Escritos
B. Piropo
Internet:
< Coluna em ForumPCs >
Volte de onde veio
11/12/2006
< Segurança no Vista VIII: >
<
Defender, Firewall e outros pontos
>

Nem o Windows Defender nem o Windows Firewall são acessórios exclusivos do Vista. O Firewall já é velho conhecido dos usuários do Windows XP SP2 e o Defender nada mais é que o velho MS Anti-Spyware de nome novo. Portanto, a se obedecer estritamente o critério de incluir nesta série apenas os “avanços de segurança no Vista”, eles sequer deveriam ser abordados. Mas como são ferramentas de segurança bastante eficazes e levando-se em conta que tanto um quanto o outro sofreram significativas alterações ao serem incorporados ao Vista, achei por bem abordá-los, embora de forma sucinta. Então vamos nessa.

O objetivo principal do Defender é proteger a máquina da ação de programas espiões (“spywares”), aqueles programas safados que são instalados sub-repticiamente nas máquinas dos incautos, furtam dados confidenciais (como senhas bancárias e coisas que tais) e usam a conexão à Internet para enviá-los aos mequetrefes que se aproveitaram da ingenuidade dos usuários menos avisados para disseminá-los (de todos os meios usados para infecção só há um que eu considero perdoável: aquele que vem acompanhando uma mensagem que diz “você está sendo traído, clique aqui para ver as fotos”; quem clica ali, ou tem uma/um companheira/o fiel mas confia menos nela/e que em um desconhecido ou, além de estúpido, é corno mesmo; seja qual for o caso, merece o castigo...).

A ação destes programas se tornou tão deletéria e disseminada que, há dois anos, a MS comprou a empresa Giant Company Software, especialista em proteção contra spyware, com o objetivo de oferecer gratuitamente aos usuários de cópias legais de Windows um meio de se proteger dessas pragas. Em 2005 a empresa liberou a primeira versão de sua solução, então batizada de “MS anti-spyware” que se limitava a fazer uma varredura nas máquinas que instalassem o produto ou que solicitassem que a inspeção fosse feita “on line”, visando identificar e remover programas espiões eventualmente encontrados.

Mas logo se tornou claro que isto não bastava. Para manter a máquina efetivamente protegida não era suficiente remover infecções já presentes, era preciso vigiá-la permanentemente e bloquear quaisquer ataques, ou seja, impedir que fosse contaminada. A MS decidiu então atualizar o produto, dotá-lo de funções de proteção adicionais, mudar seu nome para “Defender” e incorporá-lo ao Vista. E, além disso, permitir que fosse transferido separada e gratuitamente por usuários detentores de cópias legais (ou seja, aprovados pelo programa WGA depois de examinada a versão de Windows instalada na máquina) e instalado no Windows 2000 SP4, Windows XP SP2 e Windows Server SP1. Mas a versão incorporada ao Vista tem recursos exclusivos, como a varredura regular apenas de arquivos alterados e verificação de cada arquivo executável imediatamente antes de sua execução, além de verificar arquivos transferidos via Internet enquanto a transferência está sendo realizada, desde que usando o IE7.

Windows Defender é um típico utilitário de detecção e remoção de programas mal intencionados (“malwares”) baseado em suas “assinaturas” (trechos de código que os identificam), complementado por um sistema de segurança que flagra tentativas de ataque, bloqueando-as. Ele pode ser configurado para executar regularmente varreduras periódicas na máquina, possibilitando a remoção automática ou o simples bloqueio das atividades de programas suspeitos (“quarentena”) para que o usuário decida posteriormente o que fazer com eles. Além disso, pode ser automaticamente atualizado quando conectado à Internet.

O Defender é acionado clicando-se no ícone correspondente do grupo “Segurança” do Painel de Controle do Vista (veja na Figura 1 o aspecto da janela do Defender na Versão final do Vista em Português do Brasil).

Figura 1: Janela do Defender.

