03 junho 2007

Segurança (ou a falta dela) em Windows

O meu colega e autor no Tux Vermelho, ArameFarpado, escreveu dois artigos sobre a segurança ou a falta dela no Windows, e os artigos bateram de longe todos os recordes de comentários. Falo do Virus na Vista... e Perigos de correr Windows na Internet e do Usar anti-virus é imperativo? Mas não é sobre o recorde de comentários em si que estou a escrever este artigo, é pela discussão construtiva e informativa que se foi criando nesses comentários, com a ajuda do próprio ArameFarpado e dalguns leitores do Tux Vermelho: Vitor (defendendo o Windows), Bruno, Francisco Costa, Jocaferro, P., João Matos, etc.
Convido quem se interessa sobre segurança (ou a falta dela) no Windows a passar os olhos pelos comentários nesses dois artigos.

27 comentários:

Se fosse possível corrigir o Vitor (por parte da Microsoft), para Vitor agradecia ;o) porque pode induzir em erro muito boa gente.

Victor

"Vitor (defendendo o Windows)"

Penso que agora esteja mais correto, não levando a segundas intenções.

Cumprimentos

Eu abstive-me de comentar mas devo dizer que foram dois artigos muito bem expostos :)

Muito melhor ;o)

Thanks,

Victor

Sim senhor, com tantos argumentos bem esgrimidos de parte a parte eu nem tive coragem para postar, mas concordo, é deste tipo de troca de ideias que a comunidade precisa.

Parabens.

Txii, o Victor. Ainda não percebi bem que cargo da Microsoft é que ele ocupa, mas só mesmo recebendo dinheiro para tentar defender o indefensável.

Até já tinha saudades da propaganda dele.. eheh.

Estava no outro dia no Google Developer Day em Mountain View e um senhor ao meu lado, outro attendee, da Microsoft. Abri o meu Macbook ao mesmo tempo que ele abriu o seu Sony Vaio. Quando o Windows Vista dele terminou de iniciar eu já tinha escrito três emails. Nessa altura, ele estava a tentar configurar a rede wireless (algo que foi imediatamente detectado no meu) e quando já eu estava a desligar o meu laptop, estava ele há 30 segundos à espera que o Outlook 2007 abrisse. Bravo!!

P.S. - O laptop tinha um sêlo a dizer "Windows Vista Capable". Brilhante ;-)

"Abri o meu Macbook"

Tens instalado os updates? ;o)

Victor

A Apple talvez vá bater algum record não? Ao ritmo que a coisa vai... foram para ái uns 150 desde que saiu o Vista, não? ;o)

Continuas o mesmo, a inventar, inventar, inventar...

A maior parte das vulnerabilities reportadas foram em 3rd party applications e não no core do Mac OS X.

Segundo, não conheço uma única pessoa que tenha sofrido alguma das vulnerabilidades e, acredita, conheço muita gente com Macs. Isto claro, ao contrário daquele outro [que dizem que é, mas dúvido] sistema operativo.. o windows, não é?

ain!... e eu que não pude participar na totalidade... fiquei sem saber como tornar o XP imune a virus!!
O senhor vitor não me quer explicar?

Este comentário foi removido pelo autor.

A forma que encontrei de tornar o Windows XP (o último que tive) sehuro, foi ir ao site http://distrowatch.com/ e escolher uma distro para instalar. Posso dizer que nunca senti o meu computador tão seguro como está.

edit: onde está sehuro, deve ler-se seguro

Vocês não me compreendam mal: Eu continuo a aconselhar os meus amigos a esligarem o windows da net e usar "outra coisa" para a net, no fundo é preferível a estar-se a correr riscos desnecessários que se podem tornar numa carga de trabalhos... mas acaba sempre por haver aquele gajo que só quer jogar warcratf e afins online...

