Nota do editor: esta é a terceira e última parte do artigo sobre a segurança no Windows, enviada pelo leitor Bruno Alisson (obrigado!). Caso não esteja acompanhando, recomendamos que leia a primeira parte e segunda parte do artigo. Você também pode ter seu texto publicado no Guia do PC, basta nos enviar um e-mail (contato@guiadopc.com.br) ou preencher o formulário de contato.
O arquivo HOSTS
O “HOSTS” é um arquivo especial do sistema operacional que sequer possui extensão. Ele está localizado em “%systemroot%\System32\drivers\etc” e tem a capacidade de forçar a resolução de nomes, ou sites da internet, para endereços IPs específicos, independente do servidor DNS. O arquivo HOSTS pode ser usado para facilitar a vida do usuário na internet, mas também pode ser explorado para fins malicioso — para redirecionar endereços de sites de atualizações de antimalwares para algum endereço inexistente, por exemplo, facilitando assim a entrada de malwares no sistema, por conta da falta de atualizações.
As pastas System32 e SysWOW64
A pasta “System32” e sysWOW64 estão presentes no Windows XP e Vista, nos sistemas de 32 e 64 bits, respectivamente — em “%systemroot%\” (geralmente “C:\Windows\”). Essas pastas são alvo de muitos arquivos executáveis maliciosos, justamente por ser uma pasta do sistema, e um usuário leigo dificilmente saberá quais arquivos são autênticos ou não, e o deixará por lá. Na maioria das vezes, além de estarem numa dessas pastas, ele também se alojam na inicialização sistema, fazendo assim com que esses programas mal intencionados sejam iniciados sempre que o sistema é ligado. Esses programas, inicialmente, eram feitos para se alojarem em “C:\Windows\System32” ou “C:\Windows\SysWOW64” (local padrão), mas algumas dicas distribuídas na internet induziam as pessoas a escolherem um local diferente na hora da instalação, justamente para diminuir infecções. Com a troca da pasta padrão da instalação do Windows os códigos passaram a ser programados para se alojarem em “%systemroot%\System32” ou “%systemroot%\SysWOW64”, fazendo com que o executável vá para a pasta correta, independente do local de instalação.
O Registro do Windows
O Registro do Windows é um banco de dados. Nele ficam concentradas todas as configurações que são necessárias para o funcionamento do sistema e para os softwares nele instalados. Todas as configurações que podem ser alteradas, as associações das extensões dos arquivos aos seus respectivos programas, configurações de hardware, etc., possuem uma entrada ou chave no registro. Como quase tudo no Windows, o registro pode ser alterado de forma maliciosa. Um exemplo bem básico disso é o crack do antivírus NOD32, que insere no registro algumas informações que podem não ser maliciosas (permitindo fazer o download das atualizações verdadeiras no site oficial), ou podem ser maliciosas, fazendo com que o endereço para atualização seja um servidor diferente do oficial, que pode fazer com que sejam recebidas “atualizações” que retirem do banco de dados do antivírus as informações sobre alguns ou todos os vírus, deixando assim o Computador completamente desprotegido.
Utilitário de Configuração do sistema (Msconfig)
O Msconfig é o arquivo executável do Utilitário de configuração do sistema, presente nos SOs da família Windows. A sua funcionalidade básica é configurar a inicialização do sistema, antes e depois do boot. Antes do boot por exemplo, ele permite que seja configurada as opções de dual boot, ou que seja escolhida a opção de inicialização em modo seguro (alternativa á tecla F8). Já com o SO iniciado, ele permite que escolha os programas e serviços que vão ser carregados automaticamente.
O processo svchost.exe
Esse processo é capaz de hospedar vários outros serviços, rodando em um grupo de processos e exibindo apenas um nome. Por outro lado, ele pode rodar mais de um grupo, exibindo vários processos svchost.exe na lista de processos, fato muito comum.
