Tux Vermelho: Usar anti-virus é imperativo?

02 junho 2007

Usar anti-virus é imperativo?

Relendo os comentários desta grande maratona, sinto que ficou uma coisa por esclarecer, pelo menos da minha parte: No artigo "Virus na vista ..." e também nos comentários, eu chamo à atenção para o excesso de confiança que os utilizadores de windows depositam nos anti-virus e que isso os leva a cometer erros, da mesma maneira que alguém que trabalha com ferramentas perigosas, se ganhar excesso de confiança a usá-la acaba por perder os dedos.
Se repararam, eu nunca discordei, nem contestei a afirmação de "não uso anti-virus no meu windows".
Isto porque eu próprio já afirmei no passado (em newsgroups) que a utilização do anti-virus não é uma obrigação, de facto até é dispensável se conhecermos como os virus funcionam. Tudo começa por não os temer, se em vez de entrarmos em pânico logo a apagar aquilo, tentarmos perceber como foi que ele ali apareceu, acabamos por descobrir que a coisa é mais básica do que parece.
Existem alertas alarmistas que dizem que "nunca abram o mail, nem sequer passem com o rato por cima!" ora isso é um alarmismo puro e simples. A unica coisa que não se pode fazer é activá-lo, pode-se mudar-lhe o nome, movê-lo para outra pasta, tirar cópias dele e até abri-lo como um simples documento usando um editor hexadecimal. Na presença de um ficheiro malicioso basta fazer uma coisa simples para lhe meter logo um "ançaime" no focinho... alterar a extenção dele para uma não reconhecida do sistema. Por exemplo, o ficheiro é "foto.exe" e renomeamo-lo para "foto.exe.virus" e pronto, agora mesmo que lhe deêm com um duplo-clique o sistema não o vai accionar, passou a ser um tipo de ficheiro desconhecido, e vai perguntar com que programa queremos abrir aquele tipo de documento.
Mas então como não ficar contaminado sem usar anti-virus?
- Os worms que aparecem parecendo "vindos do espaço" só por estarmos ligados à net podem ser bloqueados com uma firewall bem configurada.
- O malware que algumas webpages instalam precisam duma interface que permita que a webpage instale coisas no sistema (normalmente é o browser), um bom browser não vai permitir que essas webpages deêm qualquer tipo de ordem, aqui para mim mais perigoso é usar um browser que funcione com active-X, mas também o java poderá ser explorado e se calhar até o macromedia flash (neste momento até já se joga jogos em 3D com o flash).
- Os restantes que precisam que, ou os recebam, ou os vão buscar e depois precisam dum clique, é não os receber nem os ir buscar... ou não lhes cliquem. atenção que não são apenas os exe, bat, pif , etc os perigosos... alguns documentos podem conter macros que se tornam activas, há indicações que imagens tipo foto podem executar código se abertas com programas que usam uma certa biblioteca de processamento de imagem, etc... chegou até a existir um problema (acho que já banido) com as tag dos mp3 em certos leitores de mp3.

Claro que usar internet assim ficamos restringidos a não ver tudo o que muitas webpage têm, por exemplo para se declarar o IRS é preciso que o java r.e. esteja a funcionar... e lá voltamos ao mesmo, um bom browser tem a particularidade de podermos escolher em que "sites" permitimos que o java funcione... é tudo uma questão de: confiu neste site, deixo isto funcionar... não tenho confiança naquele, não o deixo executar nenhum script, e ele que se queixe à vontade.

Há também a hipótese de termos um anti-virus passivo que não gasta recursos (com o auto-protect ou sentinela desligado) e neste caso podemos escolher um dos que têm as maiores bases de dados (os que detectam maior nº de virus) em vez dos light-av que parecem estar agora na moda, e usarmos esse av para sondar aquele ficheiro que fomos buscar antes de o accionarmos... se for um ficheiro tipo zip, podemos sondá-lo antes e depois de descompactado.

O que eu tento dizer com isto, e que fique bem claro, não é "deixem de usar anti-virus dum dia para o outro"... mas sim, não depositem excesso de confiança no anti-virus, tentem aprender o "como lidar com um virus", compreender como é que eles infectam um sistema, qual é o impulso que os torna activos, e principalmente não se borrem de medo deles... com o tempo vão acabar por compreender que não é tão imperativo ter um anti-virus a interceptar tudo o que fazem, e optar por desligar o auto-protect... eu fiz isso. Claro que se vamos usar o AV passivo para sondar coisas que nos trazem em cd ou outro tipo de volume de ficheiros, ou ficheiros que tiramos/mandam da net, então é necessário manter a base de dados do AV actualizada.

