sábado, 26 de setembro de 2015

Segurança: o “efeito Windows” chegou ao MacOS (e ao Linux)

 

9551909_orig

Durante anos, fui dos que defendi que o Windows não era um sistema operativo intrinsecamente menos seguro que os outros ou, pelo menos, não era essa a razão pela qual todos os dias surgiam novos vetores de ataque, descoberta de novas vulnerabilidades ou novas ameaças.

O meu argumento não ia ao ponto de dizer que o Windows era mais seguro do que o MacOS, por exemplo (para sermos sinceros, foi preciso chegarmos ao Service Pack 2 do Windows XP para a Microsoft levar a segurança no desktop a sério), mas simplesmente que o MacOS não era mais seguro do que qualquer outro sistema operativo para desktops. Na realidade, há até quem alegue que é o menos seguro de todos os sistemas operativos, seguido pelo… iOS; mas para o contexto deste artigo nem precisamos de ir tão longe. Bear with me

Então porque é que o Mac batia o Windows 100 a zero em termos de ameaças? Porque o Windows bate o Mac 10 a 1 em vendas. E apesar de parecer que os hackers têm todo o tempo livre do mundo, o dia tem na verdade 24 horas: o tempo deve ser gasto a fazer coisas (mesmo que pouco legítimas) que provoquem o máximo de dano; poucos eram os que se preocupavam em tomar como alvo um sistema operativo usado por cerca de 10% das pessoas que em todo o mundo usam computadores pessoais.

Ainda assim, de vez em quando lá surgem uns problemas com Macs – sendo que de cada vez que tal acontece, percebe-se que não só os utilizadores mas a própria Apple estão mal preparados para lidar com as ameaças. Já quando o assunto é o Linux, parece não haver sequer argumento: este é – garantem-nos – um sistema operativo “à prova de bala”. Ninguém o usa como sistema operativo de desktop (à excepção, provavelmente, dos que utilizam máquinas Linux para criar malware para outras plataformas…), mas não faz mal: os vírus ali não entram!

Fast forward para 2015 e vivemos num mundo diferente. O Windows continua a ser usado pela esmagadora maioria dos utilizadores de computadores pessoais, mas a plataforma MacOS tornou-se, ainda que marginalmente, mais popular – e começa a ser vítima de cada vez mais problemas de segurança. E, quanto ao Linux, muito embora as previsões de que iria finalmente “descolar” enquanto sistema operativo desktop jamais se materializassem, algo aconteceu – algo chamado Android.

Para muitos fãs do sistema operativo criado por Linus Torvalds, o Android representa a vitória do Linux por portas travessa, uma vez que a plataforma da Google foi na verdade criada a partir do Linux. Mas, se fosse eu, não iria por aí: é que clamar que o Linux ganhou a guerra dos sistemas operativos por causa do Android traz consigo uma outra vitória menos agradável: a da falta de segurança.

Hoje, mais de 90% das vulnerabilidades conhecidas para dispositivos móveis (considerando iOS, Android, Windows Phone e “outros”) afetam dispositivos Android. Na verdade, um relatório citado pela Computerworld durante o MWC 2014, colocava esta percentagem em… quase 100%!

Onde é que eu quero chegar com tudo isto? Simples: que não há sistemas operativos 100% seguros e que a frequência, quantidade e/ou gravidade das vulnerabilidades está sobretudo relacionada com a popularidade de cada um deles. O problema, neste momento, é que o tipo de ameaças que temos hoje desde há muito que deixou de consistir em “vírus”; praticamente nenhuma das modernas ameaças de segurança modernas são vírus informáticos no sentido rigoroso do termo (no sentido de que não “infectam” ficheiros nem se “auto-replicam”). Contudo, não deixam de ser mais graves por causa disso, bem pelo contrário.

O problema tem também a ver com a forma como usamos os nossos computadores. Na esmagadora maioria dos casos (em todos, no que diz respeito a dispositivos móveis….), estamos online a partir do momento em que nos ligamos, e isso torna-nos mais vulneráveis. O nosso sistema operativo será tão seguro quanto o seu elo mais fraco e esse pode nem ser o próprio OS mas o browser, uma extensão do browser, um leitor multimédia, o interpretador de Java, o plug-in de Flash…

Há moral nesta história. E a moral é que não nos devemos sentir seguros só porque usamos o sistema operativo X, Y ou Z. A segurança vem da nossa abordagem aos perigos potenciais, das nossas práticas, da nossa atitude online, da forma como usamos os dispositivos.

É que quanto mais seguros estivermos da suposta invencibilidade do dispositivo/plataforma que usamos, menos seguros estamos na realidade.

Sem comentários: