Começam a surgir com mais frequência notícias sobre aplicativos mal intencionanos nos mercados online de apps, como a App Store da Apple ou o Android Market. Claro que não é algo específico destas duas, ela pode acontecer com qualquer uma, só que estas  são as que tem mais visibilidade no momento.  Ver artigo da Linux Magazine sobre isso. Outras lojas menos conhecidas atualmente, como a Shop4Apps da Motorola ou a OviStore da Nokia, ou até mesmo a central de aplicativos do Ubuntu, podem eventualmente carregar algum aplicativo com risco de segurança, seja intencional ou não. Analisando a questão, vemos que o risco é inerente à forma como estes mercados funciona. O que fazer então, desistir desta forma de distribuição? Vamos repassar a seguir as causas da insegurança nos apps de terceiros e como contorná-las sem perder a facilidade que foi criada de instalar apps no seu dispositivo e com isso aumentar a sua funcionalidade, utilidade e formas de diversão.

Vamos notar inicialmente que mesmo políticas bem rígidas como a da Apple, que restringe ao máximo a aprovação de aplicativos para assegurar a qualidade e a segurança, bem como por motivos comerciais também, não elimina totalmente o problema. Até que ponto o teste ou o exame automatizado de um código executável pode detectar um malware? Existe um limite para isso, e com isso alguns, embora poucos, passam. Só que o nível de destruição que esses poucos podem causar deveria ser  suficiente dara causar preocupação em qualquer um.

O mercado do Android, por ser mais liberal, sob esta ótica seria pior. Só que esta liberalidade propiciou um crescimento vertiginoso da quantidade de aplicativos neste mercado, muitos deles gratuitos, o que é muito bom para o usuário. Daí voltamos à velha lei da segurança da informação da qual não se pode fugir: quanto mais usabilidade e facilidades, menos segurança, e vice versa, aumentando um diminui-se o outro. Não se pode ter os dois no máximo, o que se pode é achar um ponto no meio do caminho que atenda ao requisitos de risco e usabilidade.

No caso dos mercados online, da Apple, Android e todos os outros, na minha opinião é muito precipitado simplesmente virar as costas a eles por medo ataques. Por outro lado, apenas continuar usando sem pensar nos riscos seria irresponsabilidade. Um terceiro complicador é que, mesmo estando atentos ao risco, quantos usuários estariam habilitados técnicamente a decidir sobre instalar ou não um app? Sempre que se pede para instalar um app do Android Market, por exemplo, é mostrada uma tela listando os acessos que tal app terá (uso da rede, das configurações, etc).  Quantos usuários perdem tempo de ler esta tela? E quantos usuários, se a lessem, entenderiam minimamente do que se trata e quais os riscos envolvidos em cada permissão de acesso a recursos do dispositivo?

Na minha opinião, para preservar a liberdade do usuário de poder comprar, baixar e instalar uma variedade cada vez maior de aplicativos, é necessário que ele assuma em algum nível o  papel de avaliar os riscos de suas ações. Da mesma forma em que se pára para olhar os dois lados da rua antes de atravessar, seria preciso ler e avaliar os riscos dos acessos de cada aplicativo, bem como sua procedência, etc. Para ajudá-lo nesta tarefa, os responsáveis pelas lojas poderiam disponibilizar mais informações sobre o significado de cada permissão que o app terá. E eventualmente emitir certificados para os apps que possuem muitas permissões. Apps não são iguais. Porque um wallpaper precisa acessar a Internet, a lista de contatos e o SMS? Mas se for o caso do app realmente precisar, que ele tenha sua procedência certificada, para que a confiança seja transferida em uma entidade mais reconhecida. No final, estamos todos confiando em muitas empresas e organizaçoes sem nem pensar nisso. Note que certificados e assinaturas já são usadas para sites e para aplicativos desktop.

E por fim, uma última salvaguarda seria o próprio modelo opensource. Se o app tem seu código liberado, sabemos que, se ele for popular, é possível que alguém na comunidade com capacidade de ler códigos de programa de detecte alguma falha de segurança, seja proposital ou por imperícia em programação.  A possibilidade que isso possa acontecer já inibe a criação de trojans disfarçados de app no modelo de software aberto. Uma das causas da insegurança atual é que alguém programando quase anonimamente envia o executável para alguma loja não tenha disponibilizado seu fonte, e este programa passa a ser acessado imediatamente por milhões de pessoas no mundo. Acabando com o anonimato do desenvolvedor (com mais informações sobre o mesmo, e não um cadastro simplório), e/ou o “anonimato” do código fonte, creio que os riscos seriam bem menores. No caso de assinaturas de apps, haveriam dois níveis de identificação, sendo que os assinados com certificação digital obviamente requeririam muito mais informações.

