O modelo de segurança do (insira seu sistema aqui) não funciona

Backup ainda é o sistema mais seguro que existe.

Eu uso um case USB para HD e um HD nele para backup de tudo.

Acho interessante esse ponto de vista, mas tem que levar em conta que em lugares como no Brasil, não são todos que tem o poder de compra de um DVD-RW, ou um HD externo, ou ainda um Pen Drive, ou até mesmo comprar um programa Antivirus, ou Anti-malware descente.

Acho que o linux ainda está bem a frente disso, mesmo que você baixe um script SH com "rm -rf $HOME" você vai ter que deixa-lo executavel "chmod +x script.sh" (COMO ROOT) ao não ser que o root seja uma topeira, dai sim ele vai perder os dados facilmente.

Lamento, Wagner... leia o texto de novo, visite os links. Privilege Escalation não tem nada a ver com o usuário mudando permissões manualmente.

Aí já é paranóia demais.

E se você diz pra usar uma máquina virtual (VMWare) então o usuário já é mais avançado. E um usuário avançado dificilmente vai perder dados por causa de um vírus ou similares.

Se for pensar assim, a solução mais fácil é desligar o modem.

A unica solução efetiva é a proposta pelo Cardoso: mantenha backup de seus dados.

Aqui, como alternativa ao backup (que eu faço de vez em quando) uso um HD de 120GB, que fica desmontado.
Como uso linux, basta um duplo clique sobre o icone dele pra montar, gravar qualquer informação importante e, em seguida, desmontar novamente.

Já passei essa solução pra vários amigos meus, nenhum perdeu dados ultimamente

A dica pra quem não possui um segundo HD onde possa gravar os dados importantes é particionar o HD e separar uma unidade para fazer isso. Lembre-se de mantê-la desmontada.

Eu tenho 2 visões do problema:

Usuário comum e usuário técnico, é necessário separar isto.

Um usuário não tecnico, comum, é facilmente enganado por golpes de phishing, ou pelas fotos da sandi. Educação do usuário é importante, recomendações básicas devem ser feitas, mas dai passar a responsabilidade de prevenção para ele eh o problema. As empresas fazem isto hoje, dao um PC para o usuário com conexão livre a internet e boa. Quando ele receber as fotos da festa que ele participou, q ele nem reparou que o arquivo era fotos.jpg.exe e executou, a responsabilidade é dele. É compromisso e obrigação do administrador prover mecanismos de defesas, um proxy, um mailscanner, um antivirus... só assim o usuário fica 'quase' livre do problema.

A segunda visão é do usuário técnico, quantos de nós tem blogs, sites, mas quando o usuário está encrencado mandamos ele ler a "faq"? Vejo muito isso em listas. Outro erro comum é usar uma terminologia técnica ao extremo, desencorajando o leigo a aprender.

Culturalmente o modelo de segurança está errado, entendemos que o usuário final tem q se defender, na minha opinão está errado. Nós usuários técnicos temos de defender nosso usuário, que eh a parte mais fraca e mais facil de ser enganada.

< os usuários Windows só contam com atualizações automáticas do sistema operacional, as aplicações são soltas demais >
As atualizações do Windows são menos confusas que os 10 trilhões de pacotes do Linux e derivados. Quem quiser pode desligar as atualizações automáticas. O grande problema das atualizações da MS: WGA!

Disse a verdade "pje":
< Se for pensar assim, a solução mais fácil é desligar o modem. >

Quanto mais populariza computador, mais gente simplória e folgada vai achando que esse é um meio totalmente seguro de navegar e bater-papo... e lá vão criando seus flogs, blogs, msns esbanjadores e deixando sua vida transparente a quem quiser ler. Ora, querer criar soluções para que gente assim nunca seja contaminada é querer reconstruir a maior das Pirâmides com colher de café; não há problema de inteligência -- ou falta dela -- no usuário que mal sabe usar um computador e que consegue ser infectado? As empresas têm que criar programas que funcionem bem, mas o usuário é quem tem que se cuidar e evitar as pragas, descobrindo como usar sua própria máquina sem depender do tio Bill ou do tio Linus para tudo.

