Seis mitos sobre segurança no computador e a verdade sobre eles

Uma rápida olhada para os dez anos de vida do Windows XP e sua longa história de bugs e correções nos faz pensar imediatamente em duas questões: Como pode a indústria de software falhar tanto ao entregar aplicações seguras aos usuários? Será que ainda está longe o dia em que, para se usar um computador, não será mais preciso ser um expert em segurança?

Ao que parece, a mensagem clássica da indústria de segurança é sempre algo parecido como “você deveria saber que não poderia clicar neste link”, ou “como pôde acreditar que aquela mensagem realmente veio de sua mãe?”.

Para alguns usuários de computador é incrível acreditar que ainda existam tantos usuários vítimas dos mesmos golpes (ainda que ligeiramente diferentes). Mas o que é que os desenvolvedores de sistemas de segurança têm feito para ajudar realmente estas pessoas?

Veja abaixo seis situações corriqueiras, a percepção comum que os usuários têm a respeito delas, e como os especialistas em segurança lidam com o assunto.

Se um e-mail parece autêntico, então ele é seguro

Ao que parece, os desenvolvedores de sistemas de segurança acreditam mesmo que todos os usuários são tão inteligentes quanto eles. Afinal, mensagens spam, ataques phishing e todo tipo de malware têm existido há anos. Se os especialistas não se surpreendem quando um ataque se faz passar por uma mensagem eletrônica verdadeira, por que, então, os usuários não pensam da mesma maneira?

Para os técnicos, a desconfiança é parte de sua natureza, mas não se pode esperar que tal característica seja inerente ao usuário comum. Em vez disso, os especialistas ainda ficam surpresos e até mesmo consternados quando veem internautas sendo vítimas desse tipo de armadilha.

Mas não pode simplesmente culpar alguém que tenha sido vítima de ataque phishing só porque resolveu acreditar em uma mensagem de cancelamento de uma compra feita em um site de e-commerce, com grandes chances de que uma compra de fato tenha ocorrido em tal site.

“Esta mensagem é de alguém que conheço, portanto é segura”

Quem lida diariamente com questões relativas à segurança eletrônica sabe que não se pode descuidar de spammers e de outros tipos de ataques que encontram maneiras de burlar o campo “remetente” em uma mensagem eletrônica.

Existem diversas formas de fazer isso, mas sua mãe ou mesmo a secretária da empresa pode ter conhecimento suficiente para concluir que um e-mail que fale de uma super liquidação, por exemplo, não tenha mesmo sido enviado por alguém conhecido.

Tudo o que os especialistas dizem é que o e-mail, como uma carta comum, pode trazer escrito no envelope o nome de um remetente que conhecemos sem que esta carta tenha realmente sido enviada por tal pessoa.

“Se um amigo publica um link do orkut ou Twitter, então ele é seguro”

As redes sociais cresceram muito em termos de popularidade e as comunidades – se é que podemos chamá-las assim – de criminosos virtuais já embarcaram nessa onda também. Mesmo porque na maioria das vezes são os mesmos que, antes, enviavam emails de spam ou phishing scams. Agora, dirigem seus esforços para onde as vítimas potenciais estão: as redes sociais.

Por meio de aplicações web tais como Cross-site Scripting (XSS), mensagens podem ser publicadas em redes sociais de forma que pareçam ter sido escritas por pessoas que conhecemos. Elas parecem legítimas, quando na realidade não são.

“Estou seguro se apenas ler um e-mail, sem clicar em nada ou abrir anexos”

Bons tempos aqueles em que, para ser infectado, o usuário precisava clicar em um arquivo executável ou abrir voluntariamente um anexo que chegasse pelo e-mail para que a praga, qualquer que fosse, começasse a agir.

Mas hoje existem diversos modos pelos quais um criminoso virtual utiliza um e-mail para atingir seus objetivos sem que o destinatário da mensagem precise clicar em um link qualquer.