O processo svchost.exe pode ainda ser usado para fins maliciosos. O original se encontra na pasta %systemroot%\System32 (ou SysWOW64). Mas são encontradas copias legítimas no sistema para fins de backup. Por exemplo na instalação de um Service Pack:
- C:\WINDOWS\system32\svchost.exe – Cópia do svchost.exe real, utilizada pelo sistema
- C:\WINDOWS\$NtServicePackUninstall$\svchost.exe – Backup do Service Pack
- C:\WINDOWS\ServicePackFiles\i386\svchost.exe – Cópia temporária da instalação do Service Pack
- C:\WINNT\system32\dllcache\svchost.exe – Cópia de segurança do svchost.exe caso algo aconteça com o verdadeiro
Qualquer outra cópia do arquivo svchost.exe em uma pasta diferente das mencionadas acima pode e deve ser um arquivo malicioso, disfarçado de um processo legítimo do sistema. Nesse caso, nunca exclua o arquivo. Faça a verificação com um antivírus de confiança ou envie para serviços com o VirusTotal.
A segurança no Windows XP
O Windows XP trouxe uma melhora significativa no que tange a segurança em relação aos seus antecessores. Embora o sistema tenha sido bastante criticado no seu início, devido a problemas relacionados à segurança, as coisas melhoraram ao longo do tempo.
Com o lançamento do SP2, foram implantadas muitos recursos de segurança — O firewall, por exemplo. O Windows Firewall, que antes se chamava Firewall de Conexão com a Internet (ICF), é uma filtragem com informações de estado baseado no computador pessoal e utilizado no Windows XP Professional. O Windows Firewall protege os computadores que estão conectados a uma rede bloqueando o tráfego de entrada não-solicitado através das conexões de TCP/IP versão 4 (IPv4) e TCP/IP versão 6 (IPv6).
No passado, muitos ataques baseavam-se na exploração dos pontos fracos dos aplicativos associados a serviços conhecidos. No Windows XP Professional SP2, as portas que esses serviços utilizam ficam fechadas por padrão a todos os pedidos não-solicitados de conexão de entrada. O Windows Firewall fornece um gerenciamento de porta mais flexível permitindo que os profissionais de TI abram e fechem as portas com base em zonas de segurança específicas ou em regras baseadas em diretivas, regras essas associadas a aplicativos específicos. No SP2 o firewall vem “completo”, com algumas funcionalidades que não existiam antes.
Melhorias no IE
O Windows XP SP2 bloqueia os controles ActiveX desconhecidos e não-assinados que poderiam causar danos em potencial a uma rede local (LAN). As proteções incorporadas no navegador foram projetadas para impedir os truques dos hackers, como o spoofing (mascaramento) da interface do usuário (UI). Tais proteções também aumentam a privacidade dos usuários que usam o Internet Explorer.
Para impedir que aplicativos maliciosos sejam iniciados a partir do Internet Explorer, o SP2 usa comportamentos-padrão de segurança, como a verificação de assinatura de todos os controles Active X, o aviso aos usuários de que há controles Active X não-assinados, e o bloqueio de controles Active X e aplicativos que não são iniciados pelo usuário.
O Windows XP SP2 também inclui um eficaz bloqueador de pop-up. Além disso, a segurança aprimorada do Internet Explorer reduziu a exposição a spywares e malwares. O Internet Explorer do Windows XP (IE6) pode ser atualizado para IE7 ou IE8.
Um firewall de verdade e nativo
Mas foi com o sucessor do Windows XP, o Vista, que a Microsoft incorporou um verdadeiro firewall ao sistema, com controle de trafego de entrada e saída, diferentemente do Windows XP que tinha apenas controle de entrada. O que acontece é que o controle de saída é extremamente importante, pois o que o server de um trojan precisa para se comunicar com o client em uma outra máquina na grande rede é de uma porta com sua saída aberta.
Antispyware nativo
O Windows Vista vem equipado com software de combate a spyware (e somente spyware, segundo a Microsoft) nativamente: o Windows Defender. Em testes realizados, o Windows Defender também conseguiu combater alguns adwares.
O antispyware da Microsoft também é muito bom para defender as áreas principais do sistema, mesmo sem conhecer nada sobre o ataque (um tipo de heurística). O programa detectou todas as alterações nas chaves “Run” (HKCU e HKLM), na pasta de inicialização, todas as mudanças nas páginas default inicial e de busca do Internet Explorer, e nos arquivos HOSTS (que podem redirecioná-lo para um site malicioso).
O Windows Defender é melhor do que nada, consegue combater adwares e oferece proteção baseada no comportamento que deveria bloquear diversos ataques que tentam fazer mudanças indesejadas no seu sistema. Em suma: ele não dispensa o uso de um software de terceiros, mas é perfeito para defender (e provavelmente essa é sua maior intenção) as partes principais do sistema.
