O Globo Informática
Etc..
Seu PC, a fortaleza
Por André Machado
Como transformar seu computador numa fortaleza quase inexpugnável?
O “quase” vai por conta da afirmação
que todo perito em segurança de TI conhece: não
existe software perfeito. Dito isso, consultamos Alexandre
Freire, especialista em segurança sênior
da Schlumberger Information Solutions, para saber como se preparar
antes de mergulhar de cabeça na rede.
— No ambiente Windows XP, o mais usado atualmente, o
usuário deve ativar todas as ferramentas de segurança
que vêm nativas no sistema operacional — diz
Alexandre. — Primeiro, o update automático
deve ser ativado, para que o sistema se conecte ao site do Windows
Update e atualize todos os patches (“remendos”)
de segurança.
Além disso, o Windows possui um firewall pessoal, o
Internet Connection Firewall, que trabalha com filtro de pacotes.
— Por default, ele já vem com tudo bloqueado,
e o usuário precisa especificar os tipos de serviço
que deseja aceitar, como usar POP3 para verificar email, utilizar
FTP para transferência de arquivos e assim por diante
— diz Freire.
Além disso, todas as configurações de
segurança que ficam no Painel de Controle (System Security)
devem ser levadas em conta. A personalização de
senhas e contas é um bom exemplo.
— Em geral, as pessoas nem usam senha no PC de casa,
mas isso deve ser feito.
A lição n 1: saber se valer do próprio
Windows
Freire diz que todos os membros da
família devem ter seus perfis definidos no sistema, com
logon e senha. Também é importante desabilitar
as contas “guest” e “administrador”
do sistema operacional, as mais exploradas em tentativas de
invasão (justamente por serem comuns em todos os tipos
de sistemas).
É preciso ainda ativar a característica do sistema
que lhe permite criticar uma senha fraca criada pelo usuário
(com poucos caracteres, fácil de deduzir, e assim por
diante). E configurar o Windows para aceitar senhas com um número
mínimo de oito caracteres, (com números e letras
misturados, de preferência).
— É fundamental trocar de senha periodicamente.
Tem de haver um prazo. Ninguém gosta, mas é preciso.
De preferência, 30 dias. No máximo, 60 dias —
diz Freire.
Deixe o sistema avaliar as senhas, para evitar as fracas
Outra boa dica é manter ativa a função
Unique Passwords, em que o Windows lembra as últimas
senhas utilizadas e não deixa o usuário bolar
uma nova parecida com elas. Freire
lembra ainda que nunca, jamais, em tempo algum se deve usar
a mesma senha para PC, programas, webmail, logon no trabalho...
É um tiro no próprio pé. E, se você
trabalha numa máquina em rede, compartilhada, e está
na internet, dê uma olhada nos logs do sistema para ver
se há tentativas de invasão.
— De repente, o usuário encontra uma conta “joãodasilva”
com diversas tentativas de logon bloqueadas. Isso quer dizer
que alguém está tentando entrar no sistema com
essa conta, cuja existência dentro da máquina foi
detectada por elementos externos. O passo seguinte é
desabilitar tal conta.
Existem ainda programas que, instalados no micro, deixam suas
próprias contas de sistema dando sopa.
— Muitas vezes alguém instala, digamos, um web
server pessoal e mais tarde, ao desinstalá-lo, a conta
do software permanece no PC, na lista de usuários. Ela
deve ser desabilitada, pois é um tipo de conta conhecida
e visada. Quando alguém quer atacar o sistema, procura
logo as contas usuais do próprio SO ou de aplicações.
Olho vivo, pois.
Deve-se igualmente desabilitar o que não se usa. Há
vários programas rodando num sistema. Se você não
tiver impressora, para que manter funcionando os serviços
de impressão? Quem não tem compartilhamento de
arquivos numa rede local não precisa se valer do NetBIOS;
assim não se permite o serviço browser que acessa
dados compartilhados.
— Esses serviços que não estão sendo
usados expõem a máquina desnecessariamente —
diz Freire. — Poucos são
os usuários de PCs conectados a banda larga que mudam
as permissões de acesso aos arquivos. É preciso
remover aquela permissão default de “controle para
todo mundo”. Pelo menos nos arquivos de trabalho e mais
pessoais, deve-se controlar o acesso ao diretório onde
tais arquivos se encontram.
Também é uma boa idéia criptografar arquivos.
