Jan 22 2008
Guia de segurança livre no Windows
Segurança no Windows tem sido um ponto em que a Microsoft pouco se tem preocupado até às ultimas versões do XP e também no Vista. Neste guia apresentamos alguns programas livres que tornam o Windows mais seguro e daremos também algumas dicas para que o seu sistema não sofra de males de saude.
Desde a sua origem qualquer sistema Unix é virtualmente imune a vírus. Esta imunidade é conseguida através de uma função simples do sistema que são as permissões. Desde 1969 quando foi criado os sistemas Unix têm contas de administrador (root) e contas normais. As contas de administrador têm privilégios para modificar tudo no sistema já as contas normais, não têm privilégios suficientes para alterar as definições avançadas do sistema. Sempre que um ficheiro entra no sistema ganha as permissões que o utilizador logado no sistema tiver, assim, se estiver logado como administrador, qualquer software malicioso terá a capacidade de fazer o que quiser ao sistema. Se estiver a utilizar uma conta limitada esse software não terá a possibilidade de fazer grandes males ao computador. É um tipo de segurança pro-activa, pois protege mesmo antes da infecção. Nos sistemas Windows e apenas depois da comercialização do NT já foi possível implementar este tipo de permissões, já que as versões anteriores eram sistemas mono-utilizador. Mesmo implementando este novo tipo de permissões no seu novo Windows, a Microsoft não foi pro activa na segurança e mesmo havendo a possibilidade de limitar as contas de utilizadores, por vários motivos a MS não o fez e os seus sistemas baseados no NT (2k, xp, etc) continuaram a ter por defeito a conta de administrador a principal.
A solução passa por utilizar contas de utilizador limitadas, o que num sistema windows significa perder recursos. Ou não…
O Sudown faz num sistema Windows aquilo que o sudo faz num sistema Linux, dar privilégios de administrador a uma conta limitada.
A instalação é simples e é feita através da sua conta normal. Depois de instalado recomenda que coloque uma senha para proteger a conta de utilizador.
Para que a instalação fique concluida e o programa coloque as permissões basta que o execute.
Agora a conta de utilizador deixa de ter privilégios e operações como instalar alguns programas ou alterar definições do painel de controlo deixam de estar acessíveis, como por exemplo alterar as definições das ligações de rede, parar serviços e até alterar as horas.
Como ter privilégios então?
Para aceder ao painel de controlo basta clicar com o botão direito em cima do ambiente de trabalho e escolher “sudo Control Panel” é então solicitada palavra-passe.
Para instalar um programa basta clicar com o botão direito em cima do ficheiro de instalação e escolher
“sudo nome_do_programa”
também é possível faze-lo através da linha de comando basta escrever sudo nome do programa.
Sempre que o sudown é executado ele permanece por alguns minutos em execução, ou seja, a conta esta com privilégios de administrador enquanto estiver uma chave na bandeja do sistema e não é necessário estar a colocar a palavra-passe enquanto ela lá permanecer.
Agora mesmo que algum vírus passe por uma falha de segurança, os estragos que consegue fazer já são menores.
Uma das formas de segurança mais pro-activas existentes são as firewalls. As firewalls a nível aplicacional não são tão boas como as que funcionam através de routeamentos de NAT, mas pelo menos impedem os utilizadores mal intencionados de utilizaram portas de tcp para entrarem num sistema
iSafer é um firewall gráfica que funciona basicamente a nível do winsock que é uma API do windows que serve de ponte entre o TCP/IP e as aplicações.
Embora à primeira vista seja questionável uma ferramenta de segurança que utiliza uma API da MS que pode conter falhas não corrigidas, manter o sistema actualizado também faz parte da segurança pelo que resolve dois problemas e é obrigatório.
A instalação é simples e depois de instalado a utilização também é simples.
Não tem pop up’s chatos sempre que alguma aplicação sendo do utilizador ou sistema tenta aceder à Internet. Limita-se a bloquear o acesso e deixar o utilizador escolher o que permitir.
Como? Assim que inicia, o iSafer mostra uma pequena aplicação no canto inferior direito que mostra o estado da firewall, clicar em opções leva-nos até às configurações.
“FW Rule Set” permite-nos criar regras. Criar uma regra é tão simples como clicar em “add rule” seleccionar o separador “Application rule” clicar em “browse” seleccionar aplicação e escolher “Allow”.
Também é possível abrir portas especificas ou conjuntos de portas para por exemplo servidores ou programas peer-2-peer.
Se alguma aplicação deixou depois de funcionar depois da instalação do iSafer o melhor é executar a aplicação em causa com o separador “Firewall log” activo. Se a aplicação estiver a tentar aceder e for bloqueada vai aparecer uma aplicação normalmente no sentido “OUT” com a permissão “deny”, para autorizar basta clicar com o botão direito em cima e “add aplication rule” para autorizar a saida.