Resumindo, o Android Market, a App Store e todos os demais mercados semelhantes que venham a se tornar populares são apenas um canal de distribuição e não um grande sistema único das duas respectivas empresas. Deveriam ser encarados desta forma, com todos os riscos inerentes a cada app baixado. Mas são um canal inovador e conveniente, propiciando soluções novas  que a pouco tempo eram apenas sonho, na palma da mão em poucos segundos, a um custo baixo ou  zero.  É  aprender a lidar com o risco ou voltar aos dispositivos com software pré-instalado de fábrica.

No tags

O Google disponibilizou nesta quinta-feira o seu serviço de DNS para uso público. As vantagens alegadas são performance e segurança. Realmente, um servidor DNS mal configurado pode ser causa de atrasos e porta de entrada de ataques, como DNS poisoning. Os IPs dos servidores DNS são:

8.8.8.8
e
8.8.4.4

Mais Informações e detalhes de configuração no site do Google.

Internet · segurança

A empresa Radware publicou nota relatando uma falha de segurança no navegador Safari, do iPhone. Basta que o usuário acesse um site com Javascript que explore esta vulnerabilidade para que o iPhone fique exposto a uma falha de negação de serviço (DoS). Estes sites podem ser introduzidos por engenharia social (SPAM, por exemplo). O resultado pode ser o crash do Safari ou de todo o sistema do iPhone. A versão afetada do iPhone é a 1.1.4. Ainda segundo a Radware, o iPhone é vulnerável a este tipo de ataque devido a falhas de projeto no sistema do dispositivo:

“Apple iPhone Safari browser is vulnerable to DoS attacks due to a design flaw that may be triggered by a series of memory allocation operations on the dynamic memory pool, which in turn triggers a bug in the garbage collector. The security hole is currently unpatched, leaving iPhone owners vulnerable to potential attacks until Apple issues a security update.”

Mas o recebimentos destes links maliciosos é algo raro certo? Errado, a infecção por SPAMs com cavalos de troia é mais comum do que se possa imaginar. Um exemplo recente: já recebi esta semana dois convites do Orkut (de pessoas desconhecidas) em que o perfil destas pessoas possui um link para um suposto album de fotos na Web (fora do Orkut). Só que este link remete a uma página que o meu antivirus detectou como ataque por script. O carregamento da página foi suspenso, graças ao antivirus. Um simples convite do Orkut … Nada impede o uso de uma tática destas contra o usuário de iPhone. O seu iPhone já tem antivirus, antispyware e firewall?

Fonte: Radware

No tags

Recentemente precisei reinstalar um ativirus no Windows Vista (64), e busquei o velho AVG free edition de sempre. Veja abaixo o que encontrei e as conclusões a que pude chegar. E ainda como garantir o AVG grátis por mais um tempinho.

Nada tenho nada contra software comercial. Já comprei muitos softwares de prateleira. E entre esses já comprei uma meia dúzia de versões de antivirus. Mas se tem um software que me não me dá nenhuma satisfação comprar é antivirus. Reconheço a importância, senão nem me daria ao trabalho de instalar. Mas o antivirus não produz nada, nenhuma aplicação diretamente útil para mim, nenhuma diversão. Sim, ele é útil para manter o PC que por sua vez faz coisas que eu quero… racionalmente parece que está tudo certo, mas pensando como usuário o sentimento (essa é a melhor palavra) é que isso é um exagero, eu queria o PC como uma solução pronta.

Por isso, apesar de saber que é altamente recomendável ter um anti-vírus, me sinto enganado ao comprar um. Essa sensação piora porque todos eles tem um prazo de validade para atualizações, normalmente de um ano. E anti-virus sem atualizações fica quase sem utilidade. Na realidade antivírus é mais um serviço do que um produto acabado, e daí que uma mensalidade, ou anuidade, talvez seja realmente o modo mais justo de contratação. Mas a forma de comercialização é duvidosa, já que o que fazemos é comprar uma caixa grande e vistosa, com CD e manual, por um preço relativamente alto. As letras pequenas na licença ao usuário final são as últimas coisas que alguém vai ler ao comprar um software num supermercado ou loja de departamentos, e só depois de chegar em casa e abrir o pacote. Se eu penso em antivirus como serviço, a minha expectativa de custo poderia começar a cair. Deve ser por isso que a Symantec e outras continuam investindo nas caixas grandes e coloridas.