Uma coisa não podem discordar, se aceitarmos tudo o que nos mandam, nos pusermos a abrir tudo o que há na net, então mesmo com anti-virus activo vamos contaminar o sistema. O AV vai apanhar alguns mas nunca todos e eventualmente acabará por ser ele o apanhado... com isto quero dizer que uma vez que temos certeza que o sistema está contaminado, já nem devemos mais acreditar no que o AV nos reporta, ele pode estar comprometido também. Devemos usar outro sistema operativo limpo com outro AV se queremos tentar recuperar o nosso, mas o melhor mesmo é reinstalar tudo de limpo.
Se encontrarmos um virus no sistema, provavelmente estarão lá mais, muitos dos virus recentes, quando se activam vão buscar mais virus da net e instala-os ele sem que o utilizador veja nada.

Resumo final:
Usar windows na internet corre-se riscos com ou sem anti-virus, a componente humana e o seu comportamento é que fazem a diferença... se alguém consegue navegar na net em segurança com windows é porque é conhecedor de como o fazer, não é porque usa anti-virus.

Já agora para titulo de informação, a minha migração para Gnu/Linux não se deveu ao malware...
Foram outras as razões de procurar alternativas.

Cumprimentos
ArameFarpado

17 comentários:

Anónimo disse... 02 junho, 2007 03:39: É bem verdade o que disseste, não é necessário usar anti-virus é preciso ter cuidado , o mesmo que tens quando sais à rua... estás sempre sujeito a que te aconteça alguma coisa mas o risco não é muito grande.
Anónimo disse... 02 junho, 2007 10:34: Boa aramefarpado está melhor, outra recomendação importante é a de tentarem não utilizar contas com privilégios de administração, esta medida consegue conter muito do impacto que esse lixo tem porque deixa logo de conseguir escrever ou alterar zonas importantes e que devem manter-se protegidas.

No Windows XP, a coisa requer alguma aprendizagem, atenção que algum sw pode não estar desenhado para o suportar (chateie o fabricante mande e-mails a queixar-se). Mas vale bem a pena.

Aqui está um documento em que se explica o principio e as suas vantagens.

http://technet.microsoft.com/en-us/library/6082a45f-a56c-1741-bebc-94ec86c5b1a6.aspx

Para se avançar para a sua implementação, e para quem ainda não se sente à vomtade mas quer experimentar vale a pena ler a informação de alguns dos recursos disponiveis neste documento.

Utilizadores informados, e conhecedores dos riscos e de como as coisas funcionam é bom, seja em que plataforma for, e no longo prazo vai tornar "o ambiente menos poluido"... ;o)

Bom fim de semana.

Victor
Anónimo disse... 02 junho, 2007 13:46: "nunca abram o mail, nem sequer passem com o rato por cima!" ora isso é um alarmismo puro e simples.

Há de facto algum alarmismo nisso, mas o mais trágico é que graças ao Outlook já houve época em que abrir um simples mail resultava em infecção. Nenhuma pergunta, nenhuma intervenção do utilizador.
Mário Martins disse... 02 junho, 2007 15:09: Gostei muito desta dissertação acerca do tema da segurança, em especial da questão do vírus e dos respectivos softwares de prevenção.

A questão é de todo complicada, especialmente quando chegamos à conclusão que as pessoas a complicam. No fundo a questão baseia-se em manter a calma e pensar um pouco. Talvez dar os seguintes passos no nosso pensamento:

- O que é um Vírus?
- Como poderá ele infectar a minha máquina?
- O que devo fazer para o contornar?

À primeira pergunta devemos sempre responder da forma mais fácil: é uma espécie de script. Sendo assim o vírus tem uma espécie de rotina programada que apenas espera o "interruptor" para ser activada. Geralmente esse interruptor acaba por ser activado pelo próprio browser ou então pelo utilizador mais distraído.

Ao responder a esta primeira questão, quase automaticamente, temos a resposta para segunda! Esse script só vai ser executado se for, por assim dizer, despoletado. Então o que temos de fazer é simples, olhar o ficheiro, mudar a sua extensão, abrir o ficheiro com o notepad (caso tenhamos conhecimentos para perceber programação) e então perceber o que está realmente em causa.