Meu post foi cortado pelo sistema...
Primeira citação que sumiu:

"os usuários Windows só contam com atualizações automáticas do sistema operacional, as aplicações são soltas demais"
As atualizações do Windows são [...]

Disse a verdade "pje":
"Se for pensar assim, a solução mais fácil é desligar o modem. ;)"
[...]

Aqui faltou explicitar a resposta a bugs de segurança em sistemas unix/linux em comparação com windows/MacOS.

Ter mais gente olhando/debugando softwares é uma vantagem em termos de segurança para software de código aberto!

E, em termos bem pragmáticos, olhando para o usuário não técnico, Educação não é o caminho mais "eficiente" por uma questão de tempo...
Quando você consegue educá-lo para não cair nas coisas mais manjadas outras estarão surgindo!

Eu fico feliz quando meu sistema me proteje da minhas própiras cagadas, não permitindo que caquinhas aconteçam

Ter um sistema mais seguro ainda é a melhor opção

Mas é importante o que você chama a atenção. TODOS OS SISTEMAS têm vulnerabilidades e é boa política ter um plano/política de contigência!

Sérgio, não adianta ter zilhões de correções se o usuário não tem o hábito de aplicá-las. Quanta gente não clica em "cancelar" se der de cara com um "baixando atualizações de segurança"?

Anon: O Linux realmente é um inferno de bibliotecas e dependências, mas isso foi bem escondido nas versões atuais, e melhor que o Windows Update, as aplicações, não só o SO, são atualizadas através do mesmo processo.

Além do que tem usuário e USUÁRIOS, se você fizer um programinha que tem um botão assim:

Não aperte esse botão pois ele formata o seu pc.

O usuário vai lá e clica só pra ver no que vai dar, aí coloca a culpa em vírus.

Já é muito simples utilizar LINUX. Mais simples, funcional e rápido que o Windows. Não é para menos que 70% da internet usa Linux(em termos de servidores APACHE).

Navegar com o Linux na internet é como estar com um navio de guerra. A maioria dos virus não são arquivos Shell Script e nem imagens que infectam o usuário, mas arquivos .exe e scr sendo que isso para o Linux não executa assim tão fácil.

A sua atualização já é automática, bastando o usuário clicar em Atualizar, quando for solicitado. E suas aplicações, por exemplo na distribuição Ubuntu, já ultrapassam 16mil.

Parei de ler no "A velha afirmação de que o modelo hierárquico do Unix é proteção infalível"...
acho a segurançado linux boa, principalmente comparada a do windows, mas quem é louco de afirmar que é infalível?

"Primeiro: O que vale mais, seus dados ou o sistema operacional?"

O cardoso considerou que apenas um usuário utilize o computador. E qdo mais de uma pessoa usa o computador? Os dados pessoais dos outros usuários serão danificados por conta de um irreponsável. O modelo do Unix ainda é a melhor opção.

Ai vai um teste!

Acessem esse site:

http://www.theserials.com/ -- usando Firefox.
Apenas acesse, deixe carregar.
Você verá que nada de diferente acontece.

Agora, se tiver coragem. tente o mesmo com o tal do IE...

É brincadeira essa discusão.

Fabiano, você está querendo dizer que o Firefox não tem falhas de segurança? Seja menos fanboy, abra os olhos pra realidade. Depois, quando estiver de olhos abertos, releia o texto. O assunto discutido vai muito além de um browser.

Lucas, mesmo que somente os dados de UM usuario irresponsável sejam destruídos, já prova que o modelo não funciona, não protegeu o usuário dele mesmo. E embora melhor, o modelo de segurança do *nix não é infalível, como os bugs de Privilege Escalation demonstram.

Pô, cardoso, agora você apelou também: usar virtualização para acessar site suspeito? Firefox e IE no mesmo nível? HA!