O iSafer também permite ver as partilhas de ficheiros e fazer buscas por portas abertas ou fechadas no separador “Port Scan”.
Provavelmente a única firewall livre utilizável.
Agora que as protecções pro activas estão instaladas e configuradas e partindo do principio que o sistema esta actualizado e não tem falhas as infecções por vírus serão mínimas, serão maioritariamente por acção do utilizador.
Clamwin é a versão para Windows do antivírus clamav, bastante utilizado em servidores Linux.
É um antivírus simples e fácil de utilizar.
A instalação é o habitual, seguinte até ao concluir. Depois de instalado, coloca um ícone na área de notificação, onde possibilita o acesso às funções e ao programa principal.
As suas principais características são:
- Actualizações automáticas.
- A possibilidade de agendar buscas por vírus.
- Integração no explorador do Windows.
- Utilização através da linha de comando
- Busca automática de vírus nos e-mail’s descarregados no outlook express.
É importante ainda indicar que o clamwin não tem pesquisa em tempo real, ou seja, ele não detecta vírus automaticamente tem de ser através de uma acção especifica do utilizador solicitando uma pesquisa, seja através da integração com o explorador ou agendamento.
Quem tiver uma máquina com boas capacidades existe ainda a possibilidade de usar o winpooch que usa o clamav para procurar vírus no sistema em tempo real.
Para alguns a não existência do real time scanner pode ser um problema, portanto, medidas adicionais podem ser tomadas para procurar por vírus assim que eles entram no computador. tanto através do navegador, como através do programa de e-mail.
O ClamMail é um proxy de pop3 e a sua função é a de filtrar os e-mail’s antes deles chegarem a caixa de entrada do programa de e-mail.
Este programa torna-se necessário porque o ClamWin tem apenas integração com o Outlook Express.
Ele funciona como um proxy com cache e está à escuta numa porta. O cliente de email é configurado para o utilizar e sempre que é feito um pedido ao servidor de e-mail antes dos e-mail’s chegarem à caixa de entrada do programa de e-mail, são filtrados e desinfectados. Se estiverem limpos aparecem normalmente na caixa de entrada, se filtrados apenas aparecem os headers com a mensagem de que o e-mail continha malware.
A instalação do programa é simples e a integração com o sistema excelente. Depois de instalado ele é adicionado aos serviços do windows e os eventos podem ser vistos no log viewer do sistema. Também é colocado como applet do painel de controlo e ícone na área de notificação.
A configuração é feita no cliente de e-mail, independentemente do programa que se estiver a utilizar. Basta ir às definições da conta e no sitio do servidor de POP colocar ‘localhost’. No sitio do username deve estar
user\POP3_server:[porta][-/+]
por exemplo
utilizador@domininio.pt\mail.dominio.pt:110-
ou seja email \ endereço do servidor de pop3 : a porta utilizada (normalmente 110) seguido do sinal de + ou - para o caso de ser necessária, ou não encriptação do servidor de POP.
A base de dados do ClamMail é o ClamAV e as actualizações são regulares e automáticas. Uma ferramenta essencial para quem tem contas em servidores que não fazem controlo de vírus.
SafeDownload
Safe download é uma extensão para o Firefox que permite pesquisar os downloads efectuados pelo firefox.
Muitos dos vírus são descarregados através do navegador ao descarregar ficheiros, principalmente através dos cada vez mais comuns webmail que permitem ter acesso ao e-mail no navegador.
O que esta extensão faz é tão simples como chamar o antivírus para saber se aquele ficheiro é vírus ou está infectado por um vírus.
Para esta análise utilizaremos o clamwin, antivírus livre, pelo que é necessário que seja previamente instalado.
Depois de instalada a extensão, vamos às opção das extensão e no scanner 1 procuramos a localização do programa
clamscan.exe
depois introduzimos os argumentos. Os argumentos podem ser bastantes, mas para simplesmente funcionar basta algo como
--bell --remove --database=c:\docume~1\alluse~1\.clamwin\db c:\docume~1\user\ambien~1 -
O que isto faz é pedir ao clamav para apitar e remover quando encontrar um vírus ou ficheiro infectado utilizando a base de dados naquela localização. O hífen “-” representa o ficheiro descarregado.
Como o clamscan não aceita espaços em branco sem aspas e a extensão não aceita as aspas, pelo que é necessário recorrer ao método de nomenclatura de DOS, 8+3, ou seja, 8 caracteres para o nome do ficheiro + 3 para a extensão. A forma como funciona é simples, os ficheiro não podem ter mais do que 8 caracteres pelo que documentos por exemplo só pode ser “documen~”, ou seja, “documen” mais o til “~” para indicar que o nome continua. Outros argumentos importantes podem ser encontrados aqui:
http://forum.softwareblaze.com/viewtopic.php?t=127
O clamscan que vem por defeito no Clamwin é um pouco lento pois sempre que executado ele tem o tempo de arranque somado com o tempo de pesquisa. Se configurado para fazer uma pesquisa ao disco a determinadas horas quase que nem damos conta, mas executado manualmente ou mesmo chamado pela extensão safe download o tempo de espera pode ser chato.