E isto automaticamente responde à terceira questão. Muitas vezes não é possível eliminar um vírus, mesmo alterando a sua extensão, o que significa que um antivírus instalado pode não ser, de todo, uma má ideia. A questão é a seguinte: devo ter um antivírus proactivo, ou reactivo?

Na minha opinião um antivírus proactivo é apenas necessário para quem gosta muito de procurar cracks para as suas aplicações compatíveis com windows, nunca se sabe o que vem dentro daqueles rar's manhosos e muitos deles manifestam-se pelo simples acto da extracção.

Fora isso, um antivirus reactivo (que consome muitos menos recursos) é o que aconselho para manter os ficheiros na quarentena. Talvez até o ClamWin, um antivírus muito simples, muito actualizado pela sua comunidade, opensource, e sem ter, contudo, um active scan (ou seja, uma constante verificação sempre que se utiliza um ficheiro, sempre que se navega, etc).

No fundo, tal como disseste, é essencial manter a calma, discernir e pensar antes de agir. Muitas vezes as pessoas são levadas a ter medo de script's ridículos por serem mal aconselhadas pelos amigos ou pelos pseudo técnicos de informática que lhe formataram o PC da última vez que ele apanhou vírus...

A questão mais difícil de responder é esta:
E quanto à possibilidade de o browser accionar o virus só por si (por exemplo no caso de scripts via activex)?
A resposta é simples, optar por um browser suportado por uma comunidade espalhada por todo o mundo, aqueles que realmente percebem os reais problemas pelos quais as pessoas reais podem passar. E esse browser é o firefox que vai já na versão 2.0.0.4. Tudo o resto, desde IE6, passando pelo IE7 e todas as outras modificações com base nestes últimos, estarão sempre mais expostos...

Mais uma vez parabéns por esta dissertação e continua assim.

Abraços.
ArameFarpado disse... 02 junho, 2007 17:13: ""Vitor... outra recomendação importante é a de tentarem não utilizar contas com privilégios de administração, esta medida consegue conter muito do impacto que esse lixo tem porque deixa logo de conseguir escrever ou alterar zonas importantes e que devem manter-se protegidas.""

Humm, como tu, também eu falo apoiando-me em experiências que tive, e esse sistema de permissões do windows xp já o apontei como anedota e continuo a dizê-lo. Quanto ao Vista, não posso afirmar que continua igual, mas ao ler os detalhes técnicos do virus W32.Sality.X fico com a sensação que pouco mudou...

Ora bem, o que vou descrever é baseado no XP-SP2 usando conta sem previlégios, é como estão todos os pc's na empresa onde trabalho e uso alguns deles no dia-a-dia e já descobri várias gralhas no dito sistema...
Devo começar por dizer que o sistema de permissões do winxp parece mais virado para não deixar utilizadores sem conhecimentos mexer no sistema, e mesmo nisso tem algumas situações que não concordo com elas já que chega mesmo a não permitir alterações de algumas preferências do utilizador. Todos os pc's lá têm apenas um "user" registado (fora o administrador claro), mas são na verdade utilizados por várias pessoas sempre no mesmo desktop.
Mais uma vez digo-te que isto que vou escrever é baseado em várias situações reais que já se passaram e que nem o administrador do sistema me soube explicar porque é que elas aconteceram...

Uma das preferências pessoais que não se consegue mudar é o tamanho das font, pode-se mudar a resolução, o nivel de cor, mas quando se chega ao tamanho das font ele diz que tem que ser o administrador a fazê-lo... acho isso uma estupidez, porque o tamanho das letras é uma preferência pessoal.

em linux, um programa acionado por um user, fica com as mesmas permissões que esse user tem, se o user não puder aceder à drive de disquetes assim também qualquer programa acionado por esse user não o pode, à excepção se esse programa estiver pré-configurado com parametros especiais que só o root (administrador) pode regular.
mas em winxp isso não se passa sempre assim: já vi "n" vezes um virus acionado por um utilizador ficar "catalogado" no gestor de processos com user "SYSTEM", foi acionado pelo user "pnrec145" e na tabela de processos tem user "SYSTEM", ora como user system, este virus ganha poderes de escrever em áreas que o user normal não pode e chega mesmo a que o user normal não consegue parar o processo porque deixou ter ter previlégios para isso.
Pergunto: como é que um programa que nuca esteve naquele sistema e acionado por um utilizador pela 1ª vez consegue ficar com os mesmo poderes do SYSTEM?

