--- "G.Paulo" <[EMAIL PROTECTED]> escreveu: > Pareceu que eu pretendia dizer que o M$windows apresenta > maior seguran�a que o GNULinux quando o invasor tem acesso direto � > m�quina. E era isso mesmo. Voc� est� enganado, mais adiante apresentarei as raz�es.
> minha m�quina dom�stica) ele simplesmente digitaria no boot "linux > init=/bin/bash rw", ou qualquer coisa parecida, acessaria as > informa��es e fim. Se ele n�o alterar a senha do root, sequer deixar� > rastros. Neste caso, o seu lilo est� mal configurado. O Debian avisa, durante a instala��o, que a configura��o padr�o do lilo � insegura e deve ser modificada. Voc� pode configurar para exigir uma senha para o boot. Consulte a p�gina de manual e os links abaixo: http://www.linuxgazette.com/issue64/tag/24.html http://www.redhat.com/docs/manuals/linux/RHL-9-Manual/security-guide/s1-wstation-boot-sec.html http://linux.about.com/od/linux101/l/blnewbie3_2_3.htm Assino a CRYPTO-GRAM newsletter (http://www.schneier.com/crypto-gram.html). Na edic�o de dezembro, o Bruce Schneier faz uma pequena lista de cuidados com a seguran�a para usu�rios leigos (O texto pode ser consultado em: http://www.schneier.com/blog/archives/2004/12/safe_personal_c.html). Alguns trechos interessantes: "Laptop security: Keep your laptop with you at all times when not at home; treat it as you would a wallet or purse." "Operating systems: If possible, don't use Microsoft Windows. Buy a Macintosh or use Linux. If you must use Windows, set up Automatic Update so that you automatically receive security patches. And delete the files 'command.com' and 'cmd.exe.'" > Mas como meus computadores no meu escrit�rio usam winXP e o setup > est� habilitado para dar o boot *apenas* pelo HD (e isto *n�o pode* > ser mudado, a menos que se conhe�a a senha para alterar o setup da > bios), n�o vejo como poderia inicializar a m�quina diretamente com > acesso de administrador. Essa eu n�o entendi. Quem aqui nunca resetou uma BIOS? Pior ainda, mais adiante no seu e-mail voc� pr�prio fala nisso: "Sabia apenas da trava no setup do computador (que, ali�s, pode ser zerado abrindo-se o gabinete e removendo-se a bateria)". Li por alto o seguinte site e felizmente n�o tenho como testar: http://forum.brain-hack.org/viewtopic.php?t=784&sid=270a2dcb6bee077cae10ad196b0f792c > Mas a� v�m duas perguntas: > 1) se essa m�quina com WinXP tivesse um Lilo como boot loader (como > muitas por a�, com dois ou mais sistemas operacionais), isso j� seria > uma falha, isto �, haveria a� um meio de adquirir acesso de > administrador no XP (quase) t�o facilmente quanto no Linux? Se n�o, > ponto para o XP (lamento...) N�o saber configurar o lilo � a falha. J� comentei isto anteriormente. > 2) N�o sei se seria poss�vel, mas se o Linux n�o utilizasse o Lilo ou > Grub, mas tivesse um sistema de boot semelhante ao XP, que ignora > qualquer outra parti��o inicializ�vel do HD e simplesmente inicializa > o sistema diretamente, sem perguntar coisa alguma, n�o seria mais > seguro (no aspecto aqui considerado)? � poss�vel. N�o instale o lilo na MBR e use outro bootloader. Por�m, se voc� usar algum propriet�rio, voc� n�o tem como auditar o c�digo. J� que voc� tem dados t�o sigilosos, isto � problema (voltarei a esta assunto mais adiante). Agora, para realmente proteger os seus dados, voc� precisa criptograf�-los. H� duas formas b�sicas de fazer isto: use um sistema de arquivos criptografado ou criptografe apenas os arquivos sens�veis. 1) Sistema de arquivos criptografado: no GNU/Linux, voc� pode criar uma parti��o /home criptografada. H� uma mat�ria sobre isto para o kernel 2.4.x na segunda edi��o da Linux Magazine (http://www.linuxmagazine.com.br/issue/02). Esta mat�ria n�o est� dispon�vel para download, mas basta uma busca no google para encontrar tutoriais sobre o assunto. Se n�o me engano com o kernel 2.6.x