mais pragas que o programa anterior é a de que esse novo software é melhor. Mas esse não é, necessariamente, o caso. Testes antivírus são complicados de se fazer. Existem poucos de qualidade e não existe nenhuma comparação qualificada que você pode fazer em casa.
>>> Segurança do Java
Eu acho a tela de confirmação de execução da aplicação perfeita. O foco fica no botão cancelar, os ícones indicam erro, o checkbox não vem selecionado por padrão. O problema NÃO é do Java mas, sim, do USUÁRIO.
Bruno Novais
O pacotão de quarta-feira (7) recebeu muitos comentários sobre a segurança de applets Java, comentadas na coluna. Um desses comentários foi o do leitor Frank, que gerou uma errata publicada na sexta-feira. Outros foram como esse deixado pelo leitor Bruno, criticando a coluna de ter “preconceito” com o Java.
Na verdade, o comentário feito é baseado em uma lição da história: ActiveX. Os ActiveX são programas executados a partir do navegador web (procedimento idêntico aos dos applets Java assinados). Até 2004, uma janela de confirmação do ActiveX era assim:
Janela do ActiveX tem as mesmas características do Java. (Foto: Reprodução)
O “foco” está no botão ‘Não” (perceba que ele é diferente, está “selecionado”). A caixa de “Sempre confiar...” está desmarcada. Os botões são o mesmo do Java: “Run”, (“Sim”), “Cancel” (“Não”) e “More information” (“Mais informação”). Mas é importante ressaltar: esse é um ActiveX com uma assinatura válida, ou seja, um ActiveX com assinatura legítima que apresenta a mesma configuração de um Java com assinatura inválida. Veja a imagem:
Disposição da janela de Java applet com assinatura inválida é a mesma de um ActiveX com assinatura válida. (Foto: Reprodução)
Mas, embora já se possa constatar que o ActiveX era melhor que o Java, ele ainda teve de ser modificado: ele foi sofreu abusos frequentes por criminosos e os usuários nunca aprenderam a clicar em “Não”. Hoje, para instalar um ActiveX, são necessários mais cliques e a janela não aparece automaticamente – é necessário clicar numa barra no topo das páginas e selecionar a opção para instalar o componente.
Criado em 1996, o ActiveX passou a bloquear programas sem assinatura digital um ano depois. Após doze anos, o Java ainda permite que um único clique resulte em uma execução de um programa sem assinatura com permissões totais.
Se o ActiveX era ruim ao ponto de forçar a Microsoft a mudá-lo, e a tela do Java é pelo menos tão ruim quanto a do ActiveX, como pode a janela do Java ser boa? Existe aí um caso no qual uma empresa não aprendeu com as lições da história.
Culpar o usuário é muito fácil. Mas se nenhum usuário entende o que está acontecendo, seu problema é o aplicativo e não o usuário. Um especialista em vulnerabilidades fez exatamente esse mesmo comentário sobre applets Java assinados em 2008 neste blog.
A coluna Segurança para o PC de hoje fica aqui, mas eu volto na sexta-feira (16) com o resumo das notícias da semana. Até lá, deixe suas dúvidas, críticas ou sugestões de pauta na área de comentários logo abaixo.
* Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades. Na coluna “Segurança para o PC”, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários. Acompanhe também o Twitter da coluna, na página http://twitter.com/g1seguranca.