Se alguém diz que Linux, Firefox, OpenBSD[1], o que quer que seja é totalmente seguro, esta pessoa deve ser dirigida imediatamente para /dev/null. Agora dizer que tudo é igualmente inseguro também é apelação... Assim como dizer mesmo que a maioria dos usuários Linux acredita que o sistema é invulnerável.

Por exemplo, o Fabiano falou que o Firefox é mais seguro que o IE, não que o FF não tenha falhas. Aumentar o que ele disse é sinal de ou descontrole o má-fé. E, de boa, mesmo não concordando com o argumento específico do Fabiano, qualquer coisa é mais segura que IE <= 6. Melhor acessar site por telnet que pelos Rascunhos de Browser Estou mentindo?

Eu sei que meu Debian não é invulnerável. Mas sei também que ele é menos vulnerável que Windows XP. Tanto que eu me dou ao luxo de usá-lo sem anti-vírus e com iptables escancarado. O que não quer dizer que é melhor ou pior em geral, mas que, *para mim*, neste aspecto, é bem melhor.

Eu acho até meio chato dizer isto, mas você deve estar procurando os usuários de Unix mais despreparados de propósito para conversar. Não há tema em que você não fuja do assunto para mostrar como "este pessoal do Linux fala besteira", como no post sobre o Mark migrando para Ubuntu ou naquele diálogo sobre WinFS.

Antigamente, advogado de Linux era a raça mais chata que existia, depois dos fãs de Amiga mas parece que está surgindo a categoria dos antilinux chatos pra dedéu[2].

[1] Ops, desculpe, OpenBSD realmente é invulnerável :D[3]

[2] Ok, tem uma ínfima minoria de BSDers que tem a habilidade na questão da chatice.

[3] Putz, não tem senso de humor não? Foi uma piada!

Adam, não brinque com BSD. Aquilo é coisa séria

Tem razão, é melhor tomar cuidado, mesmo porque BSDs (e Linuces também) podem destruir vidas

http://www.bbspot.com//News/2003/07/unix_mascots.h...

Eu ia fazer um post sobre este, mas como meus trackbacks nunca funcionam para o meio-bit, resolvi escrever aqui mesmo.

Não acredito que alguém ache que um sistema é invulnerável (aliais, acredito, pois tem gente que usa windows sem anti-bagulho).

Porém o que custuma ser afirmado por usuários experiêntes (os inexperientes, também, mas não sabem o que estão falando só falam o que já ouviram) de Linux é que não é necessário usar anti-virus.

E isto é bem válido, porque para ser um virus o dito aplicativo precisa se multiplicar e para fazer isto, é necessário permissão de escrita nos demais aplicativos.

Usando um usuário com poucos privilégios não é possível para um virus se propagar, é possível escrever um comando para apagar todos os arquivos do usuário, mas isto não é um vírus, isto é um aplicativo que o usuário rodou, por isto um anti-vírus é desnecessário, este aplicativo seria executado de qualquer maneira.

Sim, existem bugs de escalação de privilégios que poderiam criar um vírus, no sentido real da palavra, para Linux, porém esses virús teriam que vencer 3 barreiras:

1 - Todos arquivo baixado da internet não possue permissão de execução (teriam que fazer com que o usuário dê essa permissão, não basta colocar uma extenção no final do arquivo).
2 - Teria que pegar uma máquina com aquela brecha específica que ele está explorando, com a imensa facilidade de atualização das distribuições atuais do Linux, é dificil pegar uma máquina desatualizada.
3 - Criar um vírus para Linux é mais difícil do que para Windows, como você terá que pegar uma falaha específica e lidar com chamadas de rotínas obscuras, só programadores com muita experiência conseguiriam fazer isso, o que tira você da mira da esmagadora maioria dos criadores de vírus e malwares em geral, que só seguem receitas de bolo.