Pra piorar minha implicância com os anti-virus pagos, o terceiro Norton Antivirus, da Symantec, que comprei veio com um sistema anti-pirataria que impediu de reinstalar depois de 3 vezes. Eu não estava pirateando, apenas reformatei o PC mais de 3 vezes no ano. Com isso nem sequer consegui utilizar o prazo de um ano de atualizações! Havia um telefone para atendimento, em são Paulo … Não vou pagar um iterurbano para call center. Mas valeria comprar outro, mas aí a empresa é que ganha por criar uma inconveniência ao consumidor.

Depois desse episódio com a Symantec, fiz uma pesquisa e acabei achando o AVG antivirus, da Grisoft, que possuía uma versão freeware. Esta versão era definida como básica, mas como eu não me considero com um comportamento de risco, esta deveria ser suficiente. Com ela instalada o Windows parava de reclamar da falta do antivírus na barra de taferas. Sim, sempre se pode desligar este aviso, mas aí minha consciência é que fica pesada… Bom o fato é que utilizei o AVG free por anos no Windows XP. Recentemente instalei o Vista em um PC novo, e de novo me aparece o aviso de segurança na barra de tarefas. Convivi com este pequeno ícone agourento por alguns meses, até que pensei, que diabos, porque não colocar o AVG de sempre? Na verdade não quis colocar logo por uma série de problemas de compatiblidade e estabilidade, e o antivírus seria mais uma provável fonte de problemas.

Enfim, decidido a colocar o AVG, fui ao site (sempre esqueço o nome da empresa e tenho que colocar o nome no google) da empresa. Lá fazem propaganda da nova versão 8, mas não achei uma versão free correspondente. Depois pesquisa no site achei a velha versão 7.5 pra download. Não me parece que existe navegação no site chegando a este link. Ou seja, o link está escondido, e não existe free edition para a versão 8.0. Conclusão, a Grisoft está abandonando este modelo de distribuição e se alinhando com os outros desenvolvedores de antivírus. Provavelmente perceberam que a free edition estava roubando mercado do produto pago.

Mas agora saindo das questões de mercado, voltando à realidade do usuário individual que quer um antivirus razoável e legalizado, recomendo neste momento correr pra garantir a versão 7.5, porque a qualquer momento eles podem tirar esta versão do ar. Claro que essa solução não é eterna. Em algum momento eles deixarão de atualizar a 7.5, obrigando todo mundo a procurar a versão paga, ou outro produto. Ma por enquanto ela está ativa e atualizada, e funciona até no meu Vista Ultimate 64 bits. Para facilitar, temos os links abaixo podem ser úteis, só não garanto até quando:

Página com o link de download da versão 7.5 free edition:
http://www.grisoft.com/ww.product-avg-anti-virus-free-edition#tba2

Link direto para download desta versão:
http://free.grisoft.com/filedir/inst/avg75free_519a1276.exe

Link do AVG 7.5 no site download.com

A escolha mais imediata pelo AVG se baseia, no meu caso, em já ser usuário do produto, e também por ser recomendado no site da Microsoft. Uma outra opção de anti-vírus gratuito é o Avast, que inclusive já alega compatibilidade com plataformas de 64 bits. Mas neste caso ainda teria que testar o produto, com o qual nunca tive nenhum contato. Talvez este seja o próximo passo… caso não desapareça também … parece que eles oferecem free editions para o consumidor só até entrarem (ou acharem que entraram) para o clube dos grandes …

Pelo menos o Windows Vista agora parece mais tranquilo com a segurança e parou de reclamar na barra de tarefas. Por falar em Vista, o que aconteceu com aquele serviço de anti-vírus da Microsoft? Tenho a impressão que eles não querem assumir a responsabilidade por mais esta fronteira de segurança nas máquinas dos usuários. Mas por outro lado é uma das últimas formas de ganhar dinheiro indefinidamente (anuidade) dos usuários domésticos, já que empurrar novas versões do sistema operacional tende a ficar cada vez mais difícil. Updates de antivirus é o futuro. Mas ainda acho que R$ 100,00 é caro…

Nota (em 19/05/2008): A resposta é NÃO, ainda não será dessa vez que o free AVG acaba. Quando postei realmente não havia link no site da grisoft para download da versão 8 free. Mas a poucos dias fui alertado por um leitor de que já havia uma versão 8 free rolando nos sites de download. E anteontem eu recebi um email da grisoft com o link para download. E este email dizia que a versão 7.5 só será atualizada até 31 de maio. Já baixei o meu.

No tags