Isso pode ser feito, por exemplo, por meio de HTML IMG ou IFRAME tags, em combinação com técnicas de XSS a partir de um site vulnerável. Muitas destas técnicas podem ser tão perigosas quanto um arquivo executável que venha como anexo no e-mail.

O problema é que a maior parte dos usuários sequer sabe disso e pouco se ouve a indústria de segurança fazer qualquer coisa para evitar que isso ocorra.

“Clicar em uma URL mas não fazer qualquer coisa no site que abrir me deixará seguro”

Indo um pouco mais além, qual o risco que se corre em visitar um determinado endereço na web se o internauta não fizer qualquer coisa além disso ao chegar no site em questão?

Converse com qualquer especialista em segurança e você vai obter uma relação de motivos para que isso não seja feito. Só que não se pode esperar que seu filho ou sua tia tenham noção disso, e que se lembrem dessas ameaças enquanto estão passeando pela internet. E muito menos culpá-los, depois, caso sejam vítimas de um ataque qualquer.

“O browser exibe o cadeado, então o site em questão é seguro”

Há anos a indústria de segurança vem dizendo para as empresas utilizarem SSL ao construírem sua páginas na web e, agora, o que ouvimos é dizerem que a criptografia oferecida SSL, por si só, não é necessariamente segura.

Note que sob a perspectiva dos usuários, nada do que estejam fazendo está errado. Os especialistas em segurança devem reconhecer também que mesmo os internautas mais bem intencionados, vez por outra farão algo ou tomarão uma decisão a respeito de algo que os irá colocar em risco. E farão isso não porque são tolos, mas pelo fato de os especialistas não compartilharem adequadamente do conhecimento que têm a respeito das ameaças à segurança. E deveriam fazer isso, sempre!

É provável que esse seja o ponto no qual a indústria de segurança mais falha. Por anos, ela tem tentado evitar que os ataques ocorram e faz isso advertindo os usuários a não fazerem coisas tolas como clicar em links. E, quando eles fazem isso, os especialistas dizem que a culpa por terem sido vítimas é do próprio usuário do PC, mesmo quando as orientações contrárias tenham sido publicadas em artigos especializados que falam a respeito de malware, ataques phishing e XSS. E tenham sido ouvidas por um número restrito de usuários.

Ok. A indústria de segurança tem feito mais que isso. Ela tem forçado os usuários a instalarem software antivírus, firewalls, detectores de todo tipo de malware e spyware e muito mais. E a pagar por isso, na maior parte das vezes. Mas não foi capaz de fazer nada para impedir que novas ondas de ataques surjam, ano após ano.

Não quero ser mal interpretado e não estou dizendo que há uma solução simples e definitiva para essa situação. O problema é muito amplo e uma solução para esta situação não será facilmente alcançada.

Entretanto, os programas de computador, do mais básico deles – o sistema operacional – passando por clientes de e-mail, programas navegadores etc., devem ajudar os usuários a fazerem coisas em seus computadores de forma segura. Tais soluções precisam ser suficientemente espertas e resilientes para que os usuários possam fazer o que eles querem fazer, e não deixar de funcionar se algo der errado ou fugir às regras.

* Kenneth van Wy atua há mais de 20 anos no segmento de segurança, tendo trabalhado para o CERT/CC da Carnegie Mellon University e no Departamento de Defesa dos Estados Unidos.

Anúncios

7 dicas para migrar e gerenciar o Windows 7

O interesse das empresas em substituir os “idosos” Windows XP e Vista pelo recém-lançado Windows 7 pode tornar o processo de migração mais suave, à medida que as companhias procurarem uma série de tecnologias de gestão e processos destinados a facilitar um processo de migração deste porte.

“Em algum momento, os usuários do Windows terão de migrar para o Windows 7, porque o XP não terá mais suporte e o Vista não decolou, em termos de adoção”, afirma o analista da consultoria Enterprise Management Associates (EMA), Steve Brasen. “A habilidade para gerenciar e automatizar processos com o upgrade para o Windows 7 será crítica para as empresas”, completa. Confira sete passos fundamentais que você deve avaliar quando considerar a migração da sua empresa para o Windows 7.