O que eu tentei explicar é que é possivel andar na net com windows sem apanhar virus, mas nao julguem que é pera doce... 1º tem que começar a pensar com um criador de virus, aprender como eles funcionam. "conhecer o inimigo serve para derrotá-lo melhor" esta teoria foi aplicada em cenários de guerra. É uma aprendizagem continua e muitas vezes aprende-se com os nossos próprios erros. O mais dificil acaba por não ser o "saber de como proceder", é habituarmo-nos a fazê-lo sempre sem descuidos, é como ser-se eficiente a 200% a toda a hora...
Eu estive muitos anos a trabalhar com um P200MMX e win95, e com os anti-virus a ficar cada vez mais pesados, cheguei a um ponto que já não era viável manter o auto-protect a funcionar (o P200 cagava-se todo) e acabei por desligá-lo, andei durante anos sem um anti-virus activo no sistema, bastava ter cuidado com o que abria...
Mas lá está, é dificil sermos tão eficientes a toda a hora e acabei por ter 2 descuidos, mesmo assim apercebi-me logo após ter acionado os malfadados e tomei medidas de contra-ataque logo de seguida.

Outra situação engraçada é que quando toda a gente começou a falar de adware e spyware eu não sabia o que era... isto porque tinha deixado de usar o IE à muito tempo atrás, tinha descoberto que o Netscape na altura tinha bloqueador de popups (coisa que sempre me enervou), e era Netscape (versão 7 qq coisa) que usava na altura.

Só quanto tive mais $$$$ para fazer uma máquina mais recente é que me pus a experimentar SOs mais recentes...

Ao SP só lhe tenho a agradecer por me ter dado um empurrão a procurar alternativas ;)

Edit... também tenho direito ;)

""Ao SP só lhe tenho a agradecer""

Pois não era SP não, era mesmo XP.

João Matos:

"fiquei sem saber como tornar o XP imune a virus!!
O senhor vitor não me quer explicar? "

Então aconselho-o vivamente a ler os comentários que foram produzidos, vai aprender sem dúvida muita coisa, começando pelo facto de não existirem SOs imunes a Virus...

Victor

Mário:

"Continuas o mesmo, a inventar, inventar, inventar...

Mário, a querer atirar areia para os olhos continuas tu ;o), nesta audiência resulta sempre bem porque ninguém vai verificar, mas sabes que comigo não resulta... mas vais ter a oportunidade de o demonstrar ;o)

"A maior parte das vulnerabilities reportadas foram em 3rd party applications e não no core do Mac OS X."

LOL LOL LOL

http://docs.info.apple.com/article.html?artnum=61798

Podes ir contá-los, é que não só muitos como cada vez mais criticos, well done Apple ;o)

Victor

Reitero o que disse: continuas a inventar e muito. Mas, lamento informar-te, já ninguém acredita em propaganda barata da Microsoft, mesmo que não confirme o link que tu deste.

Para todos os efeitos, em http://docs.info.apple.com/article.html?artnum=61798 contam-se 62 updates desde há 2 (dois) anos atrás, incluindo updates a Java e updates de firmware à placa wireless Airport que nada têm a ver updates de segurança. Isso é quê, 100x menos que o Windows XP?

Não tentes iludir as pessoas. Todos os sistemas operativos, seja Windows, Linux ou Mac OS X têm bugs ou problemas momentâneos de segurança. A diferença é que o Windows tem 100x mais. Só isso.

"Reitero o que disse: continuas a inventar e muito."

Penso que fica claro todos os dias e todas as vezes que conversamos afinal quem é o inventor, de nós os dois sempre foste o mais criativo de longe, e nunca páras de nos surpreender ;o)

"Para todos os efeitos, em http://docs.info.apple.com/article.html?artnum=61798 contam-se 62 updates desde há 2 (dois) anos atrás"

LOL LOL LOL

Sim, parecem poucos não é? Só não esclareces que são updates monstruosos, uma verdadeira colecção de fixes a montes de componentes...

"Não tentes iludir as pessoas. Todos os sistemas operativos, seja Windows, Linux ou Mac OS X têm bugs ou problemas momentâneos de segurança. A diferença é que o Windows tem 100x mais."

Lá estás tu a inventar, não consegues provar mas não deixas de atirar a areia para os olhos dos mais distraidos... toma lá um relatório e diverte-te ;o)

http://blogs.technet.com/security/archive/2007/04/05/march-2007-vuln-scorecard.aspx

Não sei onde leste que o Windows tem 100x + vulnerabilidades... manda lá as tuas fontes, gosto sempre de aprender alguma coisa.

