Apesar de todos estes elogios, ultimamente as coisas estão a mudar e não estou a falar dos bonitos background do Windows. Estou a falar mais concretamente dos artigos que a vossa redacção tem publicado onde o Linux está de forma errada e falsa a ser atacado semanalmente. Estou-me a referir especificamente aos artigos do Sr. Paulo Silva nos suplementos Nº 86 e 87 e no artigo do Sr. Miguel Mota Veiga no suplemento Nº 91. O Sr. Paulo Silva claramente não sabe do que está a falar quando fala do Linux. Ainda comecei a redigir uma carta em resposta aos seus artigos mas desisti. As suas verdadeiras intenções destacaram-se facilmente nos seus artigos e um outro leitor já comentou estes artigos no suplemento Nº 90. O movimento Open Source está a "mexer no seu queijo" e o Sr. Paulo Silva começa a ficar preocupado. O seu negócio perde clientes e dinheiro sempre que alguém troca o Windows por outra coisa qualquer. Não é? E sendo assim toca a imitar a Microsoft e iniciar uma campanha de desinformação e calúnia (http://www.microsoft.com/portugal/factos/).
A comunidade Linux sempre soube que a Microsoft dominava o mercado desktop. Com esta campanha, a Microsoft assume oficialmente o Linux como um concorrente válido e faz mais pelo Linux do que milhares destes artigos como o meu. A Caixa Mágica tem um esclarecimento que vale a pena ler em http://www.caixamagica.pt/pag/f_notc00.php?id=68. Voltando ao artigo do Sr. Paulo Silva, nem tudo é mau, gostei muito do artigo que este escreveu no suplemento Nº 91. Muito cómico. Será que ele se apercebeu da imagem que deu da sua empresa à comunidade? Inconscientemente teve receio de inserir disquetes infectadas na sua máquina (que ao contrário de um sistema Linux, SARCASMO!!!) estava super protegida com o seu software Panda.
Relativamente ao artigo do Sr. Miguel Veiga, confesso que estou confuso. O artigo aparentemente parece estar escrito de forma a incentivar os leitores a experimentarem o Linux, no entanto na realidade está a confirmar as falsas alegações do Sr. Paulo Silva de que o Linux é tão ou mais inseguro que o Windows. Isto parece-me uma enorme conspiração para tentar equilibrar a balança a favor do Windows. Além disso, se eu fosse um leitor interessado, tinha desistido quando chegou à parte de recompilar o Kernel! Ou configurar uma firewall! São essas as instruções que se fornecem a quem quer experimentar o Linux pela primeira vez? Se o leitor ainda estava minimamente interessado, com este artigo de certeza que desistiu. E com razão.
Recentemente li um artigo (perdi a referência. Será culpa do Linux?) que afirma que convencer utilizadores a mudar de sistema operativo é como convencer os Franceses a mudar a sua língua natal para o Alemão. Não concordo totalmente com esta análise. Falo, escrevo e leio em português mas também faço estas coisas em Inglês. Quando preciso de escolher uma língua para iniciar um novo projecto, escolho a mais adequada para o trabalho em questão. Quem diz língua, diz ferramenta ou sistema operativo. Nesta questão gosto sempre de parafrasear o criador do Kernel do Linux, Linus Torvalds: "Querem usar, usem! Não querem usar, não usem! Mas não me chateiem...". E embora concordando com esta afirmação, não consigo ficar calado com as injustiças que estes três artigos afirmam.
Em relação aos mitos, que o artigo do Sr. Miguel Veiga refere, muito se tem dito. Quem estiver interessado pode ler um artigo com os argumentos bem fundamentados e diversas referências em http://www.theregister.co.uk/security/security_report_windows_vs_linux/. Destaco deste artigo apenas os seguintes aspectos: Costuma dizer-se que o Linux não tem vírus porque são poucos os utilizadores e os criadores de vírus não se dão ao trabalho. Falso! A percentagem de servidores Linux na Internet, com o servidor web Apache, ascende a mais de 68%. A Microsoft tem apenas 21% deste mercado. Portanto existem máquinas para infectar. Além disso, só recentemente o Windows evoluiu do modelo de utilizador único para um sistema multi-utilizador. Os *nixes (*nix={Linux, Unix}) foram desenvolvidos com este requisito desde o início estando, por isso, num estado muito mais evoluído de maturação. Já existiam servidores ligados em rede hà muitos anos antes de aparecer a Microsoft com o seu "windows em cada secretária" sem conectividade e dedicada ao objectivo de fidelizar clientes, mesmo à custa de outros objectivos como segurança. No entanto o Sr. Miguel Veiga afirma que segundo um estudo é no software Open Source que se encontra o maior número de falhas. Onde estão as referências? Gostava de saber se este estudo é independente ou foi "patrocinado" pela Microsoft. Na realidade o código aberto permite que mais pessoas estejam atentas a potenciais bugs, que estes sejam corrigidos e as correcções partilhadas mais rapidamente. No código proprietário não se encontram tantos bugs porque não se pode ter acesso a ele mas, parafraseando o Sr. Paulo Trezentos, "um bug, lá por não ser descoberto, não significa que lá não esteja, pois não?". Se assim não for como é que se justificam os tão famosos e numerosos "blue screens" do Windows. Quem estiver interessado em ler um artigo que curiosamente afirma o contrário pode fazê-lo em http://news.zdnet.com/2100-1009_22-5489804.html. Apenas por curiosidade, deixo aqui uma nota: a revista WindowsITPro aconselhou, na sua edição de Junho de 2005, os seus leitores a utilizar o Firefox devido a problemas de segurança no Internet Explorer.
Depois de ter assustado os leitores com diversos aspectos de segurança, o artigo do Sr. Miguel Veiga oferece o exemplo da fragilidade da password. Interessante... se a minha casa tiver uma fechadura de código, e eu definir como acesso o ano do meu nascimento, quando chegar a casa posso não ter recheio. Devo culpar a empresa que fez a fechadura? Este exemplo não serve para qualquer sistema operativo? Se eu abandonar o meu posto de trabalho num local público com a minha sessão aberta, não corro o risco de alguém remover todos os meus trabalhos? Posso utilizar este exemplo para denegrir a imagem do sistema operativo X ou Y? Não me parece.
Se conseguiu ler até aqui é porque o tema lhe interessa. Depois de tudo o que foi dito, quer descobrir por si mesmo quem é que realmente tem razão? Passo a descrever um teste que pode fazer em casa, desde que tenha duas máquinas ligadas em rede:
1. Na sua máquina de trabalho instale o Nessus (http://www.nessus.org/download/). Este programa procura vulnerabilidades noutras máquinas a que consiga aceder por rede e existe para sistemas *nix e Windows.
2. Desligue a outra máquina de rede. Instale nessa máquina um dos sistema operativo que quer testar. Não faça escolhas personalizadas. Deixe que o programa de instalação utilize os valores por omissão. Se tal não for possível, faça as opções de forma consistente em ambos os sistemas operativos tentando sempre ser o mais justo e honesto possível. Depois do sistema operativo instalado ligue a máquina em rede apenas com a máquina que tem o nessus instalado. Não a ligue à Internet ainda, pois estamos a testar vulnerabilidades no sistema operativo e não queremos interferências de vírus e spyware.
3. Ataque a máquina utilizando o nessus. Guarde os resultados.
4. Ligue a máquina à Internet e aguarde 30 minutos. Desligue-a da Internet e verifique se esta tem vírus ou spyware (Pode utilizar o ClamAV que tem versões para dezenas de sistemas operativos e pode ser obtido gratuitamente em http://www.clamav.net/binary.html).
5. Volte a atacá-la com o nessus. Guarde os resultados.
Repita estes passos com os restantes sistemas operativos que quer testar: Windows, Linux ou Mac. Quando estiver a instalar o Linux (vai-se aperceber que este até é bastante fácil de instalar) vai chegar a uma fase em que o programa de instalação lhe vai perguntar se quer activar uma firewall. Responda o que quiser. Se quiser, efectue o teste sem firewall. No final compare os resultados.
Então? Quem tinha razão? Os testes podem ser repetidos depois de terem sido feitas as actualizações de segurança e activadas as respectivas firewalls. Menos assustado em relação ao Linux? A ideia é mesmo essa. Não se admire se receber alguns avisos nos relatórios de segurança do Linux. Infelizmente, hoje em dia, algumas distribuições estão com demasiados serviços activos por omissão. Não se preocupe, podem ser facilmente desligados utilizando um utilitário gráfico ('system-config-services', por exemplo). Um dos mais inseguros serviços de rede, é sem dúvida o RPC (Remote procedure call) e infelizmente costuma estar activo tanto no Linux como no Windows. Com uma enorme diferença: no Linux pode-se desligar, facilmente e sem causar problemas ao resto do sistema, no Windows não pode, a não ser que queira perder toda a conectividade. Uma estatística interessante, da qual já fui vítima, é que uma máquina com Windows ligada à Internet demora em média 12 minutos a ficar infectada com vírus ou spyware. Talvez por isto (e pelos blue screens sem dúvida) é que o Linux é mais utilizado em aplicações críticas, em centrais nucleares ou em investigação, para citar apenas alguns exemplos.