1 – Teste a durabilidade dos desktops

De acordo com uma pesquisa realizada pela consultoria Forrester Research, mesmo dois anos e meio após o lançamento do Windows Vista, seu antecessor, o Windows XP ainda rodava em 86% de todos os PCs corporativos que utilizam o sistema operacional da Microsoft.

A análise mostra também que os Chiefs Information Officer (CIOs) que estão considerando uma atualização dos ambientes de TI não serão capazes de partir diretamente do XP para o Windows 7, o que representa alguns desafios para as corporações. Primeiro, em termos de hardware, poderá haver falta de uma série de componentes, como drivers, memória e outros.

“Migrar do XP para o Windows 7 vai desafiar muitos gestores de TI porque você não pode fazer o upgrade diretamente. Alguns analistas estão sugerindo que as empresas comprem hardware novo e realizem uma renovação completa do parque de computadores”, explica a vice-presidente de desenvolvimento de produtos da Persystent Software, Katherine Wattwood.

A Persystent Suite oferece às empresas recursos para testar os PCs existentes em relação a espaço em disco e outros recursos exigidos pelo Windows 7. O software pode ajudar os gerentes de TI a determinar quais computadores podem suportar a atualização de sistema operacional e quais precisarão ser trocados ou atualizados para funcionarem corretamente com o novo sistema operacional. “Um planejamento de pré-migração e testes de compatibilidade de hardware são fundamentais para determinar quais PCs estão prontos para o Windows 7”, ressalta Katherine.

2 – Planeje o licenciamento

Diferentemente de outras versões do sistema operacional Windows, como o XP, o Windows 7 é oferecido em diferentes versões, que devem ser consideradas pelos departamentos de TI quando decidirem pela migração. Analistas consideram que três versões devem ser avaliadas pelos decisores de TI.

Primeiro, a Windows 7 Professional equivalente ao Vista Business, que pode ser a versão mais barata, segundo a Forrester Research. A consultoria destaca que essa opção está disponível via OEM, licenciamento por volume ou no varejo. Já a edição Windows 7 Enterprise é aquela a qual as empresas têm direito a implementar, caso contem com o programa Software Assurance, da Microsoft. Este é o programa de manutenção de software da companhia, oferecido como opção para licenciamento por volume.

A versão Professional do Windows 7 oferece recursos adicionais que podem interessar a empresas com atuação global. Algumas dessas funcionalidades são o DirectAccess, que permite aos usuários de dispositivos móveis acessarem as contas corporativas sem uma VPN (Virtual Private Network); e o BranchCache, um recurso que, segundo a Microsoft, reduz o tempo que usuários remotos gastam esperando para baixar arquivos pela rede.

Outra opção é o Windows 7 Ultimate, que, segundo a Forrester, pode ser considerada uma versão mais de consumo e não é vendida por meio de licenciamento por volume mas pode ser utilizada em um computador cujo uso seja mais multimídia, em um ambiente corporativo.

Em recente pesquisa, a consultoria alerta que as empresas devem levar em conta diversos fatores quando planejarem o licenciamento do Windows 7. Licenças existente, acordos de software e atualização devem estar entre as considerações.

“A abordagem histórica da empresa para a atualização de desktops e laptops, combinada à idade da infraestrutura no momento em que a corporação estiver pronta para começar a migração para o Windows7, vai impactar na forma como o novo sistema operacional deve ser adotado ­ com uma abordagem ‘big bang’ ou por meio de um ciclo natural de atualização”, ressalta o relatório. “Seus planos de licenciamento não devem se limitar à estratégia de atualização do Windows. Podem existir oportunidades para tirar proveito de pacotes para reduzir os custos de investimento em Microsoft”.

