Página pessoal do Paulo Laureano

Os vírus de computador são "criaturas oportunistas". Existem e reproduzem-se graças às muitas fragilidades dos sistemas operativos (que podem ser melhorados de forma a tornar bastante mais complexa qualquer estratégia de reprodução de vírus) e comportamentos de risco da parte dos utilizadores (que podem ser educados para não facilitarem a propagação de vírus).

Os "worms" (caso do "Code Red" e suas variantes actuais e futuras) dependem de "bugs" do sistema operativo e aplicações para se reproduzirem. Todos os sistemas operativos e aplicações estão potencialmente vulneráveis a que tal suceda. O "Code Red" não foi primeiro "worm". Antes dele, recordo-me de dois casos que afectaram os sistemas operativos Unix (que estavam imunes ao "Code Red"); um deles explorava uma vulnerabilidade no "bind" (servidor de DNS mais utilizado na Internet actualmente) e outro explorava duas falhas de segurança remota do "RedHat Linux" na versão 7.0! Os sistemas operativos UNIX, no que respeita a "worms" (que são diferentes dos vírus na sua estratégia de reprodução, baseada em vulnerabilidades remotas de segurança por oposição a comportamentos de risco da parte de utilizadores do sistema), são igualmente vulneráveis.

No caso dos "vírus tradicionais" são os "comportamentos de risco", como a execução inadvertida de ficheiros infectados, que ajudam à propagação. Nestes casos, os sistemas tipo UNIX e a linha NT/2000 da Microsoft, quando convenientemente administrados, são considerávelmente menos vulneráveis que os sistemas baseados em MS-DOS/Windows (3.x/95,98 e ME). É uma questão de preparação e educação de administradores de sistemas (no primeiro caso) e dos utilizadores (no segundo).
Um esclarecimento importante é o facto de não existirem sistemas operativos imunes a "vírus" e "worms" (há sim sistemas operativos imunes a vírus e worms de OUTROS sistemas; os "vírus" específicos de um sistema operativo não funcionam de todo nos restantes, e há muito poucos casos de vírus capazes de afectar mais que uma familia de sistemas operativos :-). Espalhar mitos de invulnerabilidade não melhora a segurança de nenhum sistema. Não está em questão se um sistema operativo é melhor ou mais seguro que outro. A segurança depende muito mais da habilidade de quem administra a utiliza as máquinas, e a liberdade possível nessa acção, que do software de qualquer sistema operativo. Um mau administrador de sistemas pode tornar extremamente vulnerável qualquer plataforma. Um bom administrador de sistemas pode tornar extremamente seguro qualquer amontoado de bugs a que se chame sistema operativo. Em função do sistema operativo que se utiliza há acções que são necessárias e abordagens diferentes recomendáveis.

Segurança é sempre inversamente proporcional ao grau de conveniência na utilização de qualquer sistema. Quanto mais serviços um sistema presta maior o potencial de vulnerabilidade do mesmo a "worms". A liberdade de acção dos utilizadores, e permissões dos mesmos dentro do sistema, são igualmente proporcionais à probabilidade de transmitirem e serem afectados por "vírus".

A nível de servidores há um poder e responsabilidades tremendas sobre os ombros dos administradores de sistemas. A maior parte dos servidores de correio electrónico do mercado (que são baseados em UNIX) podem ser configurados com apenas meia dúzia de linhas (de configuração do "procmail") para tornar virtualmente impossível a passagem de e-mail infectado com vírus como o "Sircam". Serviços de webmail podem converter automaticamente ficheiros perigosos ou suspeitos para formatos seguros ou limitar a sua propagação. Servidores devem correr anti-vírus de última geração, para que nenhum ficheiro infectado seja transmitido através quer do correio electrónico quer dos ficheiros configurados para transmissão por WWW/FTP (i.e. verificados todos os ficheiros executáveis disponibilizados nos servidores locais). "Proxies" podem assegurar a fiscalização de todos os acessos feitos à Internet a partir de uma rede (sendo verificados todos ficheiros executáveis transferidos para a rede local, ou pura e simplesmente limita a capacidade de transferir executáveis e arquivos). A esmagadora maioria dos utilizadores estão no entanto vulneráveis. Não são tomadas as medidas adequadas e necessárias pelos seus administradores de sistemas.

