Combinação mais segura: Chrome ou IE8 no Windows 7

Por: Carlos Cardoso em 03/03/10 na(s) categoria(s): Linux, Segurança

Não sou eu quem está dizendo, a opinião é do Charlie Miller – que é tudo menos palpiteiro. Ele é um Hacker do Bem (dizem) e vencedor duas vezes seguidas da competição PWN2OWN realizada anualmente na CanSecWest, evento de segurança no Canadá.

A próxima competição começará dia 24 de Março. Segundo as regras os participantes recebem máquinas com sistemas operacionais zerados e devem hackeá-las. A brincadeira é séria, São US$100 mil em prêmios, cada categoria o vencedor leva US$10 mil.

Agora a surpresa (pelo menos para alguns) em uma entrevista para o site OneITSecurity, Charlie respondeu sem rodeios à pergunta:

“Qual a combinação mais segura de sistema operacional e navegador?”

Diz ele:

“Chrome ou IE8 rodando no Windows 7 sem Flash instalado. Provavelmente não há diferença significativa entre os navegadores. O principal é não instalar o Flash”

Para desespero dos fãs da Apple o especialista em segurança (que venceu duas vezes hackeando o Safari) respondeu também quando questionado sobre qual sistema operacional seria mais difícil de hackear, Windows 7 ou Snow Leopard:

“Windows 7 é um pouco mais difícil, pois tem ASLR (Address Space Layout Randomization) e uma superfície de ataque reduzida (por exemplo, não vem com Java ou Flash por default). Windows costumava ser mais complicado por ter ASLR e DEP (data execution prevention) mas recentemente uma palestra na Black Hat em Washington (DC) mostrou como contornar essas proteções em um navegador no Windows”

Eu falei que os pinguins estavam de fora? Em termos, este ano não há Linux entre os sistemas operacionais participantes da Pwn2Own. A entrevista chega nesse ponto e é feita a pergunta:

“Na Pwn2Own 2010 ainda não há sinal de Linux como um possível alvo. É difícil demais achar exploits para Linux ou um sistema não-comercial não é atraente para os caçadores de exploits?”

Com a palavra, Charlie Miller

“Não, Linux não é mais difícil, de fato é provavelmente mais fácil [de achar exploits]. embora isso dependa do sabor de Linux que estamos falando. Os organizadores não incluíram Linux porque não muitas pessoas o usam no desktop. E outra coisa, as vulnerabilidades estão nos navegadores e a maioria deles rodam no Linux ou no Windows”

A lógica do Charlie é bem evidente: Quanto mais tralhas instaladas, pior. São camadas de complexidade onde temos que levar em conta, do ponto de vista de segurança a interação entre cada uma delas. Já houve falhas, nos tempos sombrios do Internet Explorer onde uma IMAGEM malformada gerava um estouro de memória e podia ser explorado para rodar código externo. Nem JPEGs eram seguros. Pelo visto esse tempo já passou.

Isto é, se o usuário for esperto o bastante para não baixar o fotosdasandypelada.exe ou as instruções para votar 10x seguidas no BBB usando Linux, que incluem um shellscript, SUDO, etc…

Fonte: DownloadSquad

Mais textos de Carlos Cardoso | Site | Twitter

maiconfaria

Eu acho que o Ubuntu padrão é um sistema representativo para fazer um comparação de segurança entre maquinas desktop. Isso porque o Ubuntu vem com pouco software.

É, só existe um jeito de manter o desktop totalmente seguro das ações do usuário. Puxar o hub da tomada, se o cara for capaz de perceber porque a rede não funciona, ele já pode se sentir mais seguro.

Outro ponto positivo do Linux em termos de segurança é a sua diversidade. Exploits dificilmente funcionarão em mais de 5% (essa porcentagem é um chute) das máquinas com Linux, em contrapartida, windows e mac são todos iguais. É claro que, dependendo do caso, a diversidade do Linux atrapalha o desenvolvimento.

http://www.sapiensolutions.com.br guireisbh

Acho que você tocou em um ponto essencial sobre o Linux. Realmente o Linux é muito seguro por conta da enorme quantidade de distribuições e personalizações que cada usuário faz em sua máquina. Isso torna o Linux um sistema operacional muito particular, e automaticamente muito seguro.