Outra situação é esta:
http://www.symantec.com/security_response/writeup.jsp?docid=2006-072111-1111-99

Alguém consegue explicar como é isto possível? Não acredito que este trojan tenha que ser acionado pelo administrador, notem isto um um prof of concept, não estraga nada nem prejudica nada, e até poderia servir para recuperar uma pass de administrador que poderia estar esquecida. se precisasse ser acionado pelo administrador então era básico demais para sequer se estar a fazê-lo porque não ia provar coisa nenhuma.

Outras situações estranhas com o sistema de permissões:
1- Acho incrível o painel de control estar 90% bloqueado mas depois o regedit deixa mexer em tudo á excepção das chaves pertencentes à conta de administrador... toda a secção de hardware está disponivel para ser modificada.
2- Na realidade o sistema não impede que um user instale programas, fica a ideia que são os installers que testam se quem os accionou tem ou não previlégios para o fazer:
Alguns installers não avançam enquanto outros parecem não ligar patavina a que é o user que os está a correr...
exemplos que já vi nos ditos pc's:
--Uma simples base de dados que usamos para indexar pdf's não instala, e esta base de dados não altera nada no sistema.
--Um programa de consulta a esquemas electricos deixa-se instalar, mas depois precisa de duas ferramentas adicionais que ele não trás, são o JRE e um SVG viewer... ora o SVG viewer instala mas o JRE não.
--O acroread V 5 deixava-se instalar, mas o V 7 não.
--Um programa como o Winrar que modifica o conteudo do menu gerado pelo botão drt do mouse e mexe nas associações de ficheiros deixa-se instalar sem pestanejar.
--O googleearth instala que nem gingas...
--já ouve quem conseguisse instalar jogos e demos de jogos normalmente o que deixou o administrador fulo da vida :)
mas nem todos os jogos foi possivel instalar.

De notar que todos os progrs instalados quer pelo administrador quer pelo user vão sempre se alojar em C:\Programas\xxxx portanto não há na realidade uma protecção de "não podes escrever ali"... inclusive algums programas metem ficheiros na C:\windows\system o que se tentarmos lá criar um ficheiro no explorer levamos com um "acesso negado"

O que eu concluo com isto é:
o sistema de permissões do windows baseia-se na boa vontade dos programas e não há realmente imposto um bloqueio ao acesso... se um programa for bem comportado, ele vai respeitar as permissões e não escrever, mas se for mal comportado vai ignorar as permissões. Mais ou menos como eu saber que tenho que parar no sinal vermelho quando conduzo, mas na realidade não há lá nada que me impeça de arrancar com ele ainda a vermelho, ou posso nem parar sequer.

Portanto, em relação a malware, o sistema de permissões do windows (pelo menos até ao XP) também não é grande defesa, pode efectivamente parar alguns dos virus mas não contem com ele para para-los a todos.

Abraços
ArameFarpado
ArameFarpado disse... 02 junho, 2007 17:27: Mário Martins ""mudar a sua extensão, abrir o ficheiro com o notepad (caso tenhamos conhecimentos para perceber programação) e então perceber o que está realmente em causa.""

Normalmente os virus são binários, abri-los com o notepad não dá para ver muito bem já que este não consegue representar correctamente a maioria dos caracteres que lá estão e aparecem muitos deles como simples quadrados... é mais correto usar algo como o HexEdit.

""Muitas vezes não é possível eliminar um vírus, mesmo alterando a sua extensão,""
Alterar a extenção do contaminante nao vai servir de nada se já o tivermos accionado antes, serve sim para o inutilizar caso lhe dermos um clique acidental.

Aapagar o contaminante depois de contaminado também não serve absolutamente para nada, e nalguns casos, na presença dum virus ainda desconhecido, até estamos a deitar fora a melhor possibilidade de nos livrarmos dele... uma analise técnica ao contaminante iria determinar o que ele faz e como o desfazer... claro que pouca gente tem conhecimentos para uma analise dessas, aí a melhor acção a seguir seria enviar esse contaminate para os developers do anti-virus que usa, escrever tem contaminou o sistema com este ficheiro e esperar que eles analisem e lhe dêm instruções de como o remover e corrigir os estragos que ele causou.
Agora lembrei-me dum pormenor importante:
muitas vezes um anti-virus a remover um virus não remove tudo o que ele criou ou alterou, algumas coisas devem ser corrigidas manualmente, por isso devemos ler sempre as instruções de remoção que normalmente estão associadas à descrição do virus que nos afectou. Se na descrição estiver indicar que este virus puxa outros da net e instala-os (como muitos agora o fazem), então não basta remover 1 virus, podem estar mais no sistema.