3 – Tenha certeza a respeito da compatibilidade de aplicações

Não é só o hardware que precisa ser testado para verificar se ele suportará o Windows 7. As aplicações de software também devem ser checadas em relação à compatibilidade com a nova versão do sistema operacional. “Ainda existe um grande problema com aplicações proprietárias e drivers que simplesmente não são compatíveis com o Vista ou com o Windows 7. Até que as empresas atinjam um nível de compatibilidade e as aplicações ganhem velocidade, essa transição será difícil”, observa Brasen, da EMA.

O analista garante desconhecer fornecedor de sistemas de gerenciamento que não tenha um path para o Windows 7. “Eles sabem que a migração está a caminho. Mesmo que o assunto não esteja nos planos dos próximos meses de seus atuais clientes, em algum momento o tema vai surgir”. Por isso, as corporações devem começar já a realizar testes de compatibilidade de aplicações. Soluções de fornecedores como a Persystend e a CA, entre outras, oferecem testes de compatibilidade de aplicações.

Este tipo de avaliação pode indicar potenciais problemas e questões de desempenho do desktop que ocorreriam quando a máquina executasse o Windows 7. Soluções que realizam este trabalho funcionam automaticamente, detectam máquinas e aplicações com problemas, produzem um inventário e apresentam um relatório com as informações para o gestor de TI. Conduzir esses testes manualmente seria extremamente custoso no que diz respeito a tempo, destaca o analista. Os fornecedores argumentam que ao adicionar automação a esse processo, é possível reduzir custos e tempo de desenvolvimento.

“Nosso software permite à TI introduzir políticas para estabelecer o conjunto de indivíduos que deve contar com determinadas aplicações em seus sistemas, enquanto outro grupo deve ter uma política diferente aplicada a ele”, afirma a gerente de produtos sênior da CA, Laural Gentry.

4 – Aproveite-se da automação

Para muitas empresas, a aquisição de software para auxiliar no processo de migração de sistema operacional pode ser um problema, devido a custos. No entanto, analistas argumentam que tentar migrar ou gerenciar um ambiente com o Windows 7 sem tecnologias de automação vai sobrecarregar a equipe de TI e gerar problemas de implementação. “As empresas vão passar por uma migração dolorosa se não adotarem uma plataforma de automação”, alerta Brasen.

No caso de grandes corporações, recursos de automação podem fazer parte de sistemas de gestão já usados, como os de fornecedores como LANDesk, CA, Persystent, Kace, BigFix, entre outros. Mas, para pequenas e médias empresas, a implantação automatizada não é uma ferramenta que já está em casa. A Microsoft levou em consideração esses casos e oferece uma solução gratuita para atender a este tipo de demanda.

O Microsoft Deployment Toolkit (MDT) 2010 é um software otimizado para suportar a implantação do Windows 7 e inclui recursos de suporte à migração do Windows XP para o Windows 7. A versão beta 2 do MDT 2010 já está disponível para download. “A Microsoft está oferecendo razões convincentes para os clientes migrarem para o Windows 7”, avalia o analista sênior da Forrester Research, Benjamin Gray.

5 – Considere a virtualização de desktops

O lançamento do Windows 7 fez com que as corporações passassem a avaliar uma nova tecnologia: desktops virtuais. As promessas de um gerenciamento mais simples e de aumento de segurança trazidas pelas ofertas de desktops virtuais podem fazer com que as companhias considerem a adoção desse recurso como alternativa para a renovação de parques de PCs.

A Microsoft oferece dois produtos que tiram partido da virtualização e poderiam ser usados para gerenciar a migração ou a implantação do Windows 7. Um deles, o Microsoft Application Virtualization reduz o tempo de inatividade ao transformar as aplicações Windows em “serviços virtuais gerenciados de forma centralizada que são entregues a qualquer desktop ou laptop com licença Windows”.