E realmente, o usuário é que deve ser inteligente o suficiente, ou sortudo, para não cair na mão desses especialistas em Black Hat, e como o autor disse, o usuário tem que ser pelo menos um pouquinho esperto. Do contrário, eu acho que ele merece ser hackeado mesmo.
http://www.unfear.com.br unfear

Eu já tenho uma opnião diferente, acho o ubuntu seria uma das distribuições que poderia ser bem mais falha do que um Slackware por exemplo, ele está muito amigavel e muito fácil de instalar qualquer tranqueira e geralmente vem com nenhum Firewall configurado, até chego a acreditar que o Linux passe uma falsa segurança algumas vezes, queria ver se chegasse o ano do Linux se isso continuaria assim, tem muitos programas desenvolvidos por muita gente diferente, se você trabalha no meio você sabe que tem muita gente que programa com a barriga então fico imaginando quantas brechas estes caras deixaram passar.

5% ?? isso pode ser bem relativo, se falha for no Kernel ou no Gnome por exemplo a porcentagem por aumentar consideravelmente, fora outras bibliotecas e programas que eles possam ter em comum.

http://www.sapiensolutions.com.br guireisbh

Realmente, como havia dito, o fato de existirem muitos programadores alterando distros de Linux faz com que o sistema possa vir a ficar vulnerável. Mas o ponto principal, é que as distribuições tradicionais, com o kernel devidamente atualizado aliado à um usuário de bom senso faz com que a máquina fique praticamente invunerável.

Embora isso vá contra os ideais, acho e desejo que o Linux continue sendo encarado como um “sistema difícil” de “usuários nerds” e que somente poucos possam (e saberão) disfrutar de se ter um sistema operacional open source.

http://magno-naval.blogspot.com magno

Mais ou menos. É um sistema com características bastante não lineares, praticamente tudo pode ser alterado de modo que você nem reconheça um Ubuntu como tal (diferente de como ocorre com os vários sabores de Windows e o Mac OS X).

Mas existem pacotes que quase sempre estão presentes. Se você tiver KDE, existem X pacotes instalados, se você usa ubuntu, tem milhares de pacotes que já vem por default.

Acabam sendo tantos programas comuns a vários linuxes que, aliado à falta de uma política de segurança por parte de alguns programadores daquele sistema, devem existir pelo menos 50 pacotes com vulnerabilidades em muitos sistemas.

Se você tiver algumas centenas de exploits para pacotes linux, pelo menos 1 você vai pegar e conseguir invadir o sistema, a menos que tenha havido um corte total de gordura da distribuição linux. Quem diz que os pacotes AA ou o BB (sim, eles existem) não tenham vulnerabilidades?

Storm

Caramba, o Flash tá tomando porrada de todos os lados!

Diavolul

mas tambem voce não pode dizer que as porradas são gratuitas.

Eu diria que são merecidas.

Storm

E eu tenho que concordar com você!

http://www.terabitcast.com H123er

[2]

Luanna

[3] mas quando criarão algo realmente seguro para substitui-lo
criscmaia

Silverlight? HTML 5?

shimatai

Não é porrada… é a constatação de um fato há muito falado: Flash é um software mal programado.

http://bagaca.brogui.com passaro_de_fogo

Combinação mais segura: qualquer uma, sendo utilizada por alguém que empregue mais de dois neurônios.

PS: Obviamente não apele e não use IE6

http://twitter.com/heberfa heberfa

Apoiado!

Eu já fiquei 6 meses sem antivírus e quando instalei não encontrou nenhuma ameaça.
eduardodebastiani

O bom senso neste caso é fundamental. Eu cheguei a ficar um ano sem usar antivírus e nunca tive nenhum problema, mesmo usando torrents, emule e downloads à vontade.

E também já vi caso de gente que comprou computador novo e teve que voltar três dias depois para formatar, com o pc cheio de vírus, spyware e Windows completamente corrompido.

Portanto, o maior problema de segurança não está necessariamente no software, está em quem senta na frente do computador.

