As empresas investem muito tempo, esforço e dinheiro para manter seus sistemas seguros. Os mais conscientes sobre a segurança podem ter um centro de operações de segurança. É claro que usam firewalls e ferramentas antivírus. Elas provavelmente gastam muito tempo monitorando suas redes, procurando por anomalias indicadoras que poderiam indicar uma violação. Com o IDS, SIEM e NGFWs, eles implantam um verdadeiro alfabeto de defesas.
Mas quantos já pensaram muito em um dos pilares de suas operações digitais: os sistemas operacionais implantados nos PCs da força de trabalho? A segurança foi mesmo um fator quando o SO desktop foi selecionado?
Isso levanta uma questão que toda pessoa de TI deve ser capaz de responder: Qual sistema operacional é o mais seguro para a implantação geral?
Perguntamos a alguns especialistas o que eles acham da segurança dessas três escolhas: Windows, a plataforma sempre mais complexa que é facilmente o sistema desktop mais popular; macOS X, o sistema operacional baseado no FreeBSD Unix que alimenta os sistemas Macintosh da Apple; e Linux, ou seja, todas as várias distribuições Linux e sistemas relacionados baseados em Unix.
Como chegamos aqui
Uma razão pela qual as empresas podem não ter avaliado a segurança do sistema operacional que implantaram para a força de trabalho é que elas fizeram a escolha anos atrás. Voltar atrás o suficiente e todos os sistemas operacionais eram razoavelmente seguros, porque o negócio de hackeá-los e roubar dados ou instalar malware estava em seus primórdios. E uma vez feita a escolha de um SO, é difícil considerar uma mudança. Poucas organizações de TI iriam querer a dor de cabeça de transferir uma força de trabalho dispersa globalmente para um SO totalmente novo. Diabos, eles recebem pushback suficiente quando movem usuários para uma nova versão do seu SO escolhido.
Still, seria sábio reconsiderar? Os três principais sistemas operacionais de desktop são suficientemente diferentes em sua abordagem à segurança para fazer uma mudança que valha a pena?
Certo que as ameaças enfrentadas pelos sistemas corporativos mudaram nos últimos anos. Os ataques se tornaram muito mais sofisticados. O solitário hacker adolescente que uma vez dominou a imaginação pública foi suplantado por redes bem organizadas de criminosos e organizações sombrias, financiadas pelo governo, com vastos recursos de computação.
Como muitos de vocês, eu tenho experiência em primeira mão das ameaças que estão lá fora: Fui infectado por malware e vírus em vários computadores Windows, e até tive vírus de macro que infectaram arquivos no meu Mac. Mais recentemente, um hack automatizado generalizado contornou a segurança no meu site e infectou-o com malware. Os efeitos de tal malware sempre foram inicialmente sutis, algo que você nem notaria, até que o malware acabou ficando tão profundamente embutido no sistema que o desempenho começou a sofrer notavelmente. Uma coisa impressionante sobre as infestações foi que eu nunca fui especificamente visado pelos canalhas; atualmente, é tão fácil atacar 100.000 computadores com uma botnet quanto atacar uma dúzia.
O SO realmente importa?
O SO que você implanta para seus usuários faz diferença para sua posição de segurança, mas não é uma salvaguarda segura. Por um lado, uma violação hoje em dia é mais provável de acontecer porque um atacante sondou seus usuários, não seus sistemas. Uma pesquisa com hackers que participaram de uma recente conferência DEFCON revelou que “84% usam engenharia social como parte da sua estratégia de ataque”. Implementar um sistema operacional seguro é um ponto de partida importante, mas sem educação do usuário, firewalls fortes e vigilância constante, até mesmo as redes mais seguras podem ser invadidas. E, claro, há sempre o risco de software, extensões, utilitários, plug-ins e outros softwares que parecem benignos, mas que se tornam um caminho para o aparecimento de malware no sistema.