Outro aspecto que me irritou nestes artigos é o facto de darem a ideia que os utilizadores de Linux precisam de ser gurus para poderem utilizar este sistema operativo. Para utilizar o Linux, no mínimo preciso de saber: como este é construído, como se processam os ataques pela rede, como compilar um kernel, como ligar uma firewall, como verificar vírus, worms e spyware (SARCASMO!!!). No Windows aparentemente não preciso de saber nada. Qualquer macaco amestrado consegue "Instalar o Windows, actualizá-lo e complementá-lo com um bom pacote de segurança". Já agora, se é melhor não devia já trazer estas coisas de origem? O Sr. Miguel Veiga diz para mantermos os olhos postos em websites de segurança pois todos os dias são descobertos novas falhas. Bom conselho, mas porque motivo isto não é dito também aos utilizadores do Windows? O Windows está igualmente sujeito (se não mais) a falhas. Correndo o risco de estar a ser chato, vou fazer referência a mais uma frase do artigo Nº 86 do Sr. Paulo Silva: "...e, se os seus conhecimentos não forem suficientes para instalar e fazer funcionar correctamente uma distribuição Linux, o melhor é esquecer este sistema operativo. Instale o windows, ...". Certo. E não se esqueça de comprar o anti-vírus Panda. Não é? "O que tu queres sei eu...". E se os seus conhecimentos não forem suficientes para instalar e fazer funcionar correctamente um Windows XP? Vai fazer o que? Eu recomendo que volte a utilizar lápis e papel. Nem tente aprender coisas novas. Quanto menos souber melhor!
Agora que já disse o que precisava, vou esclarecer alguns aspectos do Linux. É um facto que a curva de aprendizagem do Linux é mais lenta. Mas como disse um colega meu para os seus botões, "É pá!!! Isto depois de se perceber, é uma maravilha.". Este colega trabalhou a vida toda com Windows e recentemente decidiu experimentar o Linux Fedora Core. Hoje em dia trabalha com os dois sistemas. Da segurança não falo mais. As referências fornecidas assim como os resultados dos testes descritos acima (se os fez) devem ter sido suficientes. É um facto que todo o software tem bugs não sendo o Linux uma excepção, no entanto é preciso avaliar, além da quantidade, a gravidade desses bugs. Isso é bem explicado numa das referências já mencionadas. É um facto que devido à utilização histórica dos *nixes, estes são mais indicados para servidores do que para máquinas de secretária. Será? Nos últimos anos temos assistido a uma evolução muito grande também na área do desktop. O Linux cada vez é mais fácil de instalar, cada vez suporta mais hardware e cada vez tem um sistema de janelas mais funcional. Tudo o que possa querer fazer noutro sistema operativo, também pode fazer utilizando Linux: Office, correio, Internet, gravar CDs, ouvir música, ver filmes, etc. Existe ainda uma área em que o Linux não consegue competir com outras plataformas: os jogos. Se a única coisa que faz com o seu computador é jogar, então fique-se pelo Windows... mas desligue-o da Internet. Mas mesmo nesta área, nota-se evolução e cada vez aparecem mais títulos para Linux. Alguns pagos, outros não, como por exemplo O Quake, O Civilization, etc. Existe ainda outra solução, é paga e ainda não experimentei mas parece estar a fazer muito sucesso. É uma tecnologia que permite jogar os jogos do Windows em Linux. Quem estiver interessado pode dar um salto a http://www.transgaming.com/products_linux.php.
Em relação a experimentar o Linux ou não, faça como entender. Mas deixo as seguintes dicas. Se quiser experimentar o Linux sem ter de o instalar basta descarregar da Internet um ISO do Knoppix disponível gratuitamente em http://www.knoppix.org/. Grave um CD com esse ISO e arranque o computador com ele. A performance não é tão boa porque funciona a partir do CD mas permite ver um Linux a funcionar ao vivo. Verifique o número de aplicações Open Source incluídas navegando nos menus existentes. Vai encontrar aplicações para todas as tarefas costumeiras e ainda pode ter algumas surpresas agradáveis. Por exemplo, sabia que o Open Office tem uma opção para exportar documentos directamente para PDF? Sabia que com o K3b pode gravar CDs e DVDs tal e qual como faz com o Nero? Se estiver ligado em rede, o Knoppix obtém um número IP automaticamente. Além disso consegue aceder aos seus discos internos permitindo assim abrir os seus trabalhos no Open Office. Não desligue sem experimentar o jogo frozen-bobble. Vai ver que vale a pena. Para voltar a ter a sua máquina como estava antes basta fazer um reboot. Nada de novo...
Se quiser realmente instalar uma distribuição Linux, pode escolher uma a seu gosto em http://iso.linuxquestions.org/. Existem imensas. Não se deixe confundir pela quantidade, são como os carros. Têm 4 rodas e por dentro funcionam todas da mesma maneira. Se optar pelo Fedora Core 4, existe um óptimo manual de instalação no endereço http://fedora.redhat.com/docs/fedora-install-guide-en/fc4/. Descarregue o ISO do DVD ou os ISOs dos Cds, grave-os e arranque o computador com o primeiro CD/DVD. Ninguém nesta fase está à espera que saiba fazer tudo bem. Enganou-se? Comece do início. Não percebe uma das fases? Aceite os valores por omissão e avance sem medo. Com o tempo estas questões irão sendo resolvidas. A Internet é uma enorme fonte de soluções para possíveis problemas. Vai ver que o Linux ainda é mais fácil de instalar que o Windows... e não pede números de série. E não se preocupe. Há mais de 3 anos que não recompilo um Kernel
;). Para quê? Quando são lançadas actualizações posso instalá-las utilizando o comando 'yum' (ou 'kyum' em modo gráfico). Para configurar a firewall (depois da instalação) existe o utilitário gráfico 'system-config-securitylevel'. Na lista das distribuições mais populares vai reparar que em primeiro lugar está o Mandrake (recentemente mudou o nome para Mandriva). Esta distribuição garante um interface muito user-friendly e as versões mais recentes de todos os programas. Se optar por esta distribuição pode efectuar actualizações com o comando 'urpmi' e pode configurar a firewall com o utilitário gráfico 'drakfirewall'. Além disso, no Mandriva, tem à sua disposição um Painel de Controle integrado com todas as configurações do computador. Também não precisa de se preocupar com os estranhos nomes dos utilitários, estes estão todos bem arrumados e acessíveis via menus. E não se esqueça que o Linux tem o melhor manual técnico do mundo disponível em www.google.com/linux.
Rui Gouveia (rgouveia _at_ fc.up.pt)
Mestre em Informática - Ramo de Sistemas e Redes pela FCUP
Actualmente a trabalhar em administração de sistemas e redes na
Faculdade de Ciências da Universidade do Porto.
29 comentários:
Parabéns Rui. Também que senti revoltado com os artigos do Sr. Paulo Silva. Apesar de ele só querer vender o que lhe sustenta, não precisa de insinuar afirmações falsas sobre um assunto que nota-se que desconhece por total. Mais uma vez os meus parabéns
Bem dito caro rui ja experimentei o fedora core 3 e funciona muito bem,muita gente é enganada p falta de conheçimentos aqui está um dos casos!A s pessoas têm que ter mais cuidado com aquilo que lêm.Só uma pequena pergunta que não tem nada a ver com segurança,sabes de algum guia pa passar divx pa dvd com legendas no linux?Só uso win p causa disso...Parabéns pelo guia e pela crítica!!!
Eu axo que está muito bem comentado, os meus parabens, só queria dizer uma coisa, ali disse que o open source tinha ipoteses de ter mais bugs corrigidos, porque qualquer um tem acesso ao codigo e pode corrigilo, mas tambem o open source é mais vunerael a "hackers" porque qualquer um pode explorar as suas falhas e ect...
Quanto ao jogos. Eu não tenho problemas nos jogos uso o wine (http://www.winehq.com/) e vou-me servindo de alguns tutoriais (http://www.linux-gamers.net/)
e tem dado tudo na perfeição á excepção do GTA: SA devido á minha grafica ser uma ATI e o jogo já por si é consedido para a Gforce quanto mais jogar com uma ati em linux que há muito menos exploração de drivers.
Sem mais nada, Parabem mais uma vez, está aqui uma boa critica :)
Parabéns pela seu artigo!!
Também sou um leitor assíduo do Bits & Bytes e também me tenho revoltado bastante com os artigos de esse "senhor"...
Não há dúvidas nenhumas de que o que ele pretende é vender o seu antivírus, nem para isso tenha que deitar abaixo uma das maiores revoluções da história dos PC's...