Cumprimentos
ArameFarpado
ArameFarpado disse... 02 junho, 2007 17:38: ""escrever tem contaminou o sistema com este ficheiro""

isto leve ler-se:

escrever que contaminou o sistema com este ficheiro
ArameFarpado disse... 02 junho, 2007 19:20: ""Se na descrição estiver indicar que este virus puxa outros da net e instala-os (como muitos agora o fazem), então não basta remover 1 virus, podem estar mais no sistema.""

um bom exemplo está aqui:
http://www.symantec.com/security_response/writeup.jsp?docid=2007-060112-0358-99
Anónimo disse... 03 junho, 2007 08:25: "mas ao ler os detalhes técnicos do virus W32.Sality.X fico com a sensação que pouco mudou..."

Se os leres vais perceber que necessitas da intervenção do utilizador, e que para escrever nos executáveis necessita de ter permissões... Com método anterior não as tem...

"Ora bem, o que vou descrever é baseado no XP-SP2 usando conta sem previlégios, é como estão todos os pc's na empresa onde trabalho e uso alguns deles no dia-a-dia e já descobri várias gralhas no dito sistema..."

Não são gralhas, são operações que foram definidas como tendo de ter permissões de administraçáo para poderem ser executadas, e sim muitas delas foram revistas no Vista. Mas já agora já ouviste falar no RUN AS? (semelhante ao Sudo) resolve-te a maioria desses problemas, e não tens de utilizar sempre uma conta com pribvilégios máximos.

"1- Acho incrível o painel de control estar 90% bloqueado mas depois o regedit deixa mexer em tudo á excepção das chaves pertencentes à conta de administrador... toda a secção de hardware está disponivel para ser modificada."

Não tenho um XP aqui à mão, mas olha que não, no meu Vista Everyone só tem permissões de leitura, no XP será igual.

"em linux, um programa acionado por um user, fica com as mesmas permissões que esse user tem"

E como achas que funciona no Windows? É exactamente a mesma coisa.

"mas em winxp isso não se passa sempre assim: já vi "n" vezes um virus acionado por um utilizador ficar "catalogado" no gestor de processos com user "SYSTEM", foi acionado pelo user "pnrec145" e na tabela de processos tem user "SYSTEM""

Isso é porque o serviço ou processo estáo configurado para correr como Local System Account, o que basicamente é mau... já que lhe permite fazer demasiadas coisas... o que significa que qq coisa que corra nesse contexto tem acesso priviligiado ao sistema, mais uma vez é uma questão de desenvolvimento... (developers, developers, developers ;o) )

"Alguns installers não avançam enquanto outros parecem não ligar patavina a que é o user que os está a correr..."

Claramente quem avança é porque tem os reuisitos necessários para o conseguir fazer, daí não importunar o utilizador com problemas.

Mas já agora não é necessário achares que isto é uma questão de sorte, existem um numero bastante grande de ferramentas que te permite perceber exactamente o que está a acontecer quando este tipo de problemas acontece:

http://www.microsoft.com/technet/sysinternals/default.mspx

Todos os exemplos que dás, podes diagnosticá-los com algumas das ferramentas acima, e vais ver que tens muitas surpresas, entre o que acontece e aquilo que é a tua percepção...

"O que eu concluo com isto é:
o sistema de permissões do windows baseia-se na boa vontade dos programas e não há realmente imposto um bloqueio ao acesso... se um programa for bem comportado, ele vai respeitar as permissões e não escrever, mas se for mal comportado vai ignorar as permissões."

Ora aqui é que está o teu erro, UMA APLICAÇÃO NUNCA VAI PODER IGNORAR AS PERMISSÕES SÓ VAI PODER USAR AS QUE LHE SÃO PERMITIDAS. Ora o teu problema é que permite pela configuração que tem que as aplicações façam mais do que devem, essa sim é a questão.

