quinta-feira, 21 de dezembro de 2006

Um pelo outro

Este vai pelo celular, direto da Ilha de Marajó.
Quem pensava que usando o navegador Firefox estava mais seguro na web, lamento informar que isso não é mais a verdade.
De acordo com a Symantec, na primeira metade de 2006, o Internet Explorer teve apenas 38 falhas de segurança corrigidas, enquanto que seu potencial concorrente, o Mozilla Firefox, teve mais de 47.
Ambos nos deixam a mercê de bandidos que se divertem em descobrir suas brechas.

5 comentários:

Antonio Fonseca disse...

Essa "estatística" da Symantec está furada, além de dar margem a interpretações equivocadas. Como posso confirmar lendo o seu post, desculpe.

Minha afirmação se baseia em três fatores fundamentais:

1- O número de falhas de segurança no IE é bem maior do o relatado pela Microsoft. Seja pelo fato do código fonte do aplicativo (e do Windows) serem fechados, o que dificulta a descoberta do número real de falhas. Em geral quando a falha é corrigida pela MS, o que só ocorre somente uma vez a cada mês ela já está sendo explorada por mal-feitores (zero day exploit). Ainda, muitas falhas exploráveis através do navegador IE da MS, descobertas em 2006, foram atribuídas a outros componetes do sistema pela MS, mesmo sendo o IE o vetor da exploração;

2- A maioria das falhas reportadas pela Microsoft para o IE são consideradas críticas ou muito graves, podendo comprometer completamente o sistema. Enquanto esse tipo de falha é rara no FF. Ou seja, a maioria das correções no FF não são para falhas críticas (aprimoramentos);

3- A esmagadora maioria das falhas graves encontradas no FF não são críticas quando o navegador está sendo executado em outros sistemas além do Windows (Ex:Linux, xBSD, Mac OS X, etc).

Portanto a notícia induz o leitor leigo a uma interpretação equivocada sobre a qualidade do código e segurança dos navegadores Microsoft Internet Explorer e Mozilla Firefox. Em resumo, o FF continua sendo muitíssimo mais seguro que o IE. E lembre-se, o elo mais fraco da corrente no quesito segurança continua sendo o sistema operacional Windows.

O navegador muitas vezes pode servir como porta de entrada, mas o que realmente é infectado é o sistema operacional e para o Windows nem todos os anti-qualquer-coisa instalados e bem atualizados na sua máquina podem deixá-lo realmente seguro.

Quer um exemplo: não uso anti-vírus, anti-spyware, anti-trojan ou qualquer uma dessas coisas no meu PC e não me considero realmente sob risco.

Antonio Fonseca disse...

Complementando, conforme os motivos expostos (com minha redação sofrível no momento - desculpem eu estava com pressa mas achei importante contribuir) somente o número de correções liberadas não é determinante para afirmar que o Mozilla Firefox é um navegador tão ruim no quesito segurança quanto o Microsoft Internet Explorer.

Sugiro que seja publicada uma fonte de referência para a notícia. Alguns erros podem ainda estar sendo cometidos intencionalmente ou não, por exemplo: é possível que estejam sendo acumulados o número de correções para mais de uma versão do FF e que estejam sendo contabilizadas em duplicidade correções liberadas para mesma versão do navegador em múltiplas plataformas (o Firefox está disponível para vários sistemas operacionais).

Pesam sobre o IE uma lista bastante longa de vulnerabilidades críticas, esses problemas são tão graves que em determinado momento, no ano de 2004, o CERT (Computer Emergency Response Team) dos EU recomendou que usuários de computadores abandonassem o uso do IE e buscassem alternativas mais seguras (http://www1.folha.uol.com.br/folha/informatica/ult124u16318.shtml).

oliver disse...

Sr. Antonio Fonseca,
Obrigado pelos comentários sobre a falha de segurança nos navegadores.
Como Flanar está em viagem, quando ele retornar certamente comentará sua contribuição.
Oliver

Flanar disse...

A Fonte da informação é a última edição da PC Magazine já nas bancas.
Quanto ao Linux, Antonio, já conversamos sobre isso e concordo com o pote até aqui de segurança do Linux. Sem a menor dúvida.
Os problemas para o usuário final, (nem falemos dos leigos para não piorar mais as coisas) contudo, continuam sendo os mesmos: ainda existe a necessidade de comprar hardware específico para rodar Linux. Tem melhorado muito, sem dúvida. Mas, passada esta, digamos, pequena dificuldade incial em seu manuseio e aceitação pelo mesmo usuário leigo, que quer e precisa de segurança, ainda teremos que lidar com mais "facilidades " que o Linux nos apronta, quando tivermos que recompilar o kernel (linha de comando), editar os arquivos conf para adaptar um driver (linha de comando através de editor específico), entre outras inúmeras "facilidades" que vão surgindo e sempre nos surpreendendo. Desfavoravelmente, é claro.
Nada que não tenha melhorado muito nos últimos anos. Mas convenhamos...
Deus o tenha nesta adoção importante que tem com o Linux. Enquanto isso, ainda vou achando, que lidar com meu GPS é ainda muito mais simples do que lidar com o Linux. Quando consigo instalá-lo, o que já fiz inúmeras vezes (sendo que uma delas vc tentou aqui em casa com o Ubuntu), sempre perco a funcionalidade de algum periférico. Começa aí uma curva quase sempre tortuosa de busca de maneiras de "resolver o problema". Editar arquivos de incialização (que nem é dos mais difíceis aos meus olhos), pesquisa de drivers pela internet, etc,etc. Tudo isso continua sendo muito desanimador. Não para empresas e corporações que contam com profissionais especializados ou mesmo experts como vc para utilizá-lo com maestria e com grande economia de recursos além da segurança, que vc muito apropriadamente afirma.
Contudo, nós, (e certamente não meia dúzia) de usuários finais e leigos, entre os quais me incluo, ainda necesitamos utilizar e pagar pelos softwares MS. Fazer o que?
Enquanto isso, longe das trincheiras políticas dos SOs, torcemos para que a turma progrida e nos livre deste cálice.
Abs

Antonio Fonseca disse...