Não tenho mais nada a dizer porque o teu artigo já diz tudo! Muito bom mesmo!
Fiquem bem
Pedro Gaspar cuidado com os pontapés na gramática que dás! Se não consegues escrever sem erros pelo menos usa um processador de texto...
Enquanto houver "piratice" com fartura o billinho pode estar tranquilo da sua liderança...
;D
E pessoal, toca a escrever melhor, "tá"?
Olá Ruigo!
Olha, lê isto e vê se queres incluir alguma coisa, já que não leio esse pasquim e nem me vou dar ao trabalho de escrever qualquer reclamação para lá.
Muito se revolta esta gente... deixem o homem verborrear á vontade. Está só a vender o peixe dele.
Vozes de burro ... e estas coisas só ficam mal, pra ele e pro que ele vende ou tenta vender. A mim ninguem me vende anti-virus that's for sure.
Pedro Gaspar, são precisamente os hackers que fazem muitos dos programas e que encontram as falhas e que as corrigem.
Quem explora as falhas com o intuito de destruir em vez de ajudar, tem outro nome.
Talvez um dia as pessoas deixem de ser influenciadas pela comunicação social sem pensar e chamem hacker a quem realmete é hacker.
Quanto ao artigo, este nao me surpreende. Vem da empresa que anunciou um "perigoso" virus ou worm que era feito a pensar nos bancos ibericos para fazer phishing. segundo parece esse virus ou worm nunca funcionou e é realmente estranha a coincidencia com o facto da panda operar no mercado iberico. será que há alguma coisa mal contada pelo meio?
Peço desculpa, mas
...qualquer macaco amestrado pode instalar o windows....
Lindo simplesmente maravilhoso, talvez o bicho até se chame Jarbas
Viva, Rui!
Realmente, já era tempo de alguém se dar ao trabalho de escrever algumas palavras acerca das opiniões tendenciosas do Paulo Silva.
Sempre, sem excepção, o ponto de vista dele vai dar ao mesmo: ao "seu" antivirus/firewall.
Ele próprio está a tornar-se um virus, pois já não se limita ao Bits, já está numa serie de outras publicações da especialidade. Está a "propagar-se", juntamente com a sua descarada propaganda tendenciosa, esquecendo propositadamente que existem antivirus/firewalls melhores, mais baratas e/ou gratuitos.
Mas enfim... é uma forma de publicidade, e se o Bits concorda com ela...
Marco Santos, não se arranja um colunista isento, que fale do que realmente interesse?
Li e reli isto várias vezes e confesso que até soltei umas boas gargalhadas devido ás bacoradas que o Sr. Dr. Mestre em Informática Rui Gouveia teve a honra de nos presentar.
Vamos lá por partes.
O velho mito que Linux é muito seguro. Como referi no artigo, vai ver as estatísticas e a quantidade de bugs descoberto em sistemas GNU/Linux (a nivel de kernel e não só).
Referencias? Basta ires a qualquer site de segurança informática. É que nem precisas de ser um génio. Se o código é aberto é logico que a quantidade de falhas encontradas sejam muito maiores. Até um burro vê isso e sabe a ir ás paginas. Só tu é que nao.
Apache? E depois? Sabes que o apache não tem nada a ver com o kernel GNU/Linux? Se há worms para Apache o problema e do Apache em si e NUNCA do GNU/Linux. Vai ler mas e um bocadinho. Aliás até o Paulo Laureano disse isso que eu disse no ENEI (tu mestre doutorado com 3 Purple Hearts deves saber quem e o Paulo). GNU/Linux é virtualmente imune a virus (não estamos a falar de worms, mas de virus).
Acerca da password, mas tu sabes o que estás a escrever? Mas algum dia a escolha de uma password serve para denegrir um SO?
Alguém está aqui para denegrir alguma coisa? Há uma diferença entre denegrir e alertar! A escolha da password serve tanto para *nix users como Windows users como para o raio que ta parta. É um aspecto essencial em security/hardening de qualquer SO. Opá da proxima vez digo para meterem um NULL password e assim tu ficas satisfeito. Deves precisar de um mapa para veres em que secção estás.
Acerca de deixares a sessão aberta num local publico. Se serve para denegrir o SO x,y? Claro que serve. Aqui sistemas Unix batem aos pontos qualquer outro SO. É só preciso fazer chmod, chown, chgrp. E ve la se alguem consegue ler e apagar os ficheiros em causa.
Para mestre doutorado deixas muito a desejar...
Sim e essa da instalação é tudo muito bonito de activar uma firewall. Mete um gentoo, slackware *BSD em cima e depois diz-me onde está a firewall em questão! Eu tento ensinar e alertar as pessoas, não fazê-las macacos amestrados. Se já há scripts para isso muito bem, mas o que fazem esses scripts, manipulam o IPtables. Se leste o artigo viste muito bem q falei do iptables e que até disse scripts com GUI's bastante amigáveis.
Porque não disse acerca dos sites de segurança para os utilizadores de Windows? Já reparaste bem a secção em que se encontra o artigo? Segurança em sistemas UNIX! Duhhh
É que sinceramente não disseste um unico ponto que se aproveite. Nem uma unica critica fundamentada em relação ao meu artigo em questão. Pensava que tinha dito alguma asneira, em alguma coisa que me tivesse enganado, mas não! Um Mestre Doutor a dizer estas coisas...
Em relação a ter escrito um artigo um bocadinho mais tecnico é que vejamos... Dificuldade de se instalar GNU/Linux... hmm 0! É mais simples e mais rapido do que se instalar um MS Windows. Dificuldade de se usar um WM em GNU/Linux... hmm 0! Qualquer pessoa pode instalar e configurar um GNU/Linux sem qualquer problema, pelo amor de Deus! Para que andar-se sempre a bater na mesma tecla?
"Olá meninos, hoje vamos criar um sistema dual boot!"
"Olá meninos, hoje vamos aprender a usar o KDE!". É isso que tem interesse? Poupa-me!
E já agora Rui, mestre em Informática, se queres chamar as coisas, chama-las pelo nome! É GNU/Linux e não Linux. Linux é apenas o kernel. Antes de fazeres criticas completamente absurdas, olha primeiro para o que escreves.
Pah, não era uma secção de alunos da página UP que á 2 anos atrás estava vulneravel a um SQL Injection? -g-
Isso sim é que é um bom alvo de critica. Para mestre doutorado em Administrção de Sistemas...
Bacoradas no passado e mega bacoradas no presente. regardz.
Ahh e peço desculpa se fui parvo/arrongante, mas sou português quando se armam em gaibirus comigo eu tento responder á letra.
Sou um leigo em informática, mas já descobri a chatice que é ter que usar o windows para editar vídeo, mas para o resto prefiro LINUX, gratuito e muito eficaz. Firefox eficiente e rápido por defeito, uma maravilha sem Popup's. Avast Home Edition, gratuito, com actualizações diárias de borla, tem desempenhado muitíssimo bem o seu papel. Thunderbird para o correio electrónico é excelente.
Quanto ao artigo em questão, óptimo! Até a resposta do mota veiga, mostra bem a sua mal criadeza, nem merece qualquer comentário, a não ser a frase que paulo silva fez publicar no tal suplemento "...e, se os seus conhecimentos não forem suficientes para instalar e fazer funcionar correctamente uma distribuição Linux, o melhor é esquecer este sistema operativo. Instale o windows, ...", sinceramente... eu comprei um pc e foi-me perguntado se queria pagar o sistema operativo ou preferia um grátis, tão simples como isso. Sé espero é que o tal mota veiga não mande processar a casa que me elucidou. Relativamente ao panda, faz-me lembrar a vacina ati-gripe que se toma antes do vírus aparecer. Geralmente a cura aparece antes da doença, porque será? É que o antídoto só o possui o criador do mal.
Bem haja Dr. Rui Gouveia.
Mal criadeza? Não! Impulsividade? Sim! Não pretendia insultar ninguem e se o fiz as minhas desculpas, mas há coisas que não lembram ao arco da velha!
Vou tentar ser um bocadinho mais soft.
Só pelo simples facto de comparar as falhas do Apache e dizer que isso está relacionado com GNU/Linux, é de levar uma pessoa ao desespero. É comparar couves com carroças. Não tem nada a ver uma coisa com a outra. Até que há apaches para Windows! Aliás... O maior mass-defacement da história feito pelos ursos dos hax0rslab foi feito a um openbsd... explorando uma falha do apache! O OpenBSD saiu lesado com isso? Claro que não... Não foi exploitado nenhum serviço do openbsd! A culpa neste caso e do apache.
Agora dizer que GNU/Linux é vulnerável a virus através do Apache?? :) É original não haja duvida! Quer dizer, group policies 2>/dev/null sem ser necessário ser root.
E dizer indirectamente que uma password não tem nada a ver com a segurança de um sistema? Pah... Palavras para que?