O Linux não é, nem nunca foi invulnerável, assim como qualquer outro sistema operacional, porém, seu modelo de segurança é muito melhor que o da Microsoft.

Aproveitando, sim, tenho mais medo que um malware distrua meu sistema que meus dados.

Explicando: Tenho bkp de todos os meus dados importantes, em menos de uma hora, tenho tudo funcionando como antes.

Se eu perder o sistema posso levar dias para deixá-lo exatamente como preciso.

Abraços

Não é bem assim... É plenamente possível pegar um vírus para Linux - só que é tão improvável, mas *tão* improvável hoje em dia que você pode viver sem um anti-vírus durante um bom tempo. Claro que algum dia é possível que haja tantos vírus para Linux quanto para Windows, ou mesmo mais.

(Como os h4xXx0rs vão fazer para conseguir infectar centenas de sistemas operacionais diferentes, cada um deles atualizados semanalmente, administrados por gente experiente e baseados numa arquitetura testada durante os últimos 50 anos de uma vez só, bem, aí é outra história )

Na verdade, creio que ano passado houve uma pequena peste que infestava servidores rodando PHP com uma versão desatualizada de PHP-SOAP apenas em Linux[1]. Ok, a figura que deixa um servidor com uma versão desatualizada de alguma biblioteca SOAP tem mais é que pegar vírus mesmo, mas isto é um sinal de que pode, sim, haver vírus para SOs Linux, e não manter o olho aberto para a possibilidade de eles começarem a realmente incomodar é um risco que não precisamos correr.

Mas ainda assim acho anti-vírus desnecessário num SO Linux devidamente atualizado, principalmente para desktops. Se algum dia for, tem rolo não, a gente migra para Solaris ou BSDs e vamos assim até o final dos tempos

[1] Estes dias tentaram provar que é possível que exista um vírus multiplataforma. Bem, conseguiram provar que é possível um worm multiplataforma Observando a falha que exploraram por este vírus, é interessante notar que, se o criador da praga tivesse se esforçado um pouco mais, teria efetivametne criado o primeiro vírus multiplataforma que tanto procuram - e que rodaria em muito mais SOs que Linux e Windows!

Na verdade, seu comentário confirmou o meu com outras palavras.

"Na verdade, creio que ano passado houve uma pequena peste que infestava servidores rodando PHP com uma versão desatualizada de PHP-SOAP apenas em Linux"

O criador da praga pegou uma falha específica de um sistema não atualizado, como deixo a atualização automática on, provavelmente, quando o cara acabou de criar a praga, minhas máquinas já estavam imunes.

O caso do tal vírus multi-plataforma, não era verdadeiramente um vírus, um malware, sim, mas não um vírus, já que ele tinha capacidade de destruir seus dados, mas não de se multiplicar.

Outro problema dele é a barreira 1 que falei, se fosse baixado da internet ele não funcionaria por ser baixado com -x (sem permissão para execução), funcionou no laboratório, pois quem criou deu permissão de execução para ele .

Abraço

Mais ou menos... Eu mesmo falei que virus não são uma preocupação para Linux - só alertei para o fato de que, de alguma maneira inédita, podem vir a ser. Eu duvido disto a curto prazo, mas é uma possibilidade. Olhos abertos, hein?

Vírus não são, usar antivírus no Linux é besteira, é como usar antivírus no Windows Mobile, PalmOS ou no Symbian. (e olha que eu já sofri tentativa de contaminação no Symbian).

O problema não são as fraquezas do sistema, como no Windows. O problema são os usuários. Enquanto houver gente disposta a tudo para ver "a foto da Sandy" e seguir as instruções: "na janela de comando, digite su..." o sistema não será verdadeiramente seguro.

Daí minha preocupação com a EDUCAÇÃO do usuário.

Adam: "administrados por gente experiente " como assim? O tiozinho que comprou o PC nas Casas Bahia vai se tornar magicamente 1337 pq usa Linux?

Se o usuário fosse experiente e entendesse as implicações de segurança, poderia usar até CP/M...

