Como “segurança da informação” é um dos assuntos tratados por este blog, resolvi postar aqui este pequeno artigo e tutorial sobre um aplicativo freeware (pelo menos enquanto em sua fase beta) lançado pela ESET recentemente, o ESET SysInspector. A ESET é uma das mais tradicionais empresas desenvolvedoras de soluções de segurança do mundo, possuindo em sua linha de produtos, dentre outros, um dos mais famosos anti-vírus da atualidade, o NOD32.

O ESET SysInspector é um simples porém funcional utilitário para o diagnóstico de seu sistema/computador, que analisa profundamente diversos aspectos do mesmo, tais como processos ativos, itens inicializados juntamente com o windows, entradas no registro, conexões de rede, softwares e drivers instalados, além de disponibilizar algumas outras informações bem interessantes.

O pequeno programa de apenas 1,71 Mb, que não precisa ser instalado (basta efetuar o download do executável e executá-lo em seguida), realmente cumpre o que promete e é bem útil quando se quer investigar a fundo o sistema em busca de alguma atividade suspeita, presença de malwares, etc. É claro, é necessário algum conhecimento básico, pelo menos, a respeito do funcionamento do sistema operacional, seus processos e o que “deve” ou “não deve” existir/estar ativo na máquina. Também não deixa de ser válida, é claro, a utilização do software meramente com a finalidade de obter mais informações sobre o computador, ou até mesmo visando o aprendizado.

Após a introdução acima, vamos dar uma olhada no aplicativo:

Ao ser executado, o aplicativo exite a tela acima e executa a “análise” do sistema. A duração de tal análise vai variar de computador para computador, mas digamos que seja algo em torno de 1 a 3 minutos.

Terminada a análise, é exibida a tela abaixo, onde podemos visualizar diversas opções para consulta, bem como escolher os “níveis de risco” que desejamos visualizar:

Como podemos ver na imagem acima, os ítens analisados são:

• Running processes (processos em execução): aqui são listados todos os processos e aplicativos ativos no momento, com informações tais como “caminho para o arquivo”, “status” e “descrição”, dentre outras.

• Network connections (conexões de rede): aqui são listados todos os aplicativos e processos que estão acessando a rede e/ou a internet no momento. O aplicativo divide as conexões em “TCP Connections” (conexões TCP), “UDP Connections” (conexões UDP) e “DNS Servers” (servidores DNS).

• Important registry entries (entradas importantes no registro): como o próprio nome da opção já diz, aqui podem ser visualizadas as principais entradas no registro do windows e/ou aquelas comumentemente relacionadas a problemas. O aplicativo aqui divide as entradas em diversas sub-opções, como por exemplo “autostart”, “rede”, “protocolos”, etc.

• Services (serviços): listagem de todos os serviços do sistema.

• Drivers: listagem de todos os drivers instalados no sistema.

• Critical files (arquivos críticos): listagem de todos os arquivos “críticos” relacionados ao funcionamento do sistema operacional, contendo os respectivos conteúdos.

• System information (informação do sistema): informação completa sobre o hardware e o software da máquina. Aqui podem ser consultadas informações tais como versão do sistema operacional e service packs instalados, idioma, memória total, variáveis de ambiente, softwares instalados, privilégios do usuário, etc.

• Files details (detalhes dos arquivos): listagem contendo detalhes dos arquivos mais importantes do sistema e também dos arquivos presentes na pasta “program files” (arquivos de programas).

• About (sobre): informações sobre o ESET SysInspector.

Vale ressaltar que ao se clicar sobre qualquer um dos itens acima, são exibidas na parte inferior direita da tela mais informações sobre o mesmo, como por exemplo o nome do “desenvolvedor” (caso disponível), “versão”, “tamanho”, “dll’s usadas por um processo ou aplicativo e sua localização no computador”, “tipo de inicialização de um serviço”, etc. Tais detalhamentos ajudam bastante a se “refinar” a procura por algo malicioso em execução.

Opções adicionais

O ESET SysInspector possui algumas opções de filtragem bem interessantes, localizadas na parte superior da tela, e a principal é a “items filtering” (filtragem dos itens), a qual permite que se escolha, através de um controle deslizante, o “nível” do risco que se deseja consultar, de 1 a 9 .

Possui ainda uma opção de “busca” (search), localizada no canto superior direito, e a opção de salvar o log da análise em formato XML, através do menu “File ==> Save log”. Existem também algumas opções dentro do menu “file” (arquivos) que parecem fazer parte de uma futura opção para geração de relatórios. Estas opções não estão funcionando no momento, mas vale ressaltar que se trata de um beta, então, deveremos ainda esperar por futuras atualizações nesse sentido.