E em resposta ao tal nado-vivo, não percebi... Processar porquê?
Acho muito bem que as pessoas utilizem GNU/Linux. Eu utilizo.
O meu irmão quando comprou o computador foi-lhe feito a mesma pergunta. Aconselho todas as pessoas a experimentarem e a usarem.
E aliás, eu não estou aqui a defender o artigo do Sr. Paulo Silva que fique bem claro, só estou a defender o meu artigo.
Não gostaram tudo bem. Muito técnico? Muito bem. Está no vosso direito. Só acho que não cabe na cabeça de ninguem, e fazer comentarios assim um bocado para o... como poderem adjectivar... comentarios com bases falsa!
Eu não estou aqui a tentar deitar abaixo ninguem, que fique desde já esclarecido. Estou é a debater.
Sou impulsivo que querem que vos faça...
Adiante.
Acerca das crónicas do Sr. do Panda! Não compreendo.
Tipo, não há uma secção GNU/Linux para convencer a malta a usá-lo?
O sr da panda está a vender o peixe dele. Está a fazer o seu trabalho.
Mas agora muito sinceramente, digam-me no que é que acharam de errado no artigo? É que ainda não cheguei lá!
Pronto ok muito técnico (ainda bem que cortaram a parte de overflows nos suid perm files mas ok). Mas o que é que gostam? "Como instalar GNU/Linux?". "Como compilar packages?"
Damn... É á lei do menor esforço...
Caro Rui Gouveia, percebo a sua indignação porque acha que os artigos estão cheios de incorrecções, e fez este artigo para tentar demonstrar que objectivamente era tudo mentira e que o Linux é muito melhor que o Windows.
Após ler o seu artigo permita-me considerar que fez exactamente aquilo de que apontou de errado aos outros... apenas referências a artigos também eles com algumas incorrecções, mas fê-lo como se da maior das verdades de tratasse, ora eu aconselhava-o a ser mais rigoroso nas suas intervenções.
Não tenho pachorra para lhe responder ponto a ponto, mas coloca aqui algumas referências que nos deixariam a discutir eternamente, e já agora deixe-me dizer-lhe o seguinte, o problema hoje em dia não é puramente tecnológico, caso ainda não tenha tido tempo para se aperceber, já que escolha o que escolher terá sempre condições de resolver o seu problema, o problema está sempre no trabalho que terá para ter uma solução seja ela usando, comprando ou fazendo...
Costuma dizer-se que o Linux não tem vírus porque são poucos os utilizadores e os criadores de vírus não se dão ao trabalho. FALSO!!! A percentagem de servidores Linux na Internet, com o servidor web Apache, ascende a mais de 68%. A Microsoft tem apenas 21% deste mercado...
Muito poderiamos dizer sobre o porquê dessas diferenças em relação a servidores expostos na internet (se olhar para o ambiente corporate o cenário até é diferente), mas não era o ponto que queria aqui discutir, o que me interessava era o seu FALSO em maiusculas, e por isso até lhe mostro algo que não é patrocinado por ninguém e que parece demonstrar um padrão que não condiz com o seu FALSO peremptório, aqui está:
Apache 2.0
http://secunia.com/product/73/
Internet Information Server 6.0
http://secunia.com/product/1438/
Já agora entretenha-se por lá e vai descobrir coisas que provavelmente desconhecia e bem interessantes.
Já agora não me diga que a adopção não é um factor importante, nestas contas...
Já existiam servidores ligados em rede hà muitos anos antes de aparecer a Microsoft com o seu "windows em cada secretária" sem conectividade e dedicada ao objectivo de fidelizar clientes
Provavelmente se não fosse essa visão um computador em cada secretária, hoje não teria um computador em casa ao preço que tem hoje, nem em tantas casas...
Na realidade o código aberto permite que mais pessoas estejam atentas a potenciais bugs, que estes sejam corrigidos e as correcções partilhadas mais rapidamente.
Não brinque comigo, isto não passa de um mito, o do número ilimitado de olhos a escrutinar o código dos produtos.
Não existem esses olhos todos, lamento ter de o decepcionar, no longo prazo bug fixing pode ser um problema para projectos de grande dimensão, até por ser uma actividade muito pouco cool e sexy, nem todos gostam de o fazer... Mas enfim isto levar-nos-ia a uma grande conversa, basta que conheça a natureza humana e tenha participado em alguns projectos, principalmente de grande dimensão para perceber os desafios que se colocam e as coisas não são nada como as quer pintar.
Se assim não for como é que se justificam os tão famosos e numerosos "blue screens" do Windows.
Os tão famosos blue-screens, têm muitas origens, a principal serão os maus drivers nos quais a Microsoft não tem responsabilidade, mas é código que corre em kernel mode, daí o risco.
Quem estiver interessado em ler um artigo que curiosamente afirma o contrário mas com argumentos fundamentados e diversas referências pode fazê-lo em http://news.zdnet.com/2100-1009_22-5489804.html
Diga-me lá que argumentos fundamentados são esses? Eu vi um artigo que é publicidade a um produto, não consegue comparar com o Windows porque naturalmente não tiveram acesso ao source code, mas generalizam que os produtos de código aberto possuem maior qualidade não consigo é ver como provam... Acho piada ao comentário em que falam de reports com informação sobre a densidade de bugs no código do Windows e dizem que o do Linux é comparável ou melhor, dizem tudo isto sem se rirem e comparam um projecto de 5 MLC com um de mais de 30 MLC...
Apenas por curiosidade, deixo aqui uma nota: a revista WindowsITPro aconselhou, na sua edição de Junho de 2005, os seus leitores a utilizar o Firefox devido a problemas de segurança no Internet Explorer.
Sim eu vi, é um conselho, mas eu utilizo o IE e não tenho problemas, não uso anti-virus não instalei nenhum produto anti-spam, tal como não utilizo contas com privilégios de administração no meu sistema para o meu trabalho...
Gostaria de comentar mais alguns pontos mas não tenho pachorra, mas gostava apenas de lhe dizer que os seus argumentos não são assim tão fortes como imagina, mesmo a sua receita, não é grande coisa, mesmo antes do SP2 eu já não era infectado com virus, ou spyware, por isso aconselhava-o a aprender mais sobre o Windows para poder falar dele, porque senão pode perder a sua credibilidade.
Saudações,
O objectivo pelo qual escrevi a carta foi atingido. Esse objectivo era fornecer aos leitores mais leigos, em informática, uma outra visão da situação, contrária à que aparentemente estava a transparecer. Pela publicação desta carta, tenho que agradecer (e retribuir o abraço) ao editor do suplemento BITS & BYTES que lhe deu um tratamento muito acima das minhas expectativas. A versão integral é enorme, pois procura dar uma resposta decente a todas as questões levantadas. A versão que foi enviada ao Marco Santos era um pouco menor, mas mesmo assim era grande. A versão que foi publicada foi editada de uma forma que me deixou muito satisfeito. Saíram as provocações mas o importante ficou assim como a ideia principal da mensagem. Obrigado também pela sua resposta e esclarecimentos (No suplemento e aqui no blog). Não se preocupe que vou continuar a ler o seu "pasquim" :) e sempre que ache necessário, continuar a enviar cartas... não necessáriamente deste género.
Não estava à espera do que viria a seguir. A quantidade de comentários que foram aparecendo neste blog. Também por isso fiquei satisfeito embora ache que, salvo excepções, não tenho grande coisa a ensinar aos leitores que aqui submeteram as suas opiniões. Estes leitores, aos quais agradeço a sua contribuição, têm claramente conhecimentos mais que suficientes para perceberem e interpretarem o que estão a ler.
Muita honra me deu ter um comentário do próprio Paulo Trezentos, uma figura pública neste momento, de certeza com coisas mais importantes para fazer do que estar a comentar a minha carta. Já agora, parabéns pelo negócio com o Ministério da Justiça. Costuma dizer-se que Portugal anda sempre 10 (dez) anos atrasado em relação aos restantes países. Agora podemos ter uma nova referência: quantos anos andam atrasados os outros ministérios em relação ao da justiça. Boa sorte para este projecto.
Mais uma vez, obrigado pela participação de ambos.
Saudações,
Não vou ter tempo de responder a todos os leitores individualmente, existem mesmo pontos aos quais acho que é melhor não responder para não aumentar o disparate. No entanto, depois de ter lido atentamente os comentários existentes até ao momento, quero esclarecer alguns pontos comuns a vários leitores, que levantaram alguma polémica.
Assinei a carta com as minhas actuais habilitações. Não acho que me deva envergonhar delas. Não tinha como intenção ofender ninguém mas achei que a carta teria mais credibilidade deste modo. Na Internet existe muita informação mas normalmente não é possível saber a formação ou experiência profissional do autor e deste modo atribuir mais ou menos importância ao que é escrito. Já agora, por lapso, enganei-me no nome do mestrado. Apesar deste ter uma forte componente de segurança, a designação real deste é 'Mestrado de Informática - Ramo de Sistemas e Redes' ministrado pelo Departamento de Ciência de Computadores da FCUP. Na carta enviada ao suplemento a designação estava incorrecta. No blog já corrigi este erro.