Jason Manchest

Só um ano e eu que nunca uso anti-vírus e ante-qualquer coisa.

http://hudell.com Brian_Hudell

“Eu também. Nunca usei anti-vírus e meu computador nunca acusou vírus nenhum.”

http://lyzflux.deviantart.com/ kellbonassoli

Isso é clássico. Nunca entrego máquina para cliente sem antivirus atualizado pois senão eles voltam antes do 1 mês que dou de garantia quando faço estes “bicos” de técnica.
http://magno-naval.blogspot.com magno

Mas isso adianta de você não está sendo alvo de nenhum ataque específico. Se alguém achar que é lucrativo atacar o computador, seja por motivos de segredo industrial, conta bancária ou informação privilegiada (número do celular pessoal da Luciana Vendramini, por exemplo), você será atacado e eles podem conseguir.

Usar anti-vírus, firewall e criptografia também é questão de bom senso.

eduardodebastiani

Concordo, em empresas a história é outra, não dá para confiar apenas no bom-senso. A NASA não vai deixar de usar proteção porque seus funcionários não abrem anexos. Já no meu computador de casa, o máximo que existe é a senha do MSN e alguns arquivos pessoais, coisas sem o menor valor para um cracker de verdade.

Luanna

99% das vezes e falha de peopleware.

frdv

Não instale o flash, o java, o emule, o torrent, o messenger, também não utilize o browser!

xultz

Em resumo: desconecte o computador, só use o Notepad e não insira nenhum pendrive ou CD gravado nele.

O jeito mais seguro de não sofrer um acidente de carro é nunca sair de casa.

http://ceticismo.net Pryderi

Realmente. Seu carro estará seguro de acidentes com outros carros, se estiver dentro da garagem.

eduardodebastiani

Seguindo essa lógica do carro, tem gente que ao ligar o computador, já faz tudo fantasticamente errado. Isso me lembra de muuuita coisa.

Hawk

Mas nem parado na garagem com tudo trancado…
criscmaia

:O

http://lyzflux.deviantart.com/ kellbonassoli

Lembrando que basta este bom e velho bloquinho de notas, que não cria só txt e um telefone para que o usuário mais tolinho possa ser “ensinado” a detonar sua máquina. }:)
Luanna

Desligue o monitor e desconecte da tomada, vai que da uma sobrecarga de energia. ahsuahsuahuaushua…..

http://www.ManiaBrasil.com Xexell

Quem diria.. Flash não é seguro. e IE é seguro…

E dalhe HTML 5!

garoa

Muito me surpreendi com essas afirmações também. E todo o hype do Java em torno de uma VM segura? E o lance todo de plugins em browsers não deveria deixar IO de fora?

De qualquer forma, o hacker está certo: se tem possibilidade de rodar código, tem possibilidade de exploit. É claro, isso também inclui javascript — ainda mais hoje em dia que é compilado nativamente via JIT.

veja que a paranóia desses caras acabam por justificar o comportamento do Stallman de baixar páginas via wget…

Diavolul

…e uma coisa que o ‘white hat’ (se é que isso existe) disse que eu acho importante salientar é que as vulnerabilidades estão em maioria nos navegadores, independente do SO sobre o qual rodem, afirmação com a qual eu concordo e serve pra diminuir um pouco o mimimi que se faz quando se propagandeia que o SO ‘x’ é mais seguro que o SO ‘y’, porque hoje o foco em segurança não está nos SO’s e sim nos browsers.

http://lyzflux.deviantart.com/ kellbonassoli

Apoiado

felipelo

Será que o Silverlight será melhor que o flash na questão de segurança?

Jobs

Ouvi dizer que ele é mais seguro e mais rápido, mas nunca peguei para testar. Talvez agora seje uma boa hora.

Bullet

Seja*

gutokiske

Estou usando e não tenho nada do que reclamar.

Frank Quick

Espero que o silverlight se firme no mercado, ele é melhor para aplicações mais robustas. Não esquecendo o HTML 5.

http://www.lordpinguim.blogspot.com lordtux

Vixi, prevejo um tópico com mais de 200 comentários.

Agora ele fala pra não instalar flash, beleza, o melhor mesmo seria ele ter dito para não usar a internet. Pois 90% dos sites do planeta utilizam flash.

http://www.dettou.com Dettou

Aparentemente, isso não impede os Smartphones atuais de não os instalarem. E devo afirmar que a navegação não fica tão prejudicada assim.