Victor

O link que tu deste é muito ilucidativo.

Significa que o Windows XP e o Windows Vista não têm vulnerabilidades de severidade média/baixa? Espetacular!! Quero já uma cópia de um desses sistemas operativos.

A única coisa que se pode facilmente interpretar do gráfico é que há quem não esteja a corrigir as vulnerabilidades, e pelo tamanho dos gráficos eu diria que era a Microsoft.

Ou seja, esse gráfico (nem vou questionar a fonte ser um blog) a única coisa que diz é que a Microsoft não corrige as suas vulnerabilidades.

Vamos então ao Secunia:

Windows XP Home (e apenas o Home --http://secunia.com/product/16/?task=statistics)

167 vulnerabilidades, 27 das quais por resolver (agora percebo o gráfico de cima!)

A vulnerabilidade unpatched mais crítica está classificada como "Highly critical".

Vamos ao Mac OS X agora.

A Secunia agrupa todas as versões do Mac OS X, mas vamos ignorar isso (http://secunia.com/product/96/)

102 Secunia vulnerabilidades, 5 das quais unpatched (o que dá 5x menos vulnerabilidades unpatched que o Windows XP).

A vulnerabilidade unpatched mais crítica está classificada como "Less critical".

Vamos agora ao Ubuntu 6.10. 84 vulnerabilidades, 0 por resolver.

Enfim, eu se fosse a ti ia pregar a tua missa aos teus. Porque já ninguém acredita nessa propaganda barata, acredita. As pessoas acreditam no que vê, e elas vêm um Mac OS X estável e seguro, um Linux estável e seguro e um Windows que só dá problemas.

Para "aquecer" mais um pouco o debate:
http://www.linuxworld.com.au/index.php?id=417467652&rid=-50

fiquei na mesma, mas feliz por isso! :D

"Significa que o Windows XP e o Windows Vista não têm vulnerabilidades de severidade média/baixa? Espetacular!! Quero já uma cópia de um desses sistemas operativos."

Não, se lesses com atenção e não na diagonal ias perceber... Esse relatório corresponde apenas ao primeiro trimestre deste ano... ganda azar...

"Ou seja, esse gráfico (nem vou questionar a fonte ser um blog) a única coisa que diz é que a Microsoft não corrige as suas vulnerabilidades."

No teu caso é cada cavadela cada minhoca... mais uma vez as fontes são estas:

http://cve.mitre.org/

http://www.kb.cert.org/vuls/byupdate?open&start=1&count=10

E ele utilizou uma bd que contém esta informação, e que é esta:

http://nvd.nist.gov/home.cfm

O que significa que aos números a que ele chegou até tu podes chegar também... ganda azar...

Já agora se contares os fixes que a Apple lançu nos últimos 8 meses vais ver que são bem acima de 100, seguramente.

"Enfim, eu se fosse a ti ia pregar a tua missa aos teus. Porque já ninguém acredita nessa propaganda barata, acredita"

Pois, as tuas técnicas puras de FUD são melhores, já que afirmações fazes muitas, provas apresentas, perto de nenhuma... ;o)

Tenho a certeza que o teu próximo sistema de eleição vai ser Windows... Ainda vou ver um post no teu blog com o titulo "Hey I'm a Switcher".

Victor

"http://www.linuxworld.com.au/index.php?id=417467652&rid=-50"

Pelo menos o registo de segurança do IIS6 é este:

http://secunia.com/product/1438/?task=statistics

O do Apache 2.0 não era assim tão impressionante:

http://secunia.com/product/73/?task=statistics

O do Apache 2.2.x está melhor:

http://secunia.com/product/9633/?task=statistics

Mas como vês do ponto de vista das vulnerabilidades, não é por aí. Agora o artigo e aparentemente a Google não dá detalhes, que são questionados no artigo, e que seriam interessantes para perceber a razão dos resultados, ou pelo menos para tentar tirar algum tipo de conclusões, que fizessem sentido.

O que eles dizem também eu posso dizer, e nem sequer tenho de provar, mas será que isso chega? Não me parece.