"Adam: 'administrados por gente experiente ' como assim? O tiozinho que comprou o PC nas Casas Bahia vai se tornar magicamente 1337 pq usa Linux?"

Claro que não. O tiozinho vai apagar o Insigne Linux e por Windows 98 pirata. Se não fizer isto - o que eu nunca vi acontecer... - ele vai ter de aprender a usar um SO Linux, certo? Se ele for aprender com a comunidade, eu acredito que vá inevitavelmente aprender como "fazer as coisas direito", pois a comunidade dos linucistas é extremamente rígida com isto[1]; mesmo que faça um curso, eu duvido que exista alguém que mexa com Linux que não saiba a importância das atualizações, da importância do root etc. etc.

Note, porém, que este caso é apenas hipotético, pois eu efetivamente nunca vi nenhum usuário Linux inexperiente - para o bem e para o mal.

Se ao menos usassem SuSE...

[1] # /etc/init.d/flamer start
Tirando o foco isolado dos kurumas, mas Kurumin não é Linux :D[2]

[2] Pô, foi outra piada... Este pessoal não tem senso do humor mesmo...[3]

[3] Com Kurumin pode brincar, né, cardoso?

Sim, nisto você está correto.

Fazendo uma analogia pense em um carro forte e um fusca na hora de transportar valores de um banco?

Quem está mais seguro?

É claro que se você conseguir convencer o motorista do carro forte a abrir as portas, será tão fácil levar o dinheiro quanto do fusca.

Mas dizer que dá no mesmo levar o dinheiro no carro forte ou no fusca, seria um pouco exagerado.

Abraço

Adam,

respondeu ao mesmo tempo que eu.

Isso é uma das coisa que comunidades como o Ubuntu e Ubuntu-br querem acabar, o sistema deve ser amigável o suficiente para ser uma alternativa para usuários sem qualquer experiência.

E a questão de segurança vem sendo pensada para usuários deste grupo.

Abraços

Posso fazer um binário em vez de um script que tem que receber permissão de execução.
Acho que um binário dentro de um zip escapa do -x, não faço idéia se com um script funciona.

Agora vamos definir uma coisa:
Estamos falando de Servidores, Desktops ou estações de Trabalho?

Servidores e Estações de Trabalho tem administradores que são os encarregados a segurança. Recebem para fazer as atualizações, etc.
E convenhamos, um *nix bem administrado É REALMENTE invulnerável.

O galho são os Desktops. E vamos parar com esse elitismo de usuário avançado que o sonho dos desenvolvedores Linux é desbancar a Micro$oft NO DESKTOP.
Slackware permite que se instale sem senha no root, QUASE TODOS os liveCD, E não apenas o Kurumin ativam o sudo.
Temos que criar sistemas que protejam esse usuário comum.
1 - O ideal é um Ubuntu da vida que tem atualização de segurança automática.
2 - O ideal é um Debian que no Synaptic (usuário leigo nem sabe que ele é um front end, tá?) instala programas de procedência idônea.
3 - O ideal é desativar o sudo e usar kdesu ou gksu.
4 - O ideal é impedir login gráfico do root. (nós, os apaixonados por mc, nano e links esquecemos como um prompt é aeaçador)
4 - O ideal é manter a diversidade entre as distribuições, já que a árvora de diretórios é uma bagunça tão grande que eu duvido que um malware para suse funcione num fedora ou num debian.
5 - O ideal é perceber que os vírus para *nix são principalmente prova de conceito, não uma ameaça real. O que é perigoso é a engenharia social. (esse script é um visualizador e fotos que acessa a Playboy sem pagar. clica com o botão direito[...] sudo rm -d / Acha mesmo que um iniciante vai abrir o script pra ver o que tem?)
6 - Já que o perigo é engenharia social, o ideal é esquecer o Desktop, aí entção a gente pode se fechar nos servidores e geeks e dizer:"Somos impenetráveis"