A outra solução é o Microsoft Enterprise Desktop Virtualization, que permite a criação, a entrega e o gerenciamento de modo centralizado um ambiente virtual de Windows XP ou 2000 (com base no Microsoft Virtual PC 2007), além de rodar aplicações legadas em desktops com Windows Vista, informa a Microsoft.

Mas ela não é a única fornecedora deste tipo de solução. VMWare e Citrix também têm ofertas para desktops virtuais e podem oferecer alternativas viáveis para uma migração consciente para o Windows 7. “Os gerentes de TI devem ser capazes de olhar para soluções de virtualização. Se você adota a virtualização de desktops, pode implantar seu padrão no novo ambiente de desktops, para cada um dos usuários finais. Bastaria configurar uma máquina para multiplicá-los em todos os outros”, diz Brasen. “Microsoft, VMware e Citrix têm opções para o mercado”.

6 – Substitua hardware

Segundo analistas, a recessão econômica fez com que muitos decisores da área de TI adiassem atualizações de hardware e investimentos em equipamentos até que houvesse sinais de recuperação. Assim, para algumas organizações, um plano de migração para o Windows 7 pode se transformar em uma estratégia de substituição de equipamentos, já que, em alguns casos, seria mais fácil trocar desktops e laptops defasados a fazer o update dessas máquinas.

“Muitas empresas com infraestrutura envelhecida podem adotar uma política de atualização de hardware maciça em meados de 2010, substituindo desktops e laptops antigos por novos”, acredita Gray, da Forrester.

Fabricantes de PCs vêm trabalhando com a Microsoft para entregar máquinas otimizadas com Windows 7. Um exemplo é a Lenovo, com o “Windows 7 Lenovo Enhanced Experience”, que oferece máquinas com funcionalidades otimizadas pré-configuradas, que trazem benefícios como mais velocidade para desligar e reiniciar a máquina, levando a melhorias de produtividade para os usuários finais”, observa o diretor executivo de serviços globais da Lenovo, Bob Dieterle.

7 – Prepare-se para o gerenciamento de atualizações ou correções

Antes de migrar para um novo sistema operacional, os gerentes de TI devem estar cientes dos impactos que o upgrade provocará nos procedimentos de gestão de atualizações ou correções. Também é necessário que toda e qualquer nova política do tipo que se faça necessária seja colocada em prática, antes da migração.

“É mandatório ter tecnologias de gerenciamento de atualizações para a manutenção do ambiente. Muitos dos fornecedores que oferecem recursos de automação em pacotes de migração também são capazes de implantar atualizações em uma base de um para muitos, para organizações que estão adotando o Windows 7”, diz Brasen, da EMA.

“Os gerentes de TI querem chegar ao ponto de realizar um download da atualização e distribui-lo internamente ­ o que, essencialmente, é um processo muito mais rápido e menos intrusivo nos equipamentos dos usuários, finaliza”.

Grátis: 50 downloads, sites e serviços web para usar e abusar

Executar tarefas online mais rapidamente, eliminar pragas do computador, acessar outro PC pela web para fazer manutenção remota, editar áudio e imagens. É possível fazer tudo isso sem gastar um centavo. Abaixo segue uma lista com 50 ferramentas para lá de úteis, entre downloads, serviços e sites.

A lista está organizada em 9 categorias. É realmente muita coisa, e se estiver em dúvida por onde começar, a primeira parte exibe os grandes hits entre aplicativos grátis, serviços e sites.

Claro, há também os serviços e softwares mais populares, como organizadores de fotos, customizadores do sistema, softwares de segurança e backup, entre outros, que vão ajudar a organizar a vida. Use e abuse dessa lista e salve essa matéria nos favoritos, pois as ferramentas podem ser úteis por muito tempo.