Quanto ao Chrome, não é exatamente uma novidade, já que ele não foi batido na Pwn2Own de 2009.

tomboderider

Quero ver zoarem com minha insígnia agora! Como falei aqui (cuidado: jabá) flash sucks!

http://www.livioribeiro.com livio

Eu pedi uma insígnia do Opera, mas tô esperando até agora. Será que o MeioBit me aplicou um golpe? xD

tomboderider

Rlx, vc irá receber. HOuveram uns problemas de instabilidade no site estes dias, talvez isso tenha afetado tb.

http://www.livioribeiro.com livio

“ou as instruções para votar 10x seguidas no BBB usando Linux, que incluem um shellscript, SUDO, etc…”

Usuários de Linux, ajoelhem-se e agradeçam por não haverem salsas em vosso santíssimo sistema operacional.

garoa

Obrigado, Linux, por afastar as salsas e nos brindar com esse maravilhoso clubinho de elite.

http://ceticismo.net Pryderi

Obrigado, Linux. Enquanto seus usuários ficam na sua frente, eu saio com as namoradas deles.

garoa

Luser com namorada?

Frank Quick

Linuxer com namorada?

ovtbqr

Tou usando só windows 7, cadê a minha gata sr pokemon?

garoa

por isso você não é mais o mesmo. Ficou mais manso e domado. ah, essa Microsofre…
ovtbqr

Na verdade faz uns 2 meses que nõa consumo mais pornografia de anão.

Ioca100

O Stallman tinha razão em usar aquele navegador maluco( Lynx)em modo texto.

Estou achando que esse cara andou fumando alguma coisa com o Ballmer.
antoniogu

Steve Jobs esta certo não use Flash que não pisou no(iPhone, iPod touch e iPad), eu ainda prefiro usar o Mac existe alguma de configuração que pode tornar OS mais seguro como FileVault, utilizar conta de usuário sem privilégios gerências, habilitar o Firewall e o uso de memória virtual segura, o problema é que a regra do concurso exige usar o sistemas com configuração padrão.

Porém minha melhor ferramenta de segurança é uma máquina virtual, o que os cybercriminos querem é número de cartão de credito e dados de conta , se vc usar uma máquina virtual com qualquer SO, para uso ocasional de sites de banco ou sites de compra conhecidos sem email, torrent, emule troca de arquivos, MSN, Orkut e outras coisas e ainda com funcionamento ocasional fica extremamente improvável roubarem dados criticos. Mesmo que o OS hospedeiro venha a ser invadido se ele não lida com informações criticas vc esta seguro. Nenhuma ferramente automatizada para se roubar dados vai prever que suas informações criticas estejam na imagem de um HD virtual de máquina virtual.

garoa

A razão pro Steve Jobs não permitir Flash não tem nada a ver com segurança. Ele não usa porque é um control freak e Flash permite execução de qualquer conteúdo. Conteúdo o qual deveria estar sendo comprado da Apple Store ao invés de baixado. Imagina o que seria de todos aqueles joguinhos casuais fajutos nativos para iPhone se alguém pudesse simplesmente jogar o joguinho em Flash equivalente de graça?

tomboderider

Isso tb, mas o desempenho do flash em dispositivos móveis é preocupante tb pois utiliza mutios recursos e acaba drenando a bateria. nao como o Jobs falou, mas bastante sim.

hamacker

Uai, jogar e usar gps tambem drenam bateria e nem por isso eles não podem existir nos celulares da Apple.

Olha, um dispositivo que tem Bluetooth proprietário que só funciona com hardware homologado, não tem leitor de cartão, só permite usar programas de uma loja homologada e não deixa nem o próprio usuário trocar a bateria só pode significar uma coisa : controle.

O Steve (o Jobs) é um ditador na plataforma dele.

hamacker

Só para acrescentar, exploits em geral saem para software livres – Linux incluso.

Os exploits ao contrario do que possam afirmar, são extremamente necessários.

Cada exploit explora um cenário, uma versão de programa, uma combinação de fatores e a diversidade realmente pode atrapalhar. Nos anos anteriores, usaram o Ubuntu e ele permaneceu de pé.