Neste caso o melhor é optar por uma alternativa ao clamwin. Uma alternativa que é na verdade o mesmo que o clamwin, ou seja o clamav, mas sem as funcionalidades do clamwin, o mais importante: clamd e clamdscan. O clamd é um daemon e o clamdscan é o scanner como o clamscan mas utiliza o clamd.
O problema é que o clamd foi feito para ser um serviço de unix e não para ser executado no windows e não existe um instalador que coloca o clamd como serviço portanto tem de ser colocado manualmente. Os passos são os seguintes.
São necessários o Instsrv.exe e o Srvany.exe do Windows Resource Kit, são ferramentas do sistema operativo, mas por não serem livres não colocaremos o link.
Abrimos a linha de comando navegamos até à pasta onde foi instalado o Windows Resource kit e exectamos o comando
INSTSRV.EXE "clamd" SRVANY.EXE
No regedit deve haver agora a chave
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\clamd
em que o ImagePath aponta para o SRVANY.EXE
dentro dessa chave criamos a chave “Parameters” com a classe em branco.
Dentro dessa chave criamos o valor com o nome “Application”, tipo de dados “REG_SZ” e em “String”, o caminho completo para o clamd.exe
Para arrancar o serviço basta digitar na consola
NET START clamd
No entanto é aconselhável utilizar o gestor de serviços para iniciar ou parar o serviço e coloca-lo em automático para ser executado no arranque
Agora sempre que quiserem um anti-vírus rápido utilizamos o clamdscan e ele faz o scan com metade do tempo podemos utiliza-lo na extensão safe download ou mesmo criar uma tarefa do windows, mas atenção que o clamdscan não aceita o ” - ” como o clamscan do clawin melhor é colocar apenas a directoria para onde vão os ficheiros.
Em testes, a pesquisa por vírus na pasta do próprio clam demora 17 segundos com o clamscan e 6 segundos com o clamdscan.
Este guia não podia terminar sem as sugestões, que são habituais, mas ainda assim pouco utilizadas.
Cuidado por onde anda, nem todos os sites são seguros.
Cuidado com aquilo que descarregas, seja através do download em sites, aceitar transferências do messenger ou anexos em programas de e-mail.
Existem sites que nos enchem de publicidade, cookies de rastreamento e nos fazem colocar os nossos dados para fins indevidos, esses sites também nos podem levar a fazer o download de spyware. Confie no software livre.
Outra forma mais recente é através dos contactos, qualquer vírus dos mais comuns, assim que afecta o pc procura o adressbook do windows contactos do outlook e do messenger e começa a reenviar-se.
Quem nunca falou com alguém com o messenger infestado? Montes de mensagens de publicidade antes da pessoa começar realmente a falar… Utilizem alternativas como o jabber.
Email’s indesejados são o prato do dia. Basta deixar o e-mail em qualquer website em puro texto (como este que escrevo) e logo ele vai passar por um webpage crawler e adicionado a uma base de dados que vai posteriormente dar dinheiro a alguém que vai juntar esse e-mail a uma lista e vender a empresas. Essas empresas usam-nas então para publicidade e são completas de tal forma que permitem reconstruir a vida de uma pessoa com poucos cuidados.
Depois a caixa de entrada fica cheia de spam muitos não são simples publicidade mas contém por vezes links para vírus alojados em servidores na internet. Muito cuidado um e-mail tão simples como um com um titulo que diz as minhas fotos de verão e no texto clique aqui podem apontar para um vírus que depois de descarregado pode ter como consequência a perda total dos dados no computador. Tenham sempre em atenção o link do ficheiro ele vai ser algo como http://xpto.qq/a_localização/ficheiro_perigoso.exe podem colocar o rato em cima do link que vai aparecer na barra de (baixo) status do firefox, se for muito grande e não der para ver a extensão (3 digitos após o nome do ficheiro) cliquem com o botão direito façam copiar endereço da ligação e colem no bloco de notas. Atenção, mesmo que a origem pareça fidedigna não se esqueçam que pode ter vindo do computador do amigo infectado.
Já em relação ao messenger è mais fácil de perceber se é ou não vírus, pois basta perguntar à pessoa com quem estamos a falar se tentou enviar um link ou ficheiro.
E não se esqueçam: A melhor e mais pro-activa segurança passa por cada um de nós.
Planet Geek