A instalação de sw pode ser permitida ou não através de politicas que podes implementar para tal, se quiseres instalas um Windows e aplicas uma politica em que o utilizar so usa uma única aplicação por exemplo, ou se pode instalar sw ou não, a granularidade é bastante grande ao nivel das politicas que podes aplicar ao sistema.

Victor
Anónimo disse... 03 junho, 2007 09:47: Apenas para clarificar:

"Ora o teu problema é que permite pela configuração que tem que as aplicações façam mais do que devem, essa sim é a questão."

Ora o "teu" problema é que permites pela configuração que tens que as aplicações façam mais do que devem, essa sim é a questão.

Os links que aqui coloquei explicam bem os problemas, e esse não é definitivamente um problema, o que tu apontas é o que eu te dizia, a grande maioria das pessoas não percebe como as coisas funcionam, não percebem sequer os conceitos.

É o que eu te dizia em Windows nenhuma aplicação pode utilizar privilégios que não lhe tenham sido atribuídos explicita, ou implicitamente, e aqui está o problema é que tu na maioria das vezes já lhe deste essas permissões sem te aperceberes.

Se ha partida fores mais restritivo, as "más" aplicações vão logo bater na falta de condições para funcionar, e aí deves é reportar ao fabricante para corrigir o problema, porque de outra forma estás a aceitar expor o teu sistema a muitos e diferentes riscos.

Victor
ArameFarpado disse... 03 junho, 2007 15:58: ""Se os leres vais perceber que necessitas da intervenção do utilizador,""
Claro, quase todos precisam, mas não é isso que está em causa.

""e que para escrever nos executáveis necessita de ter permissões... Com método anterior não as tem...""
Desculpa lá, pelo que tenho lido, o Vista vem por default a não dar permissões (quase) nenhumas aos utilizadores, de facto há certas situações em que nem logando como administrador se tem permissões suficientes e é preciso recorrer a comandos especiais. Mas ao que parece este virus passa ao lado disso tudo.

""Isso é porque o serviço ou processo estáo configurado para correr como Local System Account, o que basicamente é mau... já que lhe permite fazer demasiadas coisas...""

Está a pressupõr que os XPs da minha empresa estão mal configurados, então como não sou eu que os configuro não o posso contestar, mas olha que quem os configura não é parvo nenhum. Estamos a falar duma empresa que tem vários servers ligados à net, vários servers internos, mais de 400 máquinas ligadas em rede e que quase todas interagem umas com as outras... O administrador tem muitos anos de informática e se é coisa que ele não faz é desprezar os manuais... nota que incidentes como os que descrevi não acontecem constantemente, são esporádicos.
e eu disse que um programa que chegou num mail e foi accionado pela 1ª vez ganhou "user SYSTEM", ora isso não coíncide com:
""Isso é porque o serviço ou processo estáo configurado para correr como Local System Account, ""
Não, não podia estar, aquele processo tinha acabado de chegar num mail.

Quanto às permissões de escrever:
não explicaste como é que eu no explorer não consigo criar ou copiar um ficheiro para a c:\windows\system e algums programas accionados por mim conseguem, programas esses que nunca estiveram antes no pc.

acredito que dê para restringir ainda mais as permissões, mas aquilo são ferramentas de trabalho e têm que ter um mínimo de funcionalidade, e nalguns pormenores já estão restringidas demais... já ouve casos em que foi preciso telefonar ao administrador para ele cancelar um trabalho de impressão que congelou e ficou a manter uma impressora ocupada e que nem o user que lançou o trabalho o podia cancelar por falta de permissões.

""Não tenho um XP aqui à mão, mas olha que não, no meu Vista Everyone só tem permissões de leitura, no XP será igual.""
Nope, já parei um virus num deles removendo as chaves que o activavam no regedit, não pude remover o virus porque as permissões não me deixaram apagar o ficheiro, mas retirando a ordem de arranque dele consegui desactivá-lo e o pc ficou assim durante um dia até que fosse logado como administrador para se remover de lá o ficheiro. Portanto o regedit não está read-only para os users.

""UMA APLICAÇÃO NUNCA VAI PODER IGNORAR AS PERMISSÕES SÓ VAI PODER USAR AS QUE LHE SÃO PERMITIDAS""
tudo bem, então explica porque é que o winrar (a versão 2.80) instala no windows sem pedir para ser o administrador a fazê-lo.

