Segurança não é questão de plataforma, mas sim de cultura (parte 3)
Espero ter deixado claro no primeiro e no segundo artigo, que o maior problema de segurança, é justamente a falsa idéia de que se está completamente seguro.
O Mac OS X é um sistema robusto e extremamente seguro, mas não invulnerável. Vamos então as medidas para aumentar a segurança do seu Mac:
Anti-vírus - Tudo bem, eu admito, nunca usei nenhum anti-vírus em meus Macs. Na MBE também não usamos e na maioria dos nosso clientes também não recomendamos. Mas em ambientes corporativos híbridos, onde existam máquinas rodando Windows, talvez seja interessante ter um anti-vírus nos Macs. Dependendo de como for a estrutura da empresa, um Mac pode se tornar uma porta de entrada de vírus e worms, que apesar de inofensivos no Mac OS X, podem eventualmente chegar aos PCs e aí sim, se espalharem pela rede. Existem diversos anti-vírus pagos para Mac, mas uma alternativa gratuita seria o ClamXav, que é usado pela Apple no Mac OS X Server.
Firewall - O Mac OS X 10.4 já tinha um excelente firewall de pacotes, o IPFW, mas a sua GUI era meio limitada. No 10.5, nem GUI limitada tem. As configurações agora devem ser feitas na mão ou usando aplicativos de terceiros, como o WaterRoof. O IPFW vem “desabilitado”, ou seja, há apenas uma regra de allow para todas as origens e destinos. Entretanto, o Mac OS X conta com um novo firewall, que filtra aplicativos ao invés de pacotes.
Na imagem abaixo é adicionada uma regra que bloqueia as respostas ao protocolo ICMP, usado no ping, por exemplo:
O novo firewall de aplicativos, controla o acesso de fora para dentro de acordo com as regras definidas por você. O Leopard assina digitalmente os aplicativos que você libera e, a partir daí, caso ele seja modificado maliciosamente, o firewall de aplicativos saberá disso e bloqueará os acessos à ele, até você liberar novamente ou negar de vez.
Dessa forma você tem um controle preciso sobre quais aplicativos podem receber conexões externas. O firewall de aplicativos não controla conexões abertas de dentro do seu Mac para fora. Um complemento para isso, seria usar o IPFW, que controla tanto as conexões que entram, quanto as que saem de seu Mac. Infelizmente a Apple não integrou os dois firewalls, mas nada impede que você combine as regras dos dois.
Portanto a recomendação é que seu firewall fique habilitado na opção “Set access for specific services and applications”, onde você criará sua lista de quais aplicativos e serviços poderão ser acessados externamente.
FileVault - Criptografia, falando de maneira bem simples, é a técnica na qual os dados são embaralhados de forma que pessoas não autorizadas não possam decifrar uma informação. É isso que o FileVault faz com o seu home folder.
O Mac OS X usa o algoritmo de encriptação AES-256.
Muitos reclamam que o Mac OS X só permite encriptar o home folder inteiro, mas isso não é verdade. É possível encriptar uma ou mais pastas ou ainda criar imagens encriptadas usando o Disk Utility:
Se você tem um Mac portátil, é uma boa idéia usar uma dessas formas de encriptação, pois no caso de perda ou roubo, seus dados não ficarão expostos por aí. Em tempo, use esses recursos com cuidado, um vez que se você esquecer a senha do FileVault ou de uma imagem encriptada, já era…
Keychain Access - O Keychain pode ser considerado como o repositório central de senhas no Mac OS X, no qual aplicativos e serviços do sistema consultam informações de autenticação salvas usando opções como “remember my password” ou “save password in my Mac OS Keychain”. Resumindo, o Keychain, salva suas senhas e, além disso, ele salva seus certificados e permite salvar notas seguras. Outro detalhe importante, é que através do Keychain você ainda pode determinar quais aplicativos podem usar as informações salvas:
Tudo muito prático, controlado e seguro, certo? Errado! Prático até é, mas seguro e controlado só será se você não salvar senhas essenciais como as da rede da sua empresa, redes wireless, senhas de e-mail e ainda a senha daquela imagem encriptada super-secreta que você criou com a dica acima… Do que adianta, as senhas, se nenhuma é solicitada para controlar o acesso aos recursos e dados que ela pretende proteger? Pior ainda, se a senha de administrador do seu Mac for em branco ou fácil demais, qualquer um pode abrir seu Keychain e, usando o checkbox show password, descobrir TODAS as suas outras senhas salvas.
Parece uma coisa óbvia, mas 90% das pessoas cometem esse erro…
Se algo tem senha, não a deixe salva. Memorize! Do contrário, qual o motivo da senha?? Deixa logo sem nenhuma! Um recurso que pode ser um excelente item de segurança, se usado de forma errada, pode se transformar justamente no oposto, uma falha comprometedora na segurança do seu Mac.
Software Update - É recomendável que você sempre mantenha seu sistema e aplicativos atualizados. Contudo, eventualmente um update pode causar problemas no seu sistema ou causar incompatibilidades com algum aplicativo. Para evitar qualquer problema desse tipo, sempre tenha backup dos seus dados e, se possível, uma imagem recente do sistema inteiro.
Backup - Contingência de dados e um item fundamental de segurança que muitos não dão atenção. O Time Machine é uma excelente opção para proteção dos seus dados. Além dele, existem diversas opções gratuitas e pagas por aí, como o Carbon Copy Cloner, SuperDuper! e o próprio Disk Utility. Abordarei as diversas opções de backup, detalhadamente num próximo artigo.
Espero que as dicas sejam úteis e ajude a tornar o seu Mac mais seguro. Em breve escreverei artigos mais detalhados sobre alguns tópicos abordados aqui, como o firewall e imagens encriptadas.
Se você precisa de consultoria para elaboração de políticas de segurança em sua empresa, entre em contato conosco.