Devido ao meu título académico, acho que já sei tudo? Claro que não. Sou da opinião que estamos sempre a aprender. E é um facto que me engano mais vezes do que aquelas que gostaria. O que é preciso é ter-se a humildade de reconhecer os nossos erros e aceitar as ideias dos outros quando estas são melhores que as nossas.
Apercebi-me que a receita do teste que forneci, para testar a fiabilidade de um sistema operativo, é técnico demais para o público alvo que pretendia. Mas tal como o Mota Veiga, no seu primeiro post, estava um pouco "acelarado" e não pensei melhor no que escrevia. Irei dar uma receita muito mais simples ao responder ao leitor que mencionou este teste.
Será que acredito que o Linux não tem bugs? Claro que não! O Linux assim como qualquer sistema operativo é feito por humanos e... errar é humano. Portanto, acho que é seguro afirmar que, o Linux tem bugs. Acredito que o Linux tem menos bugs (triviais) que o Windows? Claro que sim! Acredito que o Linux tem menos bugs de segurança que o Windows? Definitivamente!
Alguns leitores levantaram a questão de ter utilizado o Apache como exemplo. Se calhar têm razão. Podia ter dado melhores exemplos, mas na altura pareceu-me adequado. Estava apenas a querer chamar a atenção para o facto de que o número de máquinas instaladas com *nixes já não é trivial. Podia ter dito que o Linux, no mercado de servidores, já atingiu os 25% e continua a crescer. Tinha sido mais simples. E não precisam de dizer nada. Eu sei que no desktop o Windows ainda detém uma fatia de mercado superior aos 90%. No entanto, tenho esperança que o Linux cresça também neste segmento. Basta ver a evolução dos ambientes gráficos nestes 2 últimos anos para se perceber que é bem possível.
Caro Mota Veiga,
O seu primeiro post foi, provavelmente, escrito no calor do momento e fez o que eu também fiz com a minha carta. Deixou-se levar pela emoção. Compreendo que estava a defender um artigo seu que lhe deve ter dado bastante trabalho a escrever. No entanto, vou só dizer isto. Não existe no mundo nenhuma nacionalidade que lhe permita o direito de ser mal educado. Ser Português não é excepção. Vou tentar responder-lhe o melhor que possa aos seus argumentos mas ignorando o tom da linguagem.
Antes de começar. Assumo que posso estar a cometer uma incorrecção ao referir-me ao GNU/Linux como Linux. Mas como explica, GNU/Linux diz respeito apenas ao Kernel, e eu estou a referir-me ao sistema por inteiro. Provavelmente seria mais correcto da minha parte utilizar o termo "distro" ou "distribuição" ou até mesmo "Fedora Core". No entanto, gosto de utilizar o termo "Linux" para representar todas estas coisas. Espero que não me leve a mal.
Outra questão que importa esclarecer, é que não sou conhecedor nem tenho experiência em todas as distribuições existentes. Acho que se depreende pela minha carta que os meus conhecimentos são mais fortes em Redhat e Fedora Core.
Em relação ao Linux ser mais seguro. Acredito firmemente no que afirmo e acredito nos artigos que dei como referência. Acredito que o Linux é mais seguro, apesar do número de bugs que possa ter. Os outros sistemas também os têm e mesmo que o número de bugs fosse idêntico (o que alegadamente não é (artigo zdnet)), o facto do windows ser monolítico só por si já é motivo suficiente para se recear um bug que seja.
Em relação ao Apache, acho que tem razão. Devido ao desenho modular do Linux... quero dizer do GNU/Linux, lá porque o Apache teve um bug isso não quer dizer que o kernel seja afectado. Devia e podia ter escolhido um exemplo melhor, mas no contexto que queria focar pareceu-me adequado. Além disso, acho que um sistema operativo não se reduz apenas ao kernel mas sim ao conjunto de programas que correm nele. O kernel sozinho não serve para jogar jogos ou executar uma folha de cálculo. É ao conjunto kernel+aplicações que me estou a referir na carta quando falo em bugs. Paulo Laureano. Sei quem é mas não tenho tempo, infelizmente, para ler toda a informação que existe na Internet ou fora dela.
Convém esclarecer que quando falo em bugs refiro-me a bugs importantes. Daqueles em que um craker consegue obter uma shell de root, num dos meus servidores, através da rede. Um servidor com serviços activos: http, imap, smtp, ssh, etc. Um servidor sem serviços activos, ou seja, sem portas abertas, dificilmente será atacado por rede. Posso dar-lhe um exemplo real. Para mal dos meus pecados, pediram-me para instalar um servidor com o Windows Server 2003 para uma aplicação que iria ser instalada por uma empresa externa. Por curiosidade, no final, ataquei o servidor com o nessus para ver que tal ele se comportava. Fiquei muito surpreendido. Apenas um aviso menor de segurança. Por algum tempo, até comecei a achar que a Microsoft estava a ir por um bom caminho. Até ao dia em que a empresa veio instalar a tal aplicação, mais o SQL Server. Depois de um dia inteiro a tentar sem sucesso colocar a aplicação a funcionar, o técnico da empresa veio ter comigo e diz-me que teve de activar uma série de serviços no servidor, caso contrário a aplicação não funcionava. Nesse mesmo dia voltei a atacar o servidor, agora já em estado de produção. Os resultados já estavam muito mais próximos do que eu esperava inicialmente ;).
Relativamente ao seu artigo, depois da resposta do Marco Santos, percebi ter sido uma infeliz coincidência. No entanto mantenho as minhas afirmações, parecia que estava a concordar com o Sr. Paulo Silva e isso para mim foi a gota de água. Foi o seu artigo, acima de tudo, que me motivou em primeira mão a escrever a carta que foi publicada. Pode ter acontecido sem intenção, mas depois de ter "assustado" os leitores mais leigos acerca dos aspectos de segurança no Linux, fornece como exemplo a fragilidade da password. Não achei o exemplo adequado pois é muito genérico, afecta qualquer sistema e depende apenas do utilizador.
Confesso que não consigo perceber o que quer dizer com o parágrafo:
"Acerca de deixares a sessão aberta num local publico. Se serve para denegrir o SO x,y? Claro que serve. Aqui sistemas Unix batem aos pontos qualquer outro SO. É só preciso fazer chmod, chown, chgrp. E ve la se alguem consegue ler e apagar os ficheiros em causa.".
Quando abandono a minha máquina, posso esquecer-me de bloquear a sessão. O que nunca fiz foi alterar as permissões dos ficheiros para ninguém os apagar... inclusive eu.
Continuando com o artigo, se este era supostamente dirigido a utilizadores leigos, como é que pode aconselhar como passo seguinte da instalação compilar um kernel? Quer assustar os leitores mais curiosos que tiveram a coragem de começar a ler o seu artigo. Achei demais. Parecia que estava a convencer os leitores de que o Linux realmente é difícil de instalar e utilizar. A mesma coisa aconteceu para as regras de firewall. Não me interprete mal. Para utilizadores mais conhecedores, o seu artigo tem alguma contribuição a dar. Mas para o tipo de leitores que (imagino) o suplemento tem, o seu artigo fez mais mal que bem. É esta a minha opinião e foi por isso que não gostei. Já agora, desde o tempo em que o Slackware era distribuído em 40 disquetes a passar (por volta de 1990), que não tive necessidade de recompilar um kernel.
Relativamente à vulnerabilidade SQL Injection que ocorreu na UP há 2 (dois) anos atrás. A Universidade do Porto é um organismo diferente da Faculdade de Ciências e com grupos informáticos distintos. Deste modo, não lhe posso dar uma resposta satisfatória a não ser que pode acontecer a qualquer um, já que esta falha é provocada por um programador web menos atento.
Caro Victor,
Acha que fiz o mesmo que os outros? Levantei a voz e ousei falar sobre algo que achava estar mal. Não me parece bem a mesma coisa. Mas tem razão numa coisa: o meu tom de voz é um pouco provocatório demais. Vai ter de me desculpar. Estava indignado. E não se preocupe, de futuro irei tentar ser mais rigoroso. Obrigado pelo conselho.
Concordo consigo quando diz que o problema não é apenas tecnológico. Tem muita razão. É quase religioso. E a prová-lo temos a sua participação a defender a outra parte. Não faz mal, pode ser que juntos aprendamos alguma coisa.
Tem toda a razão em discordar do meu "FALSO". O Editor do suplemento também deve ter achado a mesma coisa e alterou-o na edição que fez. Eu segui o conselho do Victor e já o alterei aqui no blog. Obrigado mais uma vez.