Victor

Victor/Vitor/Vitor Santos/Vassalo da Microsoft/whoever,

Que os teus fieis vao na tua cantiga, tudo bem, mas nao nos facas passar por patos.

Eu apresentei-te factos vindo da Secunia, que e' uma das mais prestigiadas firmas de seguranca. A partir de la' constata-se facilmente que:

1) Windows tem mais vulnerabilidades
2) Windows tem mais vulnerabilidades por resolver
3) Windows tem a vulnerabilidade mais critica por resolver (classificada como Highly Critical).

Agora, se arranjaste um blog que, ***nos ultimos tres meses***, ou seja, 5 anos (!) depois do Windows XP ser lancado e nem dois meses do Vista ter sido lancado (ou seja, quando existem menos vulnerabilidades na vida de um sistema operativo.. no inicio e no fim!), mostra menos falhas para o Windows... eh pa', olha, fixe para ti. Os teus fieis vao saltar de alegria, alguem que nao tenha feito uma lobotomia percebe a propaganda barata que estas a tentar fazer.

Vai pregar para outro lado. Shades of Windows nao e'?

Victor, não sou Vitor Santos nem tão pouco vassalo de quem quer que seja.

Mas tu utilizas os números e as fontes, conforme te dão mais jeito.

Não duvidas das fontes que enviei e que foram utilizadas naquele relatório pois não? Ou os dados serão muito diferentes? Olha que não.

Mas deixa-me dizer-te o seguinte, as tuas comparações de maçãs com laranjas podem ser feitas, não fazem é muito sentido

Utilizando a Secunia, como parece que preferes, repara no registo do

Windows XP
http://secunia.com/product/13223/?task=statistics

Windows Vista
http://secunia.com/product/22/?task=statistics

MacOSX (bem sei que é agregado, mas o XP não surge como SP1 e SP2 também)
http://secunia.com/product/96/?task=statistics

E se quiseres fazer comparações, então compara o registo de cada um tipo nos 6 primeiros meses de cada um, isso já será mais justo, e depois diz-me lá a que conclusão chegaste...

O relatório que viste é de 3 meses, porque o senhor anda a monitorizar o registo de cada SO de, e por isso vai publicando novos relatórios que focam sempre os ultimos três meses.

O de Janeiro que inclusive neste caso tem tb o YtD

http://blogs.csoonline.com/node/184


Mas ele já fez aquilo que te pedi para confirmares:

http://blogs.csoonline.com/windows_vista_90_day_vulnerability_report

Que vale pelo que vale, mas é mais justo do que as tuas tentativas de tapar o sol com a peneira...

O Vista saiu em Outubro de 2006, caso não tenhas reparado.

No futuro tenta ser mais rigoroso e não venhas com estes comentários, tipicamente de leitura na diagonal, sobre assuntos que pouco conheces e nos quais mostras pouca preparação.

E não vale a pena desconsiderar as fontes, porque independentemente de serem crediveis ou não "para ti" o importante é perceber se é sobre factos que estamos a falar e se o que lá se diz faz sentido, para além do mais o mundo não se esgota em ti e na tua opinião, e deixa-me acrescentar que ainda bem.

Victor

Não percebo, copiaste os links da Secunia mostrando que o Windows XP tem mais vulnerabilidades que o Mac OS X. Era isso que querias mostrar? Reiterar o que disse?

O Vista, naturalmente, não tem tantas. Foi lançado em Janeiro *para todos* e em Outubro apenas para alguns. Mas do Vista não falo, passou pouco tempo ainda para saber até que ponto é seguro (ou não).

Segundo, o relatório de 3 meses é absolutamente irrelevante. O Windows XP tem cinco anos e em cinco anos já foram descobertas centenas de vulnerabilidades. É natural que chegue a uma altura e estabilize ou estarias à espera que existam centenas de bugs todos os mês, eternamente?

Por fim, a minha opinião é relativa e subjectiva como qualquer outra. Falo do que vejo. E o que vejo são imensas pessoas com vírus e problemas no Windows e nunca conheci uma pessoa que tenha tido qualquer problema de segurança em Mac OS X ou Linux.

P.S. - Vitor, Victor é tudo a mesma coisa. Vêm todos do mesmo sítio.