A realidade é que este tipo de medidas exige uma capacidade técnica elevada da parte de administradores de sistemas. Estes serviços são caros e as empresas que os prestam são desconhecidas da maior parte do mercado. Para complicar, a maior parte das empresas não sabe que tais opções estão disponíveis, e a maior parte dos administradores de sistemas limita a sua função a instalar antivírus em clientes da rede ou nos servidores de ficheiros. Mais dramática ainda é a falta de prestígio de que os administradores de sistemas gozam na maioria das empresas. São uma espécie de "mulheres-a-dias" da "informática" reagindo ao "fogos que vão surgindo" e confundidos com um "helpdesk interno". Os administradores de sistemas devem agir de forma "pró-activa" e não de forma "reactiva" aos problemas. Devem estar bem preparados e conhecer profundamente as opções que escolhem para as suas empresas. Devem ser continuamente formados e apoiados por empresas que prestem os serviços para os quais não estão vocacionados. O prestígio de um administrador de sistemas depende das provas que dá continuamente, da sua capacidade de administrar um parque informático imune a "histórias de terror" que abundam nas outras empresas. Se não o consegue fazer merece literalmente ser considerado um profissional de segunda e as piadas típicas como "fazemos um ctrl+alt+del, que ligar para a informática não serve de nada" (o que é verdade quando a maior parte dos administradores de sistemas utiliza constantemente esta combinação de três teclas para resolver problemas).

É ainda da responsabilidade dos administradores de sistemas educar os utilizadores quanto a comportamentos de risco. Prevenir a entrada de software em CD´s e disquetes numa empresa, evitar a todo o custo o acesso à Internet através de vários pontos da rede (embalem modems, cd-roms e drives de disquetes e ofereçam-nos a uma empresa concorrente!). Assegurar que os utilizadores não podem aceder a mais nada que o estritamente necessário para o exercicio das suas funções na empresa (e são raros os casos em que é necessário mais que os previlégios de execução de determinadas aplicações e uma directoria para gravarem documentos). Determinados sistemas operativos como o Windows 95/98/ME não estão habilitados para a utilização como "estações de trabalho" no parque de uma empresa (e são consideradas opções para uma utilização doméstica pelo fabricante). Antes de educar os utilizadores de computadores de uma empresa é absolutamente indispensável começar por reduzir as possibilidades de serem corridos riscos desnecessários. O passo seguinte é óbviamente identificar de forma pró-activa quais os problemas potenciais e estudar as respectivas soluções.

Como formador de administradores de sistemas em algumas empresas com grandes parques informáticos (um dos casos com mais de uma centena de escritórios em 5 continentes e centenas de máquinas ligadas em rede global) começo geralmente por encontrar departamentos de informática afogados em solicitações de apoio e problemas que escalam de forma incontrolável a grande velocidade, arrastando nesse crescimento o próprio departamento de informática. Encontro também uma resistência inicial muito grande da parte de pessoas que se sentem de alguma forma ameaçadas pela minha presença. A realidade é que se forem todos melhores administradores de sistemas, passam mais tempo a investigar potenciais problemas antes de estes acontecerem e a explorar novas tecnologias com potencial para a empresa. Em poucos meses é perfeitamente natural que se comece a gastar menos dinheiro, ocupar de forma mais racional e prestigiante os recursos humanos disponíveis, e a prestar um melhor serviço à comunidade de utilizadores da empresa. Para os próprios administradores de sistemas é benéfico (valoriza os mesmos e resulta em melhores salários) que sejam visíveis (na empresa) as diferenças entre a acção de um bom departamento de informática com administradores bem preparados e o caos anterior (ou exterior) em que normalmente as empresas estão mergulhadas.

Como classifica o departamento de informática da sua empresa depois de ler este texto?