Como todo bom programa anti-spyware o Defender oferece uma abundante lista de possibilidades de configuração que contém dezenas de ajustes. Dentre eles destaca-se a “Proteção em tempo real” que fornece a possibilidade de monitorar continuamente determinados ajustes e configurações do sistema operacional que costumam ser alterados durante a instalação de um “malware” (como as chave “Run” do registro e a pasta “Iniciar”) para alertar o usuário caso algum deles venha a ser alterado.

Figura 2: janela de configuração do Defender.

Além disso o Defender oferece um conjunto interessante de itens adicionais como o “Histórico”, que registra todas as suas atividades, incluindo cada alerta emitido, seu nível, a ação executada pelo usuário e o “status” do alerta, com uma descrição do programa que levou à sua emissão, os recursos eventualmente alterados (geralmente chaves do Registro) e a categoria do programa que motivou o alerta. Outra função interessante é o “Explorador de Software” que exibe todas as características importantes de cada programa, agrupados em quatro categorias: programas que estão sendo executados no momento, os que estão conectados à rede, os que provêem serviços “winsock” e os executados durante a inicialização (veja, na Figura 3, a relação dos programas executados durante a inicialização desta máquina que vos fala na janela do “Explorador de Software”).

Figura 3: janela do “Explorador de Software”.

Ao contrário da maioria dos programas antivírus, nada impede que você mantenha o Windows Defender habilitado caso utilize outro programa anti-spyware. Segundo a MS, ele foi concebido para trabalhar em harmonia com outros programas, tanto anti-spyware quanto antivírus. Nesta máquina que vos escreve ele roda permanentemente em segundo plano concomitantemente com o excelente antivírus NOD32, da ESET, cuja versão 2.7 (que está igualmente rodando em segundo plano) se mostrou absolutamente compatível com Windows Vista versão 64 bits. Ambos os programas funcionam sem problemas e sem interferências mútuas. Obtenha informações mais detalhadas sobre o Windows Defender (desta vez, felizmente, em Português do Brasil) na página < http://www.microsoft.com/brasil/athome/security/spyware/software/default.mspx > “Windows Defender” do sítio da MS.

Segundo alega a MS, a possibilidade de funcionamento concomitante com outros programas antivírus e anti-spywares apresenta a vantagem de não deixar a máquina desprotegida no período em que a assinatura do antivírus de terceiros já tenha expirado e ainda não tenha sido renovada. Considerando que o Defender é oferecido gratuitamente, não conflita com nenhum outro programa de segurança e nem sequer exige instalação já que vem incorporado nativamente no Vista, não vejo razão para não habilitá-lo.

Algo parecido ocorre com o Firewall: é gratuito, incorporado nativamente ao Vista e compatível com produtos de terceiros de mesma natureza. Além de ser bastante conhecido dos usuários de Windows. Afinal, ele está no mercado desde o lançamento da primeira versão do Windows XP, à qual veio incorporado mas, por receio de problemas de compatibilidade, desabilitado por padrão. Uma decisão não muito sábia da MS: como a grande maioria dos usuários domésticos, por falta de conhecimento técnico ou receio de “mexer no que está funcionando” raramente altera os ajustes padrão, houvera ela decidido diferentemente, centenas de milhares de usuários teriam sido poupados da contaminação pelos vermes CodeRed, Nimbda, Slammer e Blaster, que eclodiram justamente entre o lançamento das versões XP e XP SP2, encontrando um campo fértil para se disseminar graças ao fato do Firewall Pessoal de Windows estar desabilitado. Talvez por isso, a partir da versão XP SP2, incluindo Vista, o Firewall de Windows vem habilitado por padrão.

Figura 4: Janela do Windows Firewall do Vista.