Carlinhos,

Você tem razão em suas reivindicações, porém parte do que disse sobre o Linux já não se aplica mais. A evolução está sendo vertiginosa. Em intervalos de 6 ou 12 meses tudo se transforma quase que completamente.

Já existem alguns usuários, mesmo os domésticos, que se aventuraram no mundo do software livre e estão muito satisfeitos. Não querem mais ficar dependentes da Microsoft.

Isso pode ainda não ser algo para todo mundos, mas depende principalmente do perfil do usuário e para alguns casos da disposição de superar uma possível fase de algumas frustações iniciais.

O motivo desses eventuais problemas não está relacionado hoje com deficiências de suporte a hardware no Linux, com moderna distribuições disponíveis modernas a necessidade de recompilar kernel ou instalar drivers adicionais 'módulos do kernel' é coisa do passado (deixe isso para profissionais). Na verdade hoje o Linux é o sistema operacional com o maior suporte a hardware que existe, muito superior ao Windows ou qualquer outro sistema nesse quesito. Experimente instalar o Windows XP em uma máquina e não disponha de um ou vários CDs de drivers de dispositivo e você verá do que eu estou falando, seu hardware simplesmente não funcionará. Com Linux, instale a distribuição e está tudo lá para você sair usando tudo que tem instalado no PC. Isso ocorre em praticamente 100% dos casos, com excessão para alguns modelos de softmodem, placas de rede sem fio e impressoras baratas (GDI printers) - nesses casos alguma configuração adicional com ocorre com o Windows XP hoje é necessária.

Os possíveis problemas que o usuário leigo enfrenta hoje quando experimenta o Linux são motivados pela familiaridade que ele tem com o Windows. O Linux não é um clone do Windows, assim como o Mac OS X também não é, e etc. Portanto é necessário alguma pesquisa para aprender como fazer no Linux aquilo que ele faz no Windows. Por exemplo é preciso descobrir o nome da aplicação para gravar CD no Linux (o Nero também está disponível para Linux - mas existem programas melhores e mais fáceis de usar), para desenho e etc. Lembra do que falei a pouco, sobre o perfil do usuário? Muitos usuários que começaram na informática usando microcomputadores na década de 1980 ou início de 1990, quando descobrem o Linux ficam muito entusiasmados porque é como se eles experimentassem novamente o prazer da descoberta, da experimentação. Hoje não mais porque o sistema é difícil de usar ou instalar, mas principalmente porque mesmo com tudo funcionando direitinho (de forma careta) ele ainda permite uma grande diversidade de uso e flexibilidade de configuração e experimentação.

Um último fato que aborrece alguns usuários que estão migrando para Linux é a falta de suporte dos desenvolvedores de software proprietários com os quais eles estão habituados a trabalhar no Windows, para Linux. Para esse problema a solução é o que eu disse a pouco, aprender quais aplicações livres do Linux fazem o que aquela aplicação proprietária faz no Windows. Na pior das hipóteses é possível usar tal aplicação do Windows no Linux através de emulação de API (instalando o Wine) ou através de virtualização com o VMware, Qemu, Parallels, etc. Sim, é possível executar o Windows (e outros sistemas operacionais) integralmente "dentro" do Linux.

Uma forma eficaz de migrar para o Linux, que eu fortemente recomendo, é configurar seu PC é dual-boot. Ou seja, instalar os dois sistemas (Windows e Linux) para se habituar aos poucos. Dessa forma, você pode fazer a maior parte do trabalho diário no Linux e aquele aplicativo ou dispositivo que você ainda não conseguiu instalar ou configurar corretamente no Linux, você pode usá-lo no Windows sem problema.

Ms por que é tão importante fazer isso? por que eu não posso continuar usando o Windows sem me preocupar com nada disso, na minha zona de conforto?

A resposta é simples e não tem qualquer relação com ideologia, é de motivação é puramente financeira e tecnológica: Linux é mais barato (de graça, a maioria das distribuições), Linux é mais seguro (imune a vírus - você não precisa de um anti-vírus na sua máquina), Linux é mais estável (você não vai ter que ficar re-instalando seu sistema operacional de tempos e tempos ou correr o risco de perder seus dados). E o último fator, talvez o mais importante deles, é que Linux oferece uma alternativa viável e de melhor qualidade ao sistema operacional hegemônico da Microsoft, portanto estimular sua adoção e uso fará com que sua base instalada cresça e isso forçará a indústria de TIC como um todo a suportá-lo oficialmente (fabricantes de hardware, desenvolvedores de software, etc). E todos sabemos que diversidade é fundamental um mercado saudável e para a inovação.

Mas isso não era um papo sobre o Mozilla Firefox? Ah, tudo bem afinal esse navegador é um tipo de primo do Linux (o mesmo ótimo DNA - software livre)! ;-)

Um abração e a gente se fala hoje a noite.