E não importa qual plataforma você escolha, uma das melhores maneiras de manter seu sistema seguro é garantir que você aplique as atualizações de software prontamente. Uma vez que um patch está na natureza, afinal, os hackers podem fazer engenharia reversa e encontrar um novo exploit que eles podem usar em sua próxima onda de ataques.
E não se esqueça do básico. Não use o root, e não conceda acesso a servidores mais antigos na rede. Ensine seus usuários a escolher senhas realmente boas e arme-as com ferramentas como 1Senha que facilitam que eles tenham senhas diferentes em cada conta e site que usam.
Porque o resultado final é que cada decisão que você tomar em relação aos seus sistemas irá afetar sua segurança, mesmo o sistema operacional em que seus usuários fazem seu trabalho.
Windows, a escolha popular
Se você é um gerente de segurança, é extremamente provável que as questões levantadas por este artigo possam ser reformuladas dessa forma: Seríamos mais seguros se nos afastássemos do Microsoft Windows? Dizer que o Windows domina o mercado empresarial é subestimar o caso. A NetMarketShare estima que 88% de todos os computadores na Internet estão executando uma versão do Windows.
Se seus sistemas estiverem dentro desses 88%, você provavelmente sabe que a Microsoft continuou a aumentar a segurança no sistema Windows. Entre suas melhorias estão reescrevendo e reescrevendo sua base de código do sistema operacional, adicionando seu próprio sistema de software antivírus, melhorando firewalls e implementando uma arquitetura sandbox, onde programas não podem acessar o espaço de memória do sistema operacional ou outras aplicações.
Mas a popularidade do Windows é um problema em si. A segurança de um sistema operacional pode depender em grande parte do tamanho de sua base instalada. Para autores de malware, o Windows fornece um campo de jogo massivo. A concentração nele dá a eles o máximo de bang por seus esforços.
Como explica Troy Wilkinson, CEO da Axiom Cyber Solutions, “o Windows é sempre o último no mundo da segurança por uma série de razões, principalmente por causa da taxa de adoção dos consumidores. Com um grande número de computadores pessoais baseados em Windows no mercado, os hackers historicamente têm sido os que mais visaram esses sistemas”
É certamente verdade que, da Melissa ao WannaCry e mais além, muito do malware que o mundo tem visto tem sido direcionado aos sistemas Windows.
macOS X e segurança através da obscuridade
Se o SO mais popular será sempre o maior alvo, então o uso de uma opção menos popular pode garantir a segurança? Essa idéia é uma nova tomada do velho – e totalmente desacreditado – conceito de “segurança através da obscuridade”, que sustentava que manter o funcionamento interno do software proprietário e, portanto, secreto era a melhor maneira de se defender contra ataques.
Wilkinson afirma categoricamente que o macOS X “é mais seguro que o Windows”, mas ele se apressa em acrescentar que “o macOS costumava ser considerado um sistema operacional totalmente seguro com poucas chances de falhas de segurança, mas nos últimos anos temos visto hackers fazendo explorações adicionais contra o macOS.”
Em outras palavras, os atacantes estão se ramificando e não estão ignorando o universo Mac.
O pesquisador de segurança Lee Muson da Comparitech diz que “macOS é provável que seja a escolha do grupo” quando se trata de escolher um SO mais seguro, mas ele adverte que ele não é impenetrável, como uma vez pensou. Sua vantagem é que “ele ainda se beneficia de um toque de segurança através da obscuridade versus o alvo ainda muito maior apresentado pela oferta da Microsoft”.”
Joe Moore da Wolf Solutions dá à Apple um pouco mais de crédito, dizendo que “fora da prateleira, o MacOS X tem um ótimo histórico quando se trata de segurança, em parte porque não é tão visado quanto o Windows e em parte porque a Apple faz um bom trabalho para se manter no topo das questões de segurança”
E o vencedor é …
Você provavelmente sabia disso desde o início: O claro consenso entre os especialistas é que o Linux é o sistema operacional mais seguro. Mas enquanto é o SO de escolha para servidores, as empresas que o implantam no desktop são poucas e distantes entre.