Já disse o que tinha a disser em relação ao Apache num post anterior. Não me vou repetir. Relativamente aos links que me enviou, não tenho palavras. É que estou mesmo satisfeito por ter partilhado connosco esta informação. Não é que você tem razão, o Apache tem mesmo mais bugs e alguns deles ainda não estão devidamente corrigidos. (Não sei porque mas as palavras do Paulo Trezentos não me saem da cabeça...) Fiz o que sugeriu. Andei por lá e descobri coisas que desconhecia e muito mais interessantes. Por exemplo:
http://secunia.com/product/22/ (nem lhe digo o que é. É surpresa!!! ;))
Pode, se quiser, comparar com:
http://secunia.com/product/4222/
http://secunia.com/product/5251/ (pode ser tendencioso mas são os que conheço melhor)
E eu aqui a perder tempo com exemplos do Apache quando havia referências muito mais interessantes... e já não tinha chateado o Mota Veiga.
Em relação à sua análise sobre o código aberto, acho que é melhor cada um de nós ficar a acreditar naquilo que a sua "religião" defende. O Victor já corrigiu algum bug em algum código da Microsoft? Quase de certeza que não. (E se o tivesse feito é melhor não o confirmar. Ainda vai preso.) Eu já corrigi alguns bugs na Framework Horde/IMP. Ah!!! Aquela sensação de poder resolver os problemas sozinho sem precisar de esperar pelo patch... sei que é uma contribuição modesta mas cada um faz o que pode.
Em relação à sua frase: "Os tão famosos blue-screens, têm muitas origens, a principal serão os maus drivers nos quais a Microsoft não tem responsabilidade, mas é código que corre em kernel mode, daí o risco."
Victor, nem sei o que lhe diga... agora deixou-me completamente confuso. Afinal o victor está a argumentar a favor ou contra a Microsoft. Não compreende que é precisamente esse o problema que afecta a estabilidade do windows. O kernel do windows permite/aceita/confia que as aplicações acedam directamente ao hardware, nomeadamente à memória. A Microsoft não tem responsabilidade? Então quem tem? O desgraçado que faz o driver?
Em relação às referências que diz terem algumas incorrecções. No artigo da ZDNET que compara o número de bugs entre os dois sistemas existe, como diz, um produto a ser vendido. Tenho a certeza que verificou a natureza deste produto. É um produto que automatiza a detecção de erros em software. É um produto que visa melhorar a qualidade do software não tendo a empresa motivos para denegrir nenhum dos sistemas uma vez que deve esperar muitos clientes de ambas as plataformas. O estudo referido demorou 4 (quatro) anos a ser realizado. A minha "religião" deixa-me acreditar que deve ter alguma credibilidade. Em relação ao seu comentário ao número de linhas, acho que o artigo refere algo como "densidade". Existem entre 1 a 7 erros por cada 1000 linhas de código no software proprietário. Sendo assim o número total de linhas de código é secundário. Tem novamente razão quando me corrige na parte dos "argumentos fundamentados". Esse comentário era para a outra referência que forneço (Security Report: Windows vs Linux) e não para esta. Já aproveitei para corrigir aqui no blog. Obrigado novamente.
Diz não ter pachorra para me responder ponto a ponto mas repare que respondeu a bastantes...
PS: Os computadores estão baratos mas acho que foi o IBM que decidiu criar um computador doméstico. Não a Microsoft. Mas o Victor pode ter razão em parte. Podem ter sido os dois factores a contribuir.
Caro Rui Gouveia,
Eu bem dizia que o tema dá para conversar até ao infinito?
Em relação à sua descoberta, pelos vistos ficou admirado apenas com uma parte daquilo que os links nos dizem (mas não sei porquê era de esperar) mas olhemos para os números:
Windows XP período da análise 31 meses, número de alertas 85 o que perfaz a bonita média de 2,74 por mês, 35% dos quais definidos como Extremely ou Highly Critical o que perfaz 29,75 destes alertas classificados como tal, para finalizar 25% destes problemas encontram-se por resolver o que significa que 21,25 deles encontram-se nessa situação (sendo esta a razão do seu sorriso).
Vamos agora ao Fedora Core 3, 11 meses de análise, número de alertas 131, o que perfaz uma bonita média de 11,9 por mês (nada mau a tendência de maior qualidade não se nota nestes números), 30% são definidos como Highly Critical o que significa que são 39,3 classificados dessa forma, o bom, e foi apenas isto que o Rui quis realçar foi o facto de todos os problemas terem sido resolvidos.
Por último Fedora Core 4, 4 meses de análise e 22 alertas, o que dá uma média de 5,5 por mês, sendo 41% destes alertas classificados como Highly Critical o que representa 9 deste total.
Ou seja o Fedora Core 4 possui um registo semelhante ao 3, nos primeiros 4 meses tinham sensivelmente o mesmo número de alertas que representa o dobro do registo do Windows XP em igual período.
Fui depois ver o que estava por resolver no Windows XP e de facto se reparar não tem nenhuma situação que não seja possível mitigar de alguma forma, fazendo com que a pressão de não ter neste momento fix disponível seja menor para o fabricante.
E isto não pode ser uma surpresa para si nem para ninguém, isto é, este tipo de problemas é resolvido tendo em conta o impacto e risco que tem na base instalada, mas isso é igual no mundo do Open Source tal como no Closed Source, aí ambos se comportam da mesma forma.
Outros exemplos interessantes podem ser encontrados também penso que alguém já fez um trabalho razoável de análise, e já agora antes de começar a criticar os resultados, verifique que a metodologia está publicada e se não concorda, critique-a fundamentando, se for capaz.
http://www.sisecure.com/pdf/windows_linux_final_study.pdf
Já agora este não sendo um estudo que demonstra A VERDADE, é quanto a mim o estudo que mais esforço fez na tentativa de factualmente estabelecer uma comparação minimamente interessante.
Os resultados já sei que não são do seu agrado, mas não são forjados, as fontes não são controladas e eles são idóneos, obviamente vale pelo que vale, mas penso que ainda não me conseguiu mostrar nada tão credível e que sustente as suas convicções, provavelmente porque não será possível fazê-lo...
http://www.networkworld.com/supp/2005/opensource/070405-open-source-security.html
Já agora vale a pena ler aquilo que pensa quem não acredita nesse idealismo todo (fica como referência também):
Security in Operation (Part 1 of 4): Windows, Linux and Security Notifications
http://www.microsoft.com/technet/community/columns/secmgmt/sm0305.mspx
Security in Operation (2/4): When an Issue Affects Multiple Products
http://www.microsoft.com/technet/community/columns/secmgmt/sm0405_2.mspx
Security in Operation (3/4): Patches in Hours
http://www.microsoft.com/technet/community/columns/secmgmt/sm0505.mspx
Security in Operation (4/4): Managing Security
http://www.microsoft.com/technet/community/columns/secmgmt/sm0605.mspx
Para terminar esta questão da segurança se me disser que a instalação padrão nos sistemas Windows sempre foi demasiado permissivo e com dependências que favoreciam o aparecimento facilitado de problemas aí concordo, mas daí a dizer que Linux é mais seguro que Windows aí não posso concordar, e as últimas versões mostram uma nova abordagem e mindset da Microsoft em relação a estas questões e isso é inegável.
Já agora em relação ao problema que mencionou no outro post em relação ao 2003 e SQL Server e aplicação de terceiro, não acredito que o problema seja do 2003 ou do SQL Server mas sim inépcia de quem desenvolveu essa solução, mas percebo é mais fácil não querer perceber o problema e apontar à MS a razão do mesmo?
Em relação à sua análise sobre o código aberto, acho que é melhor cada um de nós ficar a acreditar naquilo que a sua "religião" defende.
Isto para mim não é uma religião, defendo aquilo em que acredito e que decorre da minha experiência, e não daquilo que li?
Eu já corrigi alguns bugs na Framework Horde/IMP. Ah!!! Aquela sensação de poder resolver os problemas sozinho sem precisar de esperar pelo patch... sei que é uma contribuição modesta mas cada um faz o que pode.
A grande maioria das vezes não necessita esperar pelo patch, poucas são as vezes em que ele é indispensável ou inexistente? mas fala apenas como developer, porque essa é a sua motivação mas no mundo empresarial as coisas funcionam de forma diferente, já que o negócio das empresas que compram SI não é o desenvolvimento de software? normalmente elas preferem pagar a quem o faça para elas.
Victor, nem sei o que lhe diga... agora deixou-me completamente confuso. Afinal o victor está a argumentar a favor ou contra a Microsoft. Não compreende que é precisamente esse o problema que afecta a estabilidade do windows. O kernel do windows permite/aceita/confia que as aplicações acedam directamente ao hardware, nomeadamente à memória. A Microsoft não tem responsabilidade? Então quem tem? O desgraçado que faz o driver?