E nem sequer tentaste explicar aquela situação do virus que altera a password de administrador... mas tudo bem :)
Apenas gostava de ler uma explicação para o facto dum virus conseguir substituir ou modificar um ficheiro que é suposto estar trancado a sete chaves.

""Ora o teu problema é que permite pela configuração que tem que as aplicações façam mais do que devem, essa sim é a questão.""
Isso não explica o porquê de algumas instalações não avançarem e outras sim, ou estamos restringidos a não poder instalar programas ou então não estamos.

Por acaso não seria a isto que te referiste quando disseste que algumas aplicações não são compativeis com a utilização do pc sem previlégios?
Não vais estar à espera que criadores de malware se preocupem com essa compatibilidade pois não?

Abraço
ArameFarpado
Anónimo disse... 03 junho, 2007 17:39: "Claro, quase todos precisam, mas não é isso que está em causa."

Parece-te um pormenor, mas define a o risco e o impacto que o mesmo pode ter, já que há milhentas formas de o mitigar.

"Mas ao que parece este virus passa ao lado disso tudo."

Mostra-me lá onde isso está escrito?

"nota que incidentes como os que descrevi não acontecem constantemente, são esporádicos. "

Mais uma razão para serem investigados, nada acontece aleatoriamente, nem por sorte, nem por magia.

"Não, não podia estar, aquele processo tinha acabado de chegar num mail."

Não vou estar a falar do que não conheço, seria necessário investigar, mas de certeza que fez o que fez porque tinha permissões para tal, ou explorou uma vulnerabilidade, são as únicas hipóteses, nenhum processo ganha privilégios porque lhe apetece e por que o SO deixa.

"Quanto às permissões de escrever:
não explicaste como é que eu no explorer não consigo criar ou copiar um ficheiro para a c:\windows\system e algums programas accionados por mim conseguem, programas esses que nunca estiveram antes no pc"

Porque essa é a configuração por omissão, o que está correcto, em relação ao resto, tens mesmo de investigar, eu esperava que fosses ler e usar as ferramentas de que te falei mas pronto, fazes assim:

Crias uma conta do tipo standard user e experimenta instalar uma dessas aplicações que precisa de permissões de administração, experimenta outra que não, do tipo é limpinho e não pergunta nada.

Simultaneamente pegas em duas das ferramentas daquele website, o Regmon e o Filemon, e activa-as. Tentas as operações completas numa obtens um erro na outra podes ir até ao fim.

Essas ferramentas registam todas as operações feitas sobre o registtry e sobre ficheiros, sejam para ler, abrir, gravar, pesquisar, etc. TUDO FICA GUARDADO

No final vais encontrar, no erro onde a aplicação estava a tentar aceder, e no segundo pode verificar que essa não deve ter mexido em nada para o qual não tivesse permissões.

Guaranto-te que assim ficas a conhece muito melhor os problemas de que te queixas, em vez de achar que a culpa é do sistema.

"acredito que dê para restringir ainda mais as permissões, mas aquilo são ferramentas de trabalho e têm que ter um mínimo de funcionalidade"

Achas que não consigo usar o sistema?

"já ouve casos em que foi preciso telefonar ao administrador para ele cancelar um trabalho de impressão que congelou e ficou a manter uma impressora ocupada e que nem o user que lançou o trabalho o podia cancelar por falta de permissões."

Esse foi um problema na queue de impressão, tipicamente o utilizador pode cancelar os seus próprios trabalhos, se existir algum problema com a queue é natural que tenha de ser o administrador a resolver, afinal não estás a lidar com um recurso teu.

"Portanto o regedit não está read-only para os users."

Não estavamos a falar o HKEY_LOCAL_MACHINE?

e nas componentes de hw?

"Tudo bem, então explica porque é que o winrar (a versão 2.80) instala no windows sem pedir para ser o administrador a fazê-lo."

Usa o sw que te recomendei e vais perceber.

"conseguir substituir ou modificar um ficheiro que é suposto estar trancado a sete chaves"

Duas possibilidades ou tem permissões para isso contrariamente ao que pensas, ou explorou uma vulnerabilidade, para isso é importante manter o sistema actualizado.

"Isso não explica o porquê de algumas instalações não avançarem e outras sim, ou estamos restringidos a não poder instalar programas ou então não estamos."

