-->

sábado, 12 de abril de 2008

A importância de se usar um software firewall

O que vou explicar aqui pode ser o óbvio ululante para muitos de meus leitores, mas às vezes eu preciso fazer esses posts para dar suporte a explicações mais elaboradas que serão dadas adiante.

Esqueça o firewall do Windows XP. É melhor do que nada, mas não é o suficiente. Esqueça também o firewall embutido em seu modem ADSL. Ele falha no mesmo quesito em que o firewall do XP.

O problema é que nenhum dos dois te protege de uma ameaça que se instalou em seu PC, pois, para simplificar a vida do usuário, o firewall (o do XP e o do modem) considera que qualquer conexão iniciada pelo seu PC é confiável, pois todas são benignas por default. Você é protegido das tentativas de conexão que se iniciam fora do seu computador, que são hostis por default. Essa configuração é lógica e baseada em simples estatística.

Você talvez já tenha se deparado com a pergunta do firewall do XP, sobre se você quer autorizar a aplicação "tal".



Essa pergunta apenas ocorre com aplicações que se instalam como "servidores", como o e-mule e outros programas de P2P. Um programa que tenha o papel exclusivo de "cliente" não chama a atenção do firewall do XP.

E ser "cliente" é tudo o que um malware qualquer precisa ser. É absolutamente desnecessário instalar um "servidor" em sua máquina para roubar suas senhas, por exemplo. Em outras palavras, um programa que rouba suas senhas só vai ser detectado pelo firewall do Windows XP ou barrado pelo firewall do seu modem se seu criador for um programador muito ruim.

Nota: O firewall do Windows Vista supostamente faz o serviço completo.

É importante que ao ler a palavra "servidor" você não tenha a compreensão errada. Essa palavra sempre lembra aplicações complexas, porque é geralmente associada a elas. Mas quando se trata de comunicação em rede, "servidor" é qualquer software que pode receber conexões que ele não iniciou. "cliente" é o software que inicia uma conexão. Muitos softwares, como as aplicações P2P, operam como clientes e servidores ao mesmo tempo, mas muitos só precisam ter uma das duas funções, como um software de FTP qualquer é apenas cliente (é sempre você que inicia uma conexão com o servidor FTP e nunca o contrário).

Um malware tanto pode ser cliente, como servidor. Depende do que seu criador tinha em mente. Se tudo o que o malware quer é roubar suas senhas bancárias, ele só precisa ser cliente (e nunca vai ser notado pelo firewall do XP). Mas se o programador quer assumir o controle do seu PC ou usá-lo como proxy para repassar SPAM, ele precisa ser um servidor. E será detectado pelo firewall do XP se (e é um "se" bem grande) o criador do malware não for esperto o suficiente para desligar silenciosamente o firewall do Windows XP ou até adicionar uma exceção para si. O que é perfeitamente possível se o usuário estiver logado como administrador na hora da invasão.

Mas quantos usuários domésticos de Windows usam o SO como Usuário Limitado? 5%?

A vantagem que um software completo de firewall como o ZoneAlarm (ZA) proporciona é impedir que qualquer processo que não esteja explicitamente autorizado possa acessar a internet como cliente ou agir como servidor. O ZA, por exemplo, avisa todas as vezes que um novo processo tenta abrir uma conexão e pergunta ao usuário o que fazer. As opções são quatro:
  • Autorizar só desta vez (vai perguntar de novo na próxima);
  • Bloquear só desta vez (vai perguntar de novo na próxima);
  • Autorizar definitivamente;
  • Bloquear definitivamente;
O problema para a maioria dos usuários é: tomar essa decisão não é tão simples quanto parece.

Um Power User Windows pode discernir, quando o firewall faz a pergunta, se o processo deveria mesmo estar querendo acessar a Intenet. E ainda assim com um certo grau de incerteza. Para complicar, alguns softwares firewall não dão informação suficiente, como é o caso do próprio ZA.

Já um usuário "comum" não vai saber que resposta dar ao firewall e tanto pode bloquear o que deveria permitir quanto permitir o que deveria bloquear. O firewall instalado na máquina de um usuário comum precisa ser configurado por um Power User, que vai dar permissão a todos os programas que esse usuário vai usar (jogos, IMs, browsers, etc) e depois bloquear todo o resto. Preferencialmente configurando para bloqueio automático com nenhuma pergunta sendo feita ao usuário. Mas aí nenhum software instalado pelo usuário posteriormente vai conseguir conversar com o mundo exterior.