Atualmente o Windows XP já está consolidado e não enfrenta tantos problemas quanto antes. É considerado por muitos o SO mais estável da Microsoft. Está atualmente na versão SP3 e terá seu suporte encerrado em abril de 2014
O IE do Vista
O Windows Vista vem, por padrão, com o Internet Explorer 7. O IE7 só tem acesso à pasta temporária protegida do Windows, impossibilitando a ação de códigos maliciosos e instalação acidental de malwares. A senha do usuário será necessária para aumentar temporariamente, se necessário, o privilégio de acesso do navegador. O IE7 conta tambémcom uma nova proteção contra phishing-scams, que verificará se o site que o internauta está visitando é realmente verdadeiro e confiável. É possível atualizar o Internet Explorer para a versão 8 ou 9 no Windows Vista.
O User Account Control
Comumente chamado de UAC, que quer dizer Controle de Conta do Usuário em português. O UAC faz com que, por padrão, todos os programas rodem sem privilégios de administrador, mesmo quando se está logado em uma conta de administrador. Para efetivamente rodar um programa com direitos de administrador, é necessário confirmar conscientemente isso. Para muitos o UAC é bastante chato e atrapalha em situações onde se requer menor perca de tempo. O Windows Vista se encontra atualmente na versão SP2 e foi um sistema de pouca aceitação por usuários que “entendem do assunto”.
No Windows 7, o “irritante UAC” conta com as opções de “ativar” e “desativar”, dando mais flexibilidade e retirando confirmações onde o usuário não acha necessário.
A Segurança no Windows 7
O mais recente SO em fase final lançado pela Microsoft é dito por muitos “o melhor sistema operacional lançado pela Microsoft”. Em termos de segurança, logo de cara o Windows 7 vem com o IE8, que pode ser atualizado para IE9 e num futuro para IE10.
Firewall no Windows 7
Ao se conectar a uma rede nova o Windows 7 pergunta em que tipo de rede você se encontra, se está em “Casa”, no “Trabalho”, ou em uma rede Pública. No Firewall do W7, você pode realizar as configurações de modo diferente para cada perfil de rede. Ao se conectar a uma rede pública, como a de um shopping ou aeroporto, convém bloquear todas as conexões de entrada, coisa que pode ser exagero em uma rede doméstica.
Proteção do core
O kernel, o coração de um sistema operacional, é principal alvo para todo tipo de praga e outros tipos de ataques. Com a proteção do kernel do Windows 7, caso um cracker possa acessar ou manipular o kernel do sistema operacional, ele só será capaz de executar códigos maliciosos em um nível que não é detectável por outras aplicações ou pelo sistema operacional propriamente dito.
Por conta do modo de proteção do kernel e das mudanças realizadas no modo como as aplicações são autorizadas a interagir com funcionalidades sistema operacional, antivírus e outros aplicativos de segurança mais antigos não são compatíveis com o Windows 7. Vale lembrar que a Microsoft lançou o seu próprio antivírus, que apenas pode ser utilizado em cópias genuínas do Windows.
Microsoft Security Essentials
Ninguém melhor do que a própria Microsoft para conhecer seu sistema operacional. Pensando assim, podemos imaginar que ninguém melhor que a Microsoft para ter uma solução antivírus para Windows. Em 29 de setembro de 2009, é lançada a primeira versão estável do MSE (Microsoft Security Essentials), o antivírus da Microsoft, para usuários de dezenove países, entre eles o Brasil.
Compatível com Windows XP 32-bit, Windows Vista 32-bit e 64-bit, Windows 7 32-bit e 64-bit e, provavelmente, Windows 8 32-bit e 64-bit, o MSE oferece proteção contra vírus, malware, spyware, adware, scareware, software de segurança desonesto, rootkits, keyloggers, dialers, worms e trojans.
O MSE não vem por padrão no Windows, dando a possibilidade de o usuário escolher qual antivírus usar e não possui firewall, mas ele ativa o firewall do Windows para melhorar a segurança como um todo. O MSE cumpre o que propõe, é um antivírus leve e que requer poucas intervenções e configurações do usuário, já que seu público alvo é usuário final, tem uma boa heurística e é gratuito.