est� mais f�cil ainda (ainda n�o n�o testei, apenas li a respeito). N�o sei se o Windows permite criptografar o sistema de arquivos ou se tem algum utilit�rio nativo para criptografar arquivos. Mesmo que possua ambos, eu n�o confiaria. Primeiro, por raz�es legais: pelas leis dos EUA a Microsoft n�o pode exportar sistemas criptogr�ficos fortes. Segundo, por raz�es t�cnicas: n�o dispor de sistemas criptogr�ficos fortes j� � uma raz�o t�cnica, mais ainda, aparentemente os programadores da Microsoft n�o querem ou n�o sabem implementar de forma adequada sistemas criptogr�ficos. Na CRYPTO-GRAM de fevereiro, est� dito que a Microsoft cometeu um erro b�sico ao implementar o RC4, usado para proteger documentos do Word e do Excel. A mesma falha foi cometida em 1999! Para mais informa��es: http://eprint.iacr.org/2005/007.pdf http://www.bindview.com/Support/RAZOR/Advisories/1999/adv_WinNT_syskey.cfm O pior vem por a�, leia o seguinte: http://www.heise.de/tp/r4/artikel/2/2898/1.html http://www.heise.de/tp/r4/artikel/5/5263/1.html Mais ainda, a licen�a do XP permite � Microsoft obter informa��es sobre o sistema e deixa 16 portas abertas para isto. Leia a licen�a e chore. Leia tamb�m: http://www.cic.unb.br/docentes/pedro/trabs/XurPresa.htm http://www.theregister.co.uk/2002/08/02/microsoft_eula_asks_for_root/ http://www.theregister.co.uk/2002/06/30/ms_security_patch_eula_gives/ http://www.cic.unb.br/docentes/pedro/trabs/entrevistaJBSB.htm http://www.cic.unb.br/docentes/pedro/trabs/frame.htm?sapos.htm=fisl2004.html http://www.cic.unb.br/docentes/pedro/trabs/alcantara.htm http://www.cic.unb.br/docentes/pedro/trabs/eucaristia.html http://www.cic.unb.br/docentes/pedro/trabs/jcsbc21.htm http://www.cic.unb.br/docentes/pedro/trabs/ssi2003.htm 2) Criptografia de arquivos: no GNU/Linux voc� tem muitas e excelentes op��es: GnuPG, libcrypto, etc., etc., etc. No Windows se voc� utilizar algum bom software livre portado para tal sistema ter� algum n�vel de seguran�a. No caso de ferramentas nativas, voltamos ao problema da auditabilidade. Como se pode garantir que em uma rede rodando apenas windows n�o est�o sendo enviados dados sigilosos direto para Redmond? N�o � poss�vel auditar uma �nica linha de c�digo de qualquer produto Microsoft, portanto, n�o � poss�vel dizer se o software est� fazendo exatamente o que o vendedor diz que ele faz. No artigo publicado em http://www.schneier.com/essay-056.html, o Bruce Schneier fala sobre a falsa sensa��o de seguran�a provocado pelo segredo. Leia tamb�m o seguinte artigo: http://www.schneier.com/essay-058.html. Outro artigo sobre seguran�a e segredo: http://www.schneier.com/essay-033.html Laia tamb�m: http://www.schneier.com/essay-070.html Este, ent�o � interessant�ssimo, pois mostra como usu�rios comuns podem ter acesso a informa��es de outros usu�rios, inclusive do administrador, sem nenhum truque com o processo de boot: http://www.schneier.com/essay-077.html A �nica prote��o com um n�vel razo�vel de seguran�a contra acesso f�sico a um computador � criptografar os dados sens�veis e nisto, fico feliz de inform�-lo, o GNU/Linux � muito superior ao Windows. Mesmo assim a medida n�o � 100% segura. Se voc� usa sistema de arquivos criptografado ou apenas os arquivos sens�veis criptografados e guarda a chave em um dispositivo remov�vel e protegida por uma boa senha (este � o melhor procedimento), basta um motoqueiro parar do lado do seu carro com uma arma e pedir seu laptop, sua m�dia remov�vel que cont�m a chave e pedir a sua senha :). Nada � 100% seguro, mas com certeza o GNU/Linux, tanto em ataques remotos quanto em ataques locais � mais seguro. _______________________________________________________ Yahoo! Acesso Gr�tis - Instale o discador do Yahoo! agora. http://br.acesso.yahoo.com/ - Internet r�pida e gr�tis -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