Os hits da internet

  • Ad-Aware Free: Elimina os spywares.
  • Audacity: Gravação e edição de sons.
  • BitTorrent: Compartilha arquivos online facilmente.
  • Dropbox: Sincronização online de arquivos.
  • Evite: Organizou uma festa? Prepare e envie convites sofisticados em um piscar de olhos.
  • IMDb: Tudo e mais um pouco sobre cinema.
  • OpenOffice.org: Uma alternativa ao pacote Office da Microsoft.
  • The GIMP: Editor de imagens em código livre.
  • Trillian Basic: Comunicador instantâneo compatível com vários serviços (MSN, Google Talk e mais). Disponível para Windows, Mac e iPhone.

Antivírus (é bom ter várias opções, pois não existe antivírus perfeito)

Aplicativos e serviços para edição de áudio

  • Buddha Machine Wall: Uma fonte inesgotável de melodias para meditar.
  • Grooveshark: Ótimo site para ouvir música.
  • Mp3Tag: Ótimo editor de etiquetas e capas de álbuns de músicas.
  • Myna: Editor avançado de áudio.
  • Speakershare: Compartilhe os melhores alto-falantes de um PC com outros computadores.
  • TunesBag: Ouça suas músicas pelo navegador, em qualquer lugar, sem acessar seu PC ou Mac.

Utilitários para backup

  • Backupify: 1GB de armazenamento, backups semanais e restauração para o PC.
  • Comodo Time Machine: Backup para proteger arquivos, pastas e programas.
  • Macrium Reflect Free Edition: Cria imagem do disco inteiro para recuperação futura.
  • SDExplorer: Crie um disco virtual de 25 GB online e acesse pelo Windows Explorer.
  • SpiderOak: 2 GB de espaço online para backup; salva automaticamente os arquivos quando uma mudança é detectada.
  • SyncToy: Utilitário da Microsoft para sincronizar arquivos de diferentes PCs em rede.
  • Todo Backup: Gerencie imagens do disco rígido e partições.

Complementos para o navegador, aplicativos e utilitários

  • CeeVee: Faça currículos atraentes e compartilhe na web.
  • Lazarus: Recupera a digitação feita em formulários de qualquer site.
  • MailBrowser: Melhor gerenciamento dos contatos e anexos do Gmail.
  • PDF to Word: Converta arquivos PDF em formato DOC editável.

Serviços de colaboração

  • LogMeIn Express: Compartilhe seu PC com qualquer outro conectado a web (ótimo para manutenção remota).
  • Tinychat: Cria grupos de discussão instantâneos, com webcam.
  • Yammer: Recurso de comunicação para empresas, usando o Facebook.
  • Zoho Discussions: Cria um forum facilmente para ser compartilhado.

Customização da área de trabalho

  • BumpTop: Uma área de trabalho em 3D.
  • DeskHedron: Cria até nove ambientes de área de trabalho que são alternados pelo mouse ou teclas de atalho.
  • Fences: Organiza os ícones do desktop exibindo apenas os mais utilizados. Ao passar o mouse, os ícones escondidos surgem novamente.
  • InterfaceLift: Biblioteca de papéis de parede.
  • Krento: Um modo prático e bonito para executar as aplicações.
  • Rainmeter: Uma versão alternativa ao desktop do Windows, muito atrativo.
  • StandaloneStack 2: Atalhos com animações que facilitam o uso de áreas de trabalho repletas de ícones.
  • T3Desk: Reorganiza os programas na área de trabalho, sem minimizá-los.

Aplicações para dispositivos móveis

  • BlueRetriever: Ajuda a recuperar gadgets perdidos.
  • Connectify: Transforme seu laptop em um hotspot Wi-Fi.
  • Instapaper: Uma simples ferramenta que baixa textos da web para serem lidos no celular.
  • Xpenser: Mantenha o controle de suas finanças na web.

Utilitários para fotos

  • Easy Poster Printer: Imprime um poster gigante (20×20 metros) a partir de uma foto digital comum.
  • The Golden Hour Calculator: Encontra o melhor horário para obter boa iluminação para tirar fotos ao ar livre.
  • Paint.Net: Uma alternativa leve ao famoso Photoshop.
  • Phoenix: Editor de imagens baseado na web.