Supondo que você tenha o conhecimento necessário para dar as respostas adequadas, um software firewall "decente" se torna tão indispensável quanto um anti-virus. Para quem não sabe dar as respostas mas precisa mais de segurança do que da conveniência de poder instalar qualquer software sozinho, também.

9 comentários:

  1. Jefferso, eu usava o ZoneAlarm também, mas nunca gostei da forma que ele identifica os processos. Atualmente estou usando o Comodo, que além de gratuíto, me parece oferecer muito mais controle e informações mais apuradas sobre o que cada processo está tentando fazer.

    ResponderExcluir
  2. Walter,

    Eu estive nos últimos meses usando o Sunbelt/Kerio e estava muito satisfeito com ele até descobrir que ele estava causando um consumo absurdo de CPU ao fazer transferências pela rede.

    Coincidentemente eu comecei a testar o Comodo ontem e até agora só gostei do baixo uso de CPU. Mas está difícil me acostumar com ele.

    ResponderExcluir
  3. Olá, eu uso um que apesar de pago eu pelo gosto dele, é inteligente o suficiente pra perguntar por qualquer porcaria que tente acessar a internet e também para me permitir não passar por ele o trafego destinado a rede interna. É o firewall da McAfee, uso já a uns 5 anos e não tenho do que reclamar do mesmo.

    Firewall, depois que se acostuma a usa-lo, você não fica mais sem ele :P Eu mesmo hoje vi uma coisa pra lá de suspeita, ao instalar um programa para calculo de filtros LC, o danado tentou fazer acesso a web, logico que o firewall esperneou, e eu na lata mandei bloquear, afinal, porque um programa que simplesmente faz cálculos precisa conectar a internet? Pelo sim pelo não bloqueio, se for algo que fizer falta, eu libero depois, caso contrario, no way...

    ResponderExcluir
  4. Por uma grande coincidência, ontem, logo após eu mandar o primeiro comentário, minha esposa me chama no escritório dela pra reclamar que estava sem conexão. Ela havia acabado de instalar o Vono para testar. "O firewall te perguntou alguma coisa?" "Perguntou!", "E o que você fez?", "Ah, não lembro...". Isso por que ela é fluente em inglês. Como o Vono abriu uma página de help e boas vindas, ela bloqueou tudo. O Comodo também está instalado na máquina dela. Não houve modo de fazê-la entender que deve prestar atenção em qual processo está solicitando o acesso, e por que. Mas eu prefiro assim, do que ela abrir uma brecha na nossa rede iterna.

    Quanto as chatices do Comodo (que não são nada cômodas - não resisti à piada infâme), você logo se acostuma. Depois disso, com o baixo consumode CPU, é tudo só alegria!

    Fora o fato de se gratuíto, né?

    ResponderExcluir
  5. Algum de vocês já usaram/testaram o firewall que vem na versão para do AVG? O que acharam dele???

    ResponderExcluir
  6. Eu havia testado o Comodo há meses e reprovado, mas não lembrava a razão. Agora há pouco tive um problema que me fez lembrar: ao entrar e sair da hibernação o Comodo "pira" e começa a bloquear coisas automaticamente.

    Além disso, desde que instalei tive três problemas estranhíssimos de congelamento do Explorer em que solicitar a execução de qualquer coisa via Explorer era completamente ignorado, exigindo encerrar o processo (explorer) e iniciar novamente para que funcione. E eu sei que o Comodo fiscaliza essas operações e que a minha máquina era 100% estável antes de sua instalação.

    É uma pena, mas parece que vou ter que conviver com o exagerado uso de CPU do Sunbelt/Kerio.

    ResponderExcluir
  7. Se você quer um firewall para bloquear programas de acessar a internet, talvez o netlimiter possa lhe ser útil.

    Além de limitar banda, ele tem um firewall que funciona muito bem.

    Mas infelizmente para quem usa muito torrent e afins, ele costuma dar tela azul no módulo TCPIP.SYS depois de várias horas.

    ResponderExcluir
  8. Ainda uso o sygate 5.6.3408. Leve e não trava. Simples e funcional.

    ResponderExcluir
  9. Uso o firewall do Kaspersky Internet Security 7.

    Fácil de configurar, mesmo possuindo muitas opções e não consome grande quantidade de processamento.

    ResponderExcluir

Siga as regras do blog ou seu comentário será ignorado.