E se você decidisse que o Linux era o caminho a seguir, você ainda teria que decidir qual distribuição do sistema Linux escolher, e as coisas ficam um pouco mais complicadas lá. Os usuários vão querer uma IU que pareça familiar, e você vai querer o SO mais seguro.
Como explica Moore, “Linux tem o potencial de ser o mais seguro, mas requer que o usuário seja algo como um usuário poderoso”. Portanto, não para todos.
Distribuições Linux que visam a segurança como uma característica primária incluem o Parrot Linux, uma distro baseada no Debian que Moore diz fornecer numerosas ferramentas relacionadas à segurança logo de saída.
Obviamente, um diferencial importante é que o Linux é de código aberto. O fato de os codificadores poderem ler e comentar o trabalho uns dos outros pode parecer um pesadelo de segurança, mas na verdade isso acaba sendo uma importante razão pela qual o Linux é tão seguro, diz Igor Bidenko, CISO da Simplex Solutions. “O Linux é o SO mais seguro, pois sua fonte é aberta. Qualquer pessoa pode revisá-lo e ter certeza de que não há bugs ou portas traseiras”
Wilkinson elabora que “Linux e sistemas operacionais baseados em Unix têm falhas de segurança menos exploráveis conhecidas pelo mundo da segurança da informação. O código Linux é revisto pela comunidade tecnológica, o que se presta à segurança: Por ter tanta supervisão, há menos vulnerabilidades, bugs e ameaças”
É uma explicação sutil e talvez contra-intuitiva, mas por ter dezenas – ou às vezes centenas – de pessoas lendo cada linha de código no sistema operacional, o código é na verdade mais robusto e a chance de falhas escaparem para a natureza é diminuída. Isso teve muito a ver com o porquê da PC World ter saído e dizer que o Linux é mais seguro. Como Katherine Noyes explica, “A Microsoft pode contar com sua grande equipe de desenvolvedores pagos, mas é improvável que a equipe possa se comparar com uma base global de usuários-desenvolvedores de Linux ao redor do globo. A segurança só pode beneficiar através de todos aqueles olhos extra”
Outro factor citado pela PC World é o melhor modelo de privilégios de utilizador do Linux: Usuários Windows “geralmente recebem acesso de administrador por padrão, o que significa que eles praticamente têm acesso a tudo no sistema”, de acordo com o artigo de Noyes. O Linux, em contraste, restringe muito o “root”
Noyes também notou que a diversidade possível dentro dos ambientes Linux é uma melhor protecção contra ataques do que a típica monocultura do Windows: Há simplesmente muitas distribuições diferentes de Linux disponíveis. E algumas delas são diferenciadas de forma a abordar especificamente as preocupações de segurança. O pesquisador de segurança Lee Muson da Comparitech oferece esta sugestão para uma distribuição Linux: “O SO Qubes é um bom ponto de partida para o Linux, com um endosso de Edward Snowden que ofusca as suas próprias e extremamente humildes reivindicações.” Outros especialistas em segurança apontam para distribuições Linux especializadas e seguras, tais como Tails Linux, projetado para rodar de forma segura e anônima diretamente de uma unidade flash USB ou dispositivo externo similar.
Building security momentum
Inércia é uma força poderosa. Embora haja um claro consenso de que o Linux é a escolha mais segura para a área de trabalho, não houve nenhuma debandada para despejar máquinas Windows e Mac em favor dele. No entanto, um pequeno mas significativo aumento na adoção do Linux provavelmente resultaria em computação mais segura para todos, pois na perda de market share é uma forma segura de chamar a atenção da Microsoft e da Apple. Em outras palavras, se um número suficiente de usuários mudar para Linux no desktop, é muito provável que os PCs Windows e Mac se tornem plataformas mais seguras.