Enquanto houverem exploits, é ótimo. O duro é descobrir que havia uma falha grave, não tinha exploit, e fica sem saber quantos se aproveitaram.
Rickd

Eu discordo que um bug no browser como Firefox afete Windows e Linux na mesma intensidade. No Linux as coisas são mais difíceis tanto no campo da invasão como na execução de código.
http://lyzflux.deviantart.com/ kellbonassoli

Este é um artigo bem interessante. Eu não fazia ideia que existia uma competição assim.

E quanto aos navegadores tambem me surpreendeu mas não muito pois tem lógica, já que se você hospeda um código , você só precisa fazer a pessoa acessar e para que ele rode o navegador tem que estar vulneravel ou por falha ou por descuido. Faz sentido! (isto de uma forma simplista de dizer)

Muito bom ^^

thE Masterkey Blaster

Ficaria surpresa ao saber o que existe por aí de verdade…

bem talvez não….

____________________

leocavadas

Esse conselho dele é igual a famosa: “se não quer cagar, não coma!”
sanducero

Palavra de um MacInvasorTard (tem até um Mac hacker’s handbook dele).

W7 + IE8 mais seguro? É so esperar uns meses que aparecem falhas como esta no XP, que mostra como usar F1 no IE8 (aquele seguro) é perigoso!

http://www.oneitsecurity.it/02/03/2010/vulnerabilita-per-internet-explorer-su-windows-xp-attenzione-a-premere-f1/

marcospmr

Lembre-se que ele mencionou Windows 7 + IE8 e não somente IE8.

Essa falha do F1 ocorre no XP e não no 7.

Por enquanto a combinação mais segura, de acordo com ele, é IE8 ou Chrome + Windows 7. Isso não quer dizer que no futuro continue sendo.

http://www.terabitcast.com H123er

Flash esse ano ta apanhando feito gente grande ein.

Frank Quick

Estamos presenciando mais um reinado chegar ao fim? pode ser que a abode direcione suas forças para outras aplicações em flash:

http://anakinpendragon.wordpress.com anakinpendragon

Realmente estou interessado que o html chegue logo, pois depois que não se usa activex nas paginas as vulnerabilidades ficaram todas para o flash mesmo.

Agora oque realmente deixa o sistema segura é atualização de segurança. Se você quer isso no mundo windows, compre o Windows. Não acho que seja tão caro. Maas infelizmente todos estão acustumados com xp piratão, crackeado ( o crack sempre vem com um trojan), instalam um monte de jogos e programas crackeados, depois nem o anti-virus dá conta. Fora o emule que parece que convida todos os trojans ativos no mercado a se instalarem na maquina. Sites porno então, parece um ninho de virus, você vendo pessoas acasalando na frente, e virus acasalando com seu computador por trás.

Resumo da opera, se quer segurança. use seu computador com responsabilidade e não use computador de nenhum leigo que clicka em qualquer corrente que chega via e-mail.

garoa

o html chegou vários anos atrás, filho.

Quero é que o SVG ganhe impulso aliado a javascript nativamente compilado. HTML5 só tem esse oba-oba todo por causa das tags multimídia. Sinto saudades da tag blink…

Krash Destrutor

E o Opera?

Deve ser o mais seguro; já que ninguém usa, ninguém vai fazer exploit…
Paulo Fernandes

Interessante, mas já que o negócio é serio e o cara deve ser o “cara”, nem vou discordar… vamos ver as falhas daqui uns tempos.
sampaoz

ainda bem q o OPERA nao esta nessa lista.

assim como LINUXato… um programa q (quase) ninguem usa, pq vou ataca-lo?
ovtbqr

Eu recomendo usar mais de um navegador, e não rodar flash no que você usa como principal.

Login

Meio Bit - Notícias, Dicas, Internet, Informática, Tecnologia, Downloads

Combinação mais segura: Chrome ou IE8 no Windows 7

Acompanhe o Meio Bit

Newsletter

Últimas do Fórum

Ajuda para escolher uma camera! (2)

Que tal esse tablet ? (6)

Conheca a opiniao dos brasileiros a respeito do novo iPad (1)

nokia e63 acesso ao loja ovi (1)

Primeiras impressoes sobre o Diablo III (2)

Meio Bit © Copyright 2006-2010