Como todos podem ver, o ESET SysInspector é um programa “enxuto” e de fácil utilização, que cumpre muito bem o seu papel mesmo enquanto ainda em sua versão beta, e pode ser utilizado facilmente por qualquer um que deseje obter maiores informações sobre seu computador/sistema operacional/drivers/softwares instalados, etc.

Espero que todos tenham gostado do artigo.

Informações adicionais:

O ESET SysInspector está disponível (gratuitamente) para a plataforma Windows apenas (Vista / XP / 2003), 64 ou 32 bits

Link para download do ESET SysInspector versão 32 bits:

http://download.eset.com/download/sysinspector/32/ENU/SysInspector.exe

Link para download do ESET SysInspector versão 64 bits:

http://download.eset.com/download/sysinspector/64/ENU/SysInspector.exe

Muito tem-se falado nos últimos dias a respeito do ODF (Open Document Format), ou “formato de documento aberto”, e gostaria de comentar algo a respeito por aqui. Li alguns artigos bem interessantes a respeito (os quais recomendo) no Void Life (dentre eles, recomendo em especial o “Aberta a temporada de FUD contra o ODF“), no blog do César Taurion, da IBM, e também a entrevista concedida por este ao ZumoBlog. Realmente recomendo a leitura, pois trata-se de ótimos artigos, esclarecedores e que vão “direto ao ponto”.

Bom, não vou falar muito a respeito do abandono do ODF por parte da “Open Document Foundation” no restante deste artigo, pois acredito realmente que tal desistência não interfere em nada no futuro do ODF, uma vez que a mesma era simplesmente uma organização composta por pouquíssimas pessoas que, de alguns tempos para cá, passaram a apoiar cada vez menos o ODF e optaram finalmente por apoiar o CDF, formato de arquivos proposto pelo W3C, ou “World Wide Web Consortium“, entidade que promove, desenvolve e incentiva a criação e utilização de padrões web.

E por que digo que a Open Document Foundation não faz falta alguma ao ODF, e que o ODF tem vida longa (bem como enormes desafios pela frente)? Vejamos:

• Existem duas grandes e totalmente operacionais organizações apoiando o formato, a OASIS e a ODF Alliance (esta última, inclusive, presente também no Brasil).

• O ODF é totalmente suportado, implementado e apoiado por projetos e empresas tais como o OpenOffice, o BrOffice.org (comunidade brasileira responsável por adaptar, traduzir e distribuir o OpenOffice no Brasil, que mudou de nome apenas devido à marca OpenOffice, sabe-se lá por quais motivos, ter sido registrada anteriormente por uma outra empresa brasileira) e a IBM, com a sua recém-lançada suíte para escritórios Lotus Symphony.

• Diversas empresas e governos já perceberam que é primordial optar por um formato aberto de arquivos e se ver livre de formatos proprietários, garantindo assim a “continuidade” (vou falar bastante disso neste artigo ). Podemos citar as recentes adoções ou planos neste sentido por parte, por exemplo, de governos como o da África do Sul e da Malásia, e empresas como Red Hat, Novell, Sun e a própria IBM, dentre outras.

• Podemos também citar casos de empresas e órgãos brasileiros, como por exemplo a ABNT e alguns setores do governos que começaram a pensar mais sériamente sobre o assunto.

Após tantos exemplos (e casos de sucesso, por que não?), é hora de tentarmos chegar ao “porquê” do ODF ser a melhor opção em termos de interoperabilidade compatibilidade, confiabilidade e diversos outros quesitos que fazem, muitas vezes, a disponibilidade da documentação independente da ferramenta utilizada para “abrí-la” ser um fator tão importante.

O problema dos formatos fechados/proprietários

O uso de formatos fechados, proprietários, implica em sermos escravos “para sempre” da empresa detentora dos direitos sobre tal formato e sobre a solução que gera/abre/edita tal formato de arquivo (entenda-se o “para sempre”, aqui, apenas “enquanto assim desejarmos”). Significa que sempre teremos de utilizar a ferramenta desenvolvida por tal empresa para termos a capacidade de manipular nossos documentos. No caso de documentos mais simples como *.docs, por exemplo, até se consegue abrí-los (algumas vezes com alguns problemas) através de outras ferramentas, mas existem casos em que isto não é possível. Alguém já conseguiu abrir um arquivo CDR (nativo do Corel Draw) em outra aplicação qualquer, e editá-lo como se estivesse no próprio Corel Draw?

Aí reside o problema: a escravidão