Não fique confuso, basta ler um bocadinho sobre a arquitectura do Windows, como tudo nesta vida, o desenvolvimento de software tb tem os seus tradeoffs, não existem soluções únicas, se reparar o Linux e todos os sistemas obviamente deparam-se com ?problemas? semelhantes (as discussões e divergências são conhecidas), repare o kernel do Linux tem precisamente uma natureza monolítica que era do que acusava o Windows no post anterior (com base num artigo super básico e erróneo do Nicholas Pretley), mas não deixa de evoluir e algumas mudanças vão sendo levadas a cabo para mitigar a maioria das suas fraquezas no desenho inicial. O Windows erradamente é apontado como monolítico e efectivamente é uma abordagem entre o desenho puro microkernel e monolítico (Híbrido), por razões que se prendem com a performance, como disse são tradeoffs?
Para que nada lhe falte pode ler aqui um pouco sobre a arquitectura do Windows.
http://www.windowsitpro.com/Articles/Print.cfm?ArticleID=2984
Em relação à responsabilidade disse-a no sentido que o código não é responsabilidade da MS, por isso criou programas que permitem certificar os drivers aos fabricantes? a MS é responsável pela arquitectura, no código mau não, e é esse que falha? Não se preocupe que na próxima versão os drivers dos fabricantes vão passar para user mode?
Foi um risco colocar por exemplo os componentes User e GDI em Kernel mode no NT4 mas apesar de tudo os benefícios ultrapassaram as desvantagens e hoje já ninguém se arrepia com a ideia, ideias semelhantes já foram até ouvidas em relação ao Linux, isto para dizer que os sistemas evoluirão e que podem divergir aqui e ali na implementação de alguns conceitos mas basicamente possuem muitas semelhanças e isto é também inegável.
Já agora um comentário que era importante reter, as mudanças revolucionárias no mundo Microsoft são muito mais difíceis de conseguir muito pela base instalada e pela responsabilidade na retro-compatibilidade que no mundo do SL não é vista de forma tão ?religiosa?, no mundo do closed source os clientes pagam por ela, e quebrar comportamentos e aplicações deve ser evitado, daí esta herança representar alguma limitação para mudanças muito significativas na evolução dos produtos.
A minha "religião" deixa-me acreditar que deve ter alguma credibilidade.
Acredito que nesta fase da sua vida tenha mesmo que acreditar, no futuro a sua experiência falará mais alto?
Em relação ao seu comentário ao número de linhas, acho que o artigo refere algo como "densidade". Existem entre 1 a 7 erros por cada 1000 linhas de código no software proprietário.
Ao qual eles tiveram acesso, mas como deve imaginar não é facilmente generalizável. A base de código infelizmente não é totalmente negligenciável basta que passe a mesma ferramenta na versão 2.4 do kernel para perceber o que quero dizer, e aceitando que até se melhoraram processos e ferramentas nas evoluções para a 2.6?
Em relação ao artigo do Nicholas Pretley que escreve na eweek, sinceramente recomendo-lhe melhor fonte pois ele não é reconhecido pelos seus conhecimentos em Windows, e fazendo uma leitura rápida a falta de rigor na comparação é gritante.
PS: Os computadores estão baratos mas acho que foi o IBM que decidiu criar um computador doméstico. Não a Microsoft. Mas o Victor pode ter razão em parte. Podem ter sido os dois factores a contribuir.
Verdade mas veja quem o conseguiu massificar? e não foi porque a IBM não tivesse capacidade e recursos, faltou-lhe provavelmente a visão?
As reticências aparecem-me como pontos de interrogação no post anterior.
Caro Rui Goveia, tem toda a razão no que diz ao eu ter-me levado pelo calor e pela emoção, mas já lhe pedi desculpas pelo facto, acerca da sua resposta, sim senhor concordo com a maior parte das coisas que disse, mas...
Eu nunca disse que GNU/Linux fosse menos seguro que um Windows, só queria era acabar com os mitos de GNU/Linux ser completamente imbativel. Não é muito dificil encontrar aí chicos espertos que se fazem passar por conhecedores que dizem que GNU/Linux é brutalíssimo a nivel de security, enganado assim os menos conhecedores. Mas também sejamos sinceros, numa instalação default, um GNU/Linux é tão inseguro como um Windows. Por exemplo que é que interessa a um Home User que tenha um SMTPd, um SSHd e/ou um HTTPd (normalmente versões já bugadas) numa instalação em default, e normalmente em default, na maior parte das distros uma vez abertos esses portos, o script do iptables activado com a instalação não vai filtrar os pacotes vindo desses portos.
Para quê 5/6/7 cds para instalação? Normalmente uma pessoa cai no erro de instalar tudo e prontos, está o caso estragado. Programas vulneraveis a overflows são uma constante. Continuo a achar que um GNU/Linux em default (salvo raras excepçoes de distros) é um security nightmare? Claro que continuo. Nem se fala naquelas distros que o pessoal aconselha para iniciados. Essas entao...
É claro que não tem bugs de 7 anos como o Windows (land attack), mas isso não o faz de um sistema seguro.
Eu não estou a concordar com o Sr do Panda ou deixar de concordar, é apenas a minha opinião. Não podemos é cair no erro de dizer que o SL é a solução para os males do mundo. E que é seguríssimo. Não faço parte de nenhum lobbie, e digo mesmo que para home users GNU/Linux e Mac OS são infinitamente melhor que o Windows (para servers Free/net/openbsd e solaris), mas... Segurança em GNU/Linux+ instalação default = give me root baby! Era esse o aspecto que queria focar.
Acerca da password, tem toda a razão, é completamente genérico Aplica-se para todos os Sistemas Operativos, mas lembre-se que estava a falar de GNU/Linux, e não pode deixar de concordar que uma strong password faz muito jeito contra dictionary attacks e brute force attacks.
Uma boa password é sempre a primeira linha de defesa de um sistema. É sempre onde um atacante vai em primeiro lugar.
Acerca do kernel, quer queiramos quer não, a compilação de um kernel mais recente vai ter que acontecer, sendo por uma questão de security, como questão de maior suporte de modulos como outro qualquer. Não vale a pena evitar.
Sou o primeiro a dizer que essa parte não está lá muito clara, e pode assustar os "novos". Mas é verdade, faz-se make menuconfig, make, make modules, make modules_install e mais umas operações e prontos. Não dá para fugir muito. É assim e acabou-se.
Concordo que para a causa, não foi lá muito boa ideia ter focado um tema um bocado mais tecnico, mas como disse, não há dificuldade na instalação/configuração de um GNU/Linux, e o artigo em si não é dificil, é preciso é ter conhecimentos básicos de GNU/Linux.
Uma migração de um sistema Windows para um sistema GNU/Linux não se faz numas horas. Um fulano que está habituado a Windows não passa a dominar GNU/Linux em 3 horas. Este artigo era virado para as pessoas que já passaram a fase de migração.
Não teve como objectivo afastar/assustar as pessoas, e dizer que GNU/Linux é muito complicado, não. Já sairam muitos artigos que dizem precisamente o contrario (inclusive alguns meus).
Achava eu (erradamente pelo que vejo), que era a altura de se dar um salto em vez de os artigos andarem sempre na base do "Instalar GNU/Linux em 7 passos", "Porque é que GNU/Linux é melhor", "Como usar o KDE".
Caro Victor,
Já percebi que é uma pessoa bem informada, bem documentada e que apresenta óptimos argumentos. As suas respostas são bastante
extensas e cada vez mais difíceis de contra-argumentar. Principalmente porque parece que o número de artigos e referências tende a aumentar em cada resposta. Uma vez que dentro de dias irei de férias, já "embalei" para a viagem todas estas referências que forneceu. (Todas, excepto as da Microsoft) Irei lê-las atentamente. Se achar que devo, ou se achar que vale a pena responder-lhe, irei fazê-lo quando regressar. Já percebi que ambos defendemos com bastante convicção cada uma das partes e não tenho interesse em prolongar esta argumentação muito mais tempo. Mas tem sido estimulante :), tenho que admitir.
Entretanto, pelo que li, fico quase convencido de que o windows é mesmo bom. O Victor expõem os seus argumentos de uma forma muito convincente. Até gostava que o Sr. Paulo Silva tivesse acesso a esta informação. Seria bom que ele perdesse aquela tendência de lançar o pânico pelos leitores do BITS & BYTES. :)
Pelos seus argumentos, posso concluir que, acredita que a mentalidade de Microsoft está a mudar e que isto se vai reflectir na qualidade dos seus produtos. Também concordo e até acho que no campo da segurança, os utilizadores do windows têm muito a agradecer ao movimento Open Source. Imagina que a Microsoft teria este mesmo comportamento se não tivesse uma concorrência de qualidade? Penso que não, mas é apenas uma opinião.