Ou usando o próprio encriptador do Windows, o EFS, ou
o PGP, que trabalha com chave pública e privada. O Cypher,
da Oasys, também é ótima pedida.
— Eu criptografo todos os meus arquivos confidenciais
no notebook com ele — diz Freire.
— A chave pública fica no computador e a privada,
num token. Um documento .doc ganha extensão .doc.pgp,
e eu apago o arquivo original de minha máquina. Uso PGP
igualmente no email, para autenticar e garantir a integridade
dos dados.
Segundo o especialista, o PGP também oferece a possibilidade
de criar um volume virtual criptografado, via PGP Disk. Com
uma “fast frase” (código especial), o usuário
pode montar, quando o sistema operacional é inicializado,
um disco virtual onde podem ser armazenados com segurança
arquivos com informações delicadas.
Os passos aqui descritos representam um primeiro nível
de segurança em sua fortaleza virtual. A cereja do bolo,
aqui, é testar a segurança do sistema com o MS
Baseline Security Analyzer, que vale a pena baixar, especialmente
se há PCs em rede em casa. Com ela, faz-se um scan periódico
nos micros e apontam-se as vulnerabilidades dos usuários
presentes na rede local e os controles/patches ainda não
aplicados.
Depois da camada de segurança no sistema operacional,
vem a camada dos aplicativos. Entra aí o antivírus
— na verdade, segundo Freire,
hoje uma verdadeira suíte com o software contra códigos
maliciosos propriamente dito, firewall, filtros de conteúdo
e o escambau.
Ele usa a Internet Security Suite da McAfee, e diz que ela
se porta muitíssimo bem, mas recomenda o ZoneAlarm, cuja
softwarehouse foi recentemente adquirida pela Checkpoint. A
suíte de segurança ZoneAlarm tem, segundo Freire,
três características muito interessantes.
1) Um antispam muito eficiente, que bloqueia até phishing
(aqueles emails que chamam o usuário, por exemplo, inserir
dados bancários para “recadastramento” e
os levam a sites de crackers), enviando os emails indesejados
para uma pasta à parte e comparando-os com os que chegam
para fisgar os mais suspeitos.
2) Um filtro de conteúdo da camada de aplicações
baseado no Firewall 1 da Checkpoint, que faz uma inspeção
completíssima.
3) Capacidades de proteção a conteúdo
e comunicação através de um plugin simulando
uma VPN e criptografando até instant messaging (em diferentes
serviços).
— As mensagens instantâneas estão entre
os tráfegos mais farejados pelos crackers na rede, daí
a importância desta característica.
Por fim, o consultor alerta para os perigos da própria
navegação. Cuidado com aqueles sites com “trocentos”
popups — no meio deles pode haver um em que o usuário
clique desavisadamente e babau, entra um spyware na máquina.
Sintomas de spyware
Os computadores pessoais com spyware instalado podem apresentar
sintomas como estes, segundo Alexandre Freire:
PÁGINA INICIAL DIFERENTE: A home page, sem mais nem
menos, é mudada para outra página com um serviço
desconhecido de busca, por exemplo.
ANTISPYWARES AFETADOS: Os programas antispyware ficam lentos
e passam a dizer que lhes faltam alguns arquivos.
FAVORITOS? QUE FAVORITOS? Surgem, nos Favoritos do browser,
itens que você não pôs lá.
COMPUTADOR DEVAGAAAR: Lentidão na máquina é
um sintoma clássico. Para conferir o que a causa, dê
Ctrl+Alt+Del e, no Gerenciador de Tarefas (Task Manager), veja
a parte de Processos. Se achar alguns estranhos ao sistema,
com perto de 100% de uso, isso é sinal de spyware.
BARRAS ESTRANHAS: Surgem no Internet Explorer barrinhas de
busca que você não instalou.
E ATENÇÃO: Tudo isso, segundo Alexandre
Freire, são sintomas de spywares que denotam
sua presença. Os mais sofisticados não costumam
deixar traços. O especialista dá uma boa lista
de programas para combatê-los: PestPatrol <www. pestpatrol.com>,
AdAware <www.lavasoftusa.com/soft ware/adaware>, Spybot
Search & Destroy <www.sa fer-networking.org/en/ho me>
System Detective <www.systemdetective. com> e X-Cleaner
<www. xblock.com>.
RETORNAR
PARA PÁGINA PRINCIPAL |