O Firewall pode ser acessado através do grupo “Segurança” do Painel de Controle e sua janela tem o aspecto mostrado na Figura 4. Como nas versões anteriores, pode ser inteiramente configurado. Mas houve avanços essenciais. O mais importante é que a nova versão do Firewall incorporada ao Vista é bidirecional, ou seja, filtra acessos em ambos os sentidos (da máquina para a rede e da rede para a máquina). Sua função é proteger a máquina bloqueando acesso aos recursos do sistema, especialmente quando eles apresentam um comportamento suspeito tentando executar ações típicas de programas mal intencionados (por exemplo: se um dos “serviços” do Vista, configurado para enviar dados à rede através de uma determinada porta, tenta fazê-lo por uma porta diferente, o novo Firewall pode informar o usuário do ocorrido e bloquear a mensagem, impedindo que ela deixe a máquina e ganhe o território livre da rede).

Figura 5: janela de configurações do Firewall no Vista.

Não é nosso objetivo descer a detalhes de configuração e uso dos novos recursos de segurança, apenas mencionar sua existência e destacar algumas de suas características (como a bidirecionalidade, no caso do Firewall). Mas é impossível deixar de mencionar nesta coluna uma excelente fonte de informação sobre o Firewall, um artigo de Joseph Davies, mais conhecido por < http://www.microsoft.com/technet/community/columns/cableguy/about.mspx > “The Cable Guy”. O artigo foi publicado em janeiro de 2006 e discute detalhes do Firewall então fornecido com as versões beta do Vista, mas é um excelente guia de uso, configuração e descrição dos recursos do Windows Firewall. Foi traduzido para o português e pode ser encontrado na TechNet da MS, em < http://www.microsoft.com/brasil/technet/Colunas/community/columns/cableguy/cg0106.mspx > “O Novo Firewall do Windows no Windows Vista e do Windows Server ‘Longhorn’”.

Pronto, estamos quase no final da série. Agora, exceto um ou outro ponto, falta apenas destrinchar os novos recursos de segurança no novo Internet Explorer 7, alguns deles bastante avançados.

E já que mencionamos os “um ou outro ponto”, para que não digam que foram ignorados, aqui vai uma breve resenha:

Uso da tecnologia No eXecute (NX): uma das formas preferidas pelos pilantras que desenvolvem programas mal intencionados para instalá-los à revelia dos usuários é aproveitar-se de uma vulnerabilidade denominada “estouro de buffer” (“buffer overflow” ou “buffer overrun”) que consiste em sobrecarregar certas estruturas de memória (os “buffers”) usadas para armazenar dados temporariamente e fazer com que “estourem” (o termo melhor seria “transbordem”), carregando áreas de memória adjacentes com código executável que é em seguida usado para instalar o “malware”. Muitos dos processadores modernos incorporam uma tecnologia denominada NX, que impede a execução de código em áreas da memória não destinadas especificamente a este fim (portanto, com ela, qualquer “estouro de buffer” torna-se inofensivo já que, embora “plantado” na memória, o código não pode ser executado por estar situado fora da área marcada para execução). Esta facilidade já vem sendo explorada desde os tempos de Windows XP SP2 através da função DEP (“Data Execution Prevention”, que pode ser traduzida livremente por “proibição de que dados sejam executados”). Windows Vista deu um passo adiante, incorporando nativamente a proteção NX e permitindo que desenvolvedores se aproveitem dela para proteger seu código, inclusive nas versões de 32 bits (que, nativamente, só usam a tecnologia NX para proteger código pertencente ao sistema operacional).

Distribuição aleatória de código na memória (ASLR ou “Address Space Layout Randomization): na imensa maioria das vezes em que se reinicializa um computador, o mesmo código é carregado na memória na mesma ordem, levando a que as mesmas rotinas ocupem aproximadamente os mesmos trechos da memória. Os canalhas que desenvolvem código mal intencionado podem se aproveitar disso para, conhecendo sua localização, substituir determinadas rotinas que são chamadas normalmente pelo sistema operacional por outras que venham a instalar seus programas. Para reduzir a probabilidade de que isto ocorra, Vista usa a tecnologia ASLR que, a cada inicialização, redistribui as imagens do código executável do sistema em um dentre 256 possíveis trechos de memória alocados aleatoriamente. Assim, em duas inicializações sucessivas, jamais o mesmo código do sistema ocupará os mesmos endereços de memória.