Assim como os utilizadores do windows já se habituaram aos vírus e aos restantes problemas mitigáveis, os utilizadores do Fedora Core, já se habituaram a um grande número de actualizações a seguir ao lançamento de uma nova versão. É bastante normal. E repare que o FC4 foi lançado há pouquíssimo tempo. As primeiras semanas de uma nova versão de uma distribuição, imagino, que equivalem ao período em que a Microsoft envia uma nova versão de um produto para os seus clientes beta-testers. Enviei-lhe o link do FC3 e do FC4 e tinha a esperança que conseguisse perceber esta diferença no ainda recente FC4. Mas tenho de discordar da forma como fez a análise entre o windows XP e o FC3. (E repare numa outra coisa: o XP tem quase mais 2 anos de maturação que o FC3.) É certo que o FC3 tem mais alertas (já lhe expliquei que é normal) o que lhe dá uma média por mês superior. Mas é isso que é importante? Talvez também seja, depende sempre de quem está a fazer a leitura. No entanto eu consigo fazer uma outra leitura dos mesmos dados.
Windows XP (baseado em 85 alertas)
Extremos: 1% (0.85 alertas. Quase 1)
Graves: 34% (28,9 alertas)
Moderados: 29% (24,65 alertas)
Fedora Core 3 (baseado em 132 alertas)
Extremos: 0% (0 alertas)
Graves: 30% (39,6 alertas)
Moderados: 34% (44,88 alertas)
Eu faço a seguinte leitura: É um facto que o FC3 apresenta mais alertas graves e moderados. No entanto, apresenta 0 (zero) alertas extremos. O Windows XP quase não tem um alerta extremo inteiro mas existe um outro argumento muito mais forte: ao longo dos seus 31 meses de existência, o número de alertas do windows XP tem tido uma distribuição de altos e baixos com tendência para aumentar (gráfico). Ao passo que o FC3 apresenta um gráfico do tipo parábola invertida onde se pode constatar uma sustentada descida do número de alertas ao fim de apenas 8 meses (gráfico). Isto pode ser interpretado como qualidade. Acho eu, claro.
Como já disse, o Victor defende muito bem a sua posição e esta nossa conversa tem sido muito educativa mas o Victor fala "desta fase da minha vida" como se eu fosse um miúdo. Além disso ainda refere que a minha experiência futura poderá fazer mudar as minhas actuais convicções. Para ficar com uma ideia mais clara posso dizer-lhe que tenho 34 anos. E a experiência é a possível. Nunca temos tempo ou oportunidades suficientes para fazer tudo o que gostariamos. Posso, no entanto, dizer-lhe que já estive alguns meses envolvido num projecto onde só podia utilizar tecnologia Microsoft (IIS, MSSQL e ASP) e não gostei nada da experiência.
Cumprimentos
Rui Gouveia
Uma vez que dentro de dias irei de férias, já "embalei" para a viagem todas estas referências que forneceu. (Todas, excepto as da Microsoft) Irei lê-las atentamente.
Fazia-lhe bem ler até as da Microsoft, faça-o sem pudores provavelmente mesmo nesses artigos poderá aprender alguma coisa.
Entretanto, pelo que li, fico quase convencido de que o windows é mesmo bom.
O Windows é um bom sistema operativo, não é perfeito e tem os seus problemas, o mesmo se aplica em relação a qualquer outro. O importante é conhecê-lo para que se possam desenhar soluções com bons níveis de segurança, fiáveis, e com excelentes de níveis de performance e escalabilidade.
Pelos seus argumentos, posso concluir que, acredita que a mentalidade de Microsoft está a mudar e que isto se vai reflectir na qualidade dos seus produtos.
Já agora acrescentaria mais um link ;o)
http://www.informationweek.com/story/showArticle.jhtml?articleID=166404290#_
Veja que afinal não somos só nós os dois a ter essa opinião? (ver comentários de John Pescatore do Gartner Group)
Também concordo e até acho que no campo da segurança, os utilizadores do windows têm muito a agradecer ao movimento Open Source. Imagina que a Microsoft teria este mesmo comportamento se não tivesse uma concorrência de qualidade? Penso que não, mas é apenas uma opinião.
Estamos de acordo, concorrência forte é bom venha ela de onde vier.
As primeiras semanas de uma nova versão de uma distribuição, imagino, que equivalem ao período em que a Microsoft envia uma nova versão de um produto para os seus clientes beta-testers.
Hummm, aqui definitivamente não posso concordar consigo, não é de facto o mesmo.
ao longo dos seus 31 meses de existência, o número de alertas do windows XP tem tido uma distribuição de altos e baixos com tendência para aumentar (gráfico). Ao passo que o FC3 apresenta um gráfico do tipo parábola invertida onde se pode constatar uma sustentada descida do número de alertas ao fim de apenas 8 meses (gráfico). Isto pode ser interpretado como qualidade. Acho eu, claro.
Estamos por acaso concentrados no Fedora mas este tem um ciclo de desenvolvimento relativamente curto e não é comparável nesse aspecto ao XP que como diz vai para 3 anos de vida, e por isso eu acho que não é fácil interpretar o padrão que encontrou como sinónimo de qualidade porque a amostra nunca é grande no caso do Fedora...
Quer ver um exemplo, experimente um Suse 9, ou Red Hat servidor e vai ver que o padrão não é esse.
Peço desculpa pela insinuação de que seria alguém muito novinho, mas pareceu-me demasiado crédulo em relação a coisas que para mim não passam de mitos? mas tem razão tem a experiência que tem e que está ligada às oportunidades que lhe foram surgindo e quanto a isso não há nada a dizer obviamente.
Em relação à sua participação no projecto em que apenas tecnologia Microsoft foi utilizada, enfim não posso dizer nada, apenas lhe recomendo que vá lendo o que se vai também fazendo para os lados de redmond apenas com o objectivo de se manter informado, sabe que às vezes parece-me que com o desconhecimento que encontro em relação ao Windows as pessoas parece que vivem em mundos paralelos, imaginando que o Windows estagnou e que só pode morrer, e olhe que não é bem verdade?
Bem para terminar apenas desejar-lhe umas boas férias ;o)
posso lembrar os senhores que 'usam e aconselham InternetExplorer' de que é a minha maior dor de cabeça enquanto web-developer/designer? e que a microsoft não tenciona lançar o IE7 standards-compilant...
ja agora, esqueci-me de dar os parabens ao rui. parece que o titulo de 'mestre' fez comichão ao autor do artigo em questão. temos pena.
Caro colega Pinto, já ouviu falar em ironia?
Comichão? Nem por isso...
O Sr Goveia tem o merito todo por ser mestre, não é isso que está em causa, e não querendo espicaçar ninguem (e não estando a referir-me a alguem em particular), acho que há diferença entre ter o canudo e ter competencia.
Conheço muito boa gente que tem apenas o 12º e têm muito mais competencia/conhecimento a nivel de programação/SO's do que muitos Engºs Informáticos. Mas não e isso que está em causa.
Achei apenas graça á signature, que aliado aos nervos a flor da pele e ao desejo de responder, teve o resultado que ambos vimos.
Mas inveja/dor de cotovelo? Nem por isso.
Estava eu a trabalhar muito sossegado, até que me apareceu no InfoRSS (Sim, o melhor browser, Mozilla, tem destas coisas) um título de uma notícia sobre Linus Torvalds, a propósito de uma patente, estando eu habituado a trabalhar e ser adepto das tecnologias Open Source, obviamente fui ver a notícia...
Ora, notícia puxa notícia, principalmente se estiverem relacionadas com o movimento Open Source, até que me deparo com esta notícia magnífica...
E o que se depreende da notícia, infelizmente, na realidade não existe uma escolha livre do software a usar... E porquê??? Porque os próprios governos não o permitem, ao usarem nos próprios sites coisas que só funcionam com o Internet Explorer, que como é sabido não segue os standards da W3C que rege a Internet, e peço desculpa pela referência, e tanta dor de cabeça dá ao Tiago Pinto, infelizmente trabalho de designer tem destas pedras no sapato ;o)... Isto sim, para mim é vergonhoso, porque obriga a que as pessoas, mesmo não querendo, tenham uma licença Microsoft para se desenrascarem...
Mesmo depois da UE recomendar o formato OpenOffice como Standard...
Afinal, onde é que está a tão desejada escolha livre???
Antes de terminar, deixem-me fazer só mais uma referência...
Quem leu a notícia de certeza que se deparou com uma coisa que eu acho caricata...
A notícia faz referência a um deputado peruano que defende a livre escolha e para tal deseja que sejam adoptados os standards pelo governo peruano... de estranhar é que os EUA tenham enviado o embaixador com o objectivo de fazer chumbar esta proposta...
Porque será???
Será que se fosse em Portugal eles também vinham cá fazer o mesmo???
Hey, I am checking this blog using the phone and this appears to be kind of odd. Thought you'd wish to know. This is a great write-up nevertheless, did not mess that up.
- David
Enviar um comentário