O método que te expliquei acima vais ajudar-te ;o)

"Não vais estar à espera que criadores de malware se preocupem com essa compatibilidade pois não?"

Os criadores de malware, são developers à mesma, e não estão preocupados com regras (até porque o proprio sw deles pode ter bugs ;o) ), mas como te disse aproveitam-se de sistemas menos restritivos do que seria desejável, porque de outra forma só poderiam explorar as vulnerabilidades.

Victor
Anónimo disse... 03 junho, 2007 17:51: "Mostra-me lá onde isso está escrito?"

Já vi no teu artigo anterior.

Repara no impacto (LOW), e com o standard user tens as seguintes permissões em %system%

- Read&Execute
- List folder contents
- Read

Victor
ArameFarpado disse... 03 junho, 2007 18:28: ""Porque essa é a configuração por omissão, o que está correcto, em relação ao resto, tens mesmo de investigar, eu esperava que fosses ler e usar as ferramentas de que te falei mas pronto, fazes assim:""

Não posso, nenhum daqueles pc's é meu, não posso estar lá a instalar ferramentas e não posso criar mais contas para experiências... apenas poderei sugerir o uso dessas ferramentas ao administrador.

""mas como te disse aproveitam-se de sistemas menos restritivos do que seria desejável, porque de outra forma só poderiam explorar as vulnerabilidades.""
Poix, lá está. explorar vulnerabilidades, pelo que se tem visto não é tão dificil galgar por cima das permissões.

Relativo ao virus do Vista:
""Repara no impacto (LOW), e com o standard user tens as seguintes permissões em %system%

- Read&Execute
- List folder contents
- Read
""

Bem o impacto LOW não me diz grande coisa, já que até info stealers que procurar apanhar passwords bancárias são classificados de Low Risc.

agora:
- Read&Execute
(ler e executar não é escrever)
- List folder contents
(listar directório é ler a lista de ficheiros)
- Read
(ler)

nenhum destes atributos permite "escrever", e no entanto o virus escreve lá... então a razão não pode estar aqui, lá está, é preciso explorar uma vulnerabilidade.
dai se conclui que o Vista não é o SO que papa-virus-ao-pequeno-almoço como tem estado a ser descrito no markting dele. Acredito que taparam alguns dos exploits, mas ainda lá ficaram suficientes.

Abraço
ArameFarpado
Anónimo disse... 04 junho, 2007 00:09: "nenhum destes atributos permite "escrever", e no entanto o virus escreve lá... então a razão não pode estar aqui, lá está, é preciso explorar uma vulnerabilidade."

Oh amigo, acredita que em na grande maioria das vezes não exploram vulnerabilidade nenhuma, mas sim a grande larguesa de acção ;o)

Porque não instalas uma máquina virtual e testas? Não precisas de um PC de outros, podes experimentar por ti próprio e assim já acreditas, se mesmo assim não te for fácil perceber os resultados eu posso tentar ajudar-te.

Mais não posso fazer...

Victor
Anónimo disse... 05 junho, 2007 01:08: "Tudo bem, então explica porque é que o winrar (a versão 2.80) instala no windows sem pedir para ser o administrador a fazê-lo."

Fui instalar a versão 3.7 beta 8, e o que dizes NÃO É VERDADE, experimentei no Vista UAC imediatamente a pedir credenciais de uma conta com privilégios de admin, coloquei o process monitor e de facto ele não escreve onde não deve e verifica se pode como não pode pede permissões para tal, e corre no contexto correcto, por isso meu amigo dá-me exemplos que neguem isto, estes não servem...

Victor
Anónimo disse... 06 junho, 2007 01:32: "Possivelmente essa nova versão já está "compativel" com o sistema de permissões."

Amigo farpado, não existe esse conceito do compativel com o sistema de permissões, porque te recusas a ler e a experimentar? Parece que estou a falar mandarim (assumo que não conheces ;o) ).

Mas eu vou à procura da porra dessa versão para experimentar.

Victor

Enviar um comentário

Tux Vermelho

02 junho 2007

Usar anti-virus é imperativo?

17 comentários:

Autores

Pesquise no Tux

Ubuntu 10.10

Apreciadores deste estaminé

Leituras com pinguins...

Categorias

Albergues do Tux

Distros Nacionais

Tuxam Para Aqui

Planeta DebianPT.org

Planeta Gnu/Linux Brasil

Serviços

Feeds