Mac @ ISCTE-IUL

À medida que o número de aplicações web em que nos vamos registando vai aumentando, o número de passwords que precisamos de nos lembrar aumenta igualmente. A solução mais simples e ao mesmo tempo menos segura para resolver este problema é usar sempre o mesmo nome de utilizador e de password para todos estes serviços, mas nem sempre é possível usar esta técnica.

Para um utilizador Mac, existe um software muito bom, que dá pelo nome de 1Password, que se pode integrar facilmente com o browser web (e com outras aplicações de Desktop), e que permite efectuar uma gestão muito boa das passwords que o utilizador tem que gerir.

Esta aplicação 1Password, para além de gerir as passwords do utilizador permite ainda o preenchimento automático de formulários na web a partir de informação que está armazenada no perfil do utilizador - um excelente time and memory saver na minha opinião. Acresce o facto que o 1Passwd funciona com quase todos os browsers web disponíveis para a platforma Mac OS X (Safari, Firefox, Camino, Flock, ...), e integra-se perfeitamente na sua interface. Por outro lado, sempre que precisar de criar uma nova password, o próprio 1Passwd pode criar uma password por si, gerando-a a partir de um conjunto de parâmetros definidos pelo utilizador.

As principais desvantagens do 1Password é que se trata de uma aplicação comercial (custando cerca de 40 dólares), e apenas funciona em ambiente Mac OS X. Existem no entanto alternativas.

Uma dessas alternativas que descobri recentemente designa-se por Sxipper. O Sxipper é uma extensão para o Firefox, que permite efectuar o mesmo tipo de gestão de identidades e de passwords que o 1Password também permite fazer. Esta extensão do Firefox tem várias particularidades interessantes, como seja por exemplo a possibilidade de funcionar em diversos sistemas operativos (Mac OS X, Windows e Linux) e o facto de ser gratuita.

Para quem tem que usar múltiplos ambientes (Mac OS X, Linux, Windows), como eu, o melhor mesmo é optar por esta última alternativa, e partilhar entre os sistemas as diferentes passwords e identidades, através de um ficheiro próprio do Sxipper (exportando num sistema e importando no outro - por enquanto não há nenhuma ferramenta online de sincronização, mas não me espanta que apareça uma em breve).

Ficam então aqui estas duas sugestões para a gestão de identidades e de passwords em sites online, que permitem que o utilizador não fique limitado pelas suas próprias escolhas ou pela sua capacidade para memorizar as mesmas.

Esta semana esteve outra vez em foco a questão dos vírus para a plataforma Mac. Mais uma vez, alguns dos media resolveram empolar exageradamente o tema, confundindo os utilizadores com alguma informação mal trabalhada.

É inegável que não existem plataformas computacionais e consequentemente sistemas que sejam 100% seguras e resistentes a ataques, e que neste aspecto a plataforma Mac tem vindo a crescer em popularidade e assim a assumir-se como uma maior potencial vítima de novos ataques - é uma inevitabilidade.

As duas ameaças que foram identificadas esta semana, apesar de poderem ser sérias, exigem a colaboração total do utilizador. Ou seja, para poderem de facto infectar a plataforma Mac, o utilizador terá que conscientemente (ou inconscientemente) instalar software de uma fonte menos recomendada.

A primeira ameaça, designada por OSX.RSPlug.D, actua como um servidor remoto e permite que um atacante possa descarregar código malicioso para o sistema infectado. Esta ameaça aparece disfarçada sob a forma de um codec que necessita de ser instalado no sistema do utilizador para que o mesmo possa aceder a conteúdos pornográficos. Ou seja, é uma ameaça que apenas o é, se:

1. O utilizador navegue frequentemente por sites de conteúdos pornográficos;



2. Que esteja conscientemente a tentar aceder a esse mesmo material pornográfico;



3. Que instale o software no seu sistema sem confirmar a sua proveniência;



4. Que forneça as suas credenciais de administrador do sistema para proceder à instalação.

Não há dúvida que os utilizadores são um dos elos mais fracos da Segurança de Informação, mas neste caso, apenas utilizadores com o perfil acima indicado são potenciais vítimas - quer se tratem de utilizadores Mac OS X ou outro qualquer sistema.

A segunda ameaça, dá pelo nome de OSX.TrojanKit.Malez (ou OSX.Lamzev.A) é ume ferramenta que permite que um conjunto de atacantes instale um backdoor no sistema. Esta é uma ameaça muito relativa pois exige que o atacante tenha acesso físico ao sistema e que possa instalar a aplicação.

Portanto, se os utilizadores da plataforma Mac OS X seguirem um conjunto de boas práticas de segurança mínimas, tais como:

1. Nunca utilizar o sistema como "superuser";



2. Evitar sites de conteúdo duvidoso;



3. Evitar instalar software de fontes desconhecidas;

Será possível manter a segurança e integridade do sistema Mac OS X - aliás, estas regras aplicam-se igualmente a qualquer outro sistema.

Não creio (aliás como disse acima) que a plataforma Mac OS X seja a mais segura do Mundo. Mas decerto também não é a mais insegura... e algumas das "ditas" vulnerabilidades descobertas exigem uma conivência e cooperação total do utilizador para com as mesmas para que possam causar "estragos".