Nova arquitetura de registro no sistema (“logon architecture”): em todas as versões anteriores, o registro de um usuário no sistema (“logon”) era feito através da entrada de uma identidade de usuário (“userid”) e senha. Mas redes e sistemas onde a segurança de dados é primordial têm dado preferência a formas alternativas de registro, como o uso de características biométricas dos usuários autorizados (impressões digitais, formato da mão ou da Iris) ou de dispositivos de hardware (USB ou “smart cards”). Para programar este tipo de registro e autenticação nos sistemas antigos era necessário desenvolver uma nova interface para identificação e autenticação gráfica (“Ghaphical Identification and Authentication”, ou GINA) o que apresentava diversos inconvenientes, como a impossibilidade do uso simultâneo de diferentes GINAS. Para facilitar o uso de novos tipos de credenciais, a arquitetura de registro no sistema (“logon architecture”) de Vista foi completamente reformulada. Ela ainda aceita o registro através de “userids” e senhas, naturalmente, mas seu foco principal está voltado para o uso de “smart cards” (cartões com o formato de cartões de crédito, conhecidos por “cartões com chips”) e permite o uso simultâneo de diferentes provedores de credenciais e distintos métodos de autenticação, incluindo biometria.

Tecnologia “PatchGuard” e assinatura obrigatória de drivers e módulos do “kernel” do sistema: esta duas funções foram deixadas para o final porque, por razões técnicas, somente foram implementadas nas versões Vista de “64 bits”. “PatchGuard” é uma tecnologia que impede que os módulos binários pertencentes ao cerne (“kernel”) do sistema operacional sofram qualquer tipo de alteração efetuada por software não autorizado. Ela garante que nenhuma estrutura do sistema (como a tabela de interrupções) possa sofrer qualquer tipo de alteração e impede que o código do sistema seja modificado para fins mal intencionados (veja mais informações na página < http://www.microsoft.com/whdc/driver/kernel/64bitpatching.mspx > “Patching Policy for x64-Based Systems”). Para complementar esta política de segurança, a MS incluiu no Vista – e estendeu, aperfeiçoando-o – o conceito de “assinatura de drivers” originalmente introduzido no Windows 2000. A “assinatura” em questão é uma assinatura digital, um trecho de código que identifica o desenvolvedor e garante a integridade do driver ou módulo binário. Nas versões anteriores de Windows, drivers não assinados poderiam ser carregados a critério do usuário. Na versão “de 64 bits” do Vista, nenhum driver ou módulo que faça parte do cerne do sistema será carregado se não dispuser de uma assinatura digital válida. No entanto, para garantir compatibilidade com material existente, (pelo menos por enquanto) drivers atualmente certificados pelo Windows Hardware Quality Labs (laboratórios de qualidade de hardware para o Windows) são considerados assinados e, portanto, aceitos.

Pronto. Exceto alguma falha de minha parte ou mero esquecimento, todos os pontos essenciais dos avanços de segurança do Windows Vista foram discutidos nesta série de colunas com maior ou menor grau de detalhamento. Faltam apenas as melhorias incluídas no Internet Explorer 7.

Nosso próximo (e final) assunto.

Coluna anterior: < http://www.forumpcs.com.br/viewtopic.php?t=195672&sid=3b92f78fe634726d49958b43aca67b7e > Segurança no Vista VII: BitLocker, proteção contra furto

Próxima coluna: Em breve.

Comentários dos Leitores

B. Piropo


URL: http://www.bpiropo.com.br
Copyright Benito Piropo Da-Rin
WebMaster:
Topo da Página
Atualizada em
(MM/DD/AA) + Hora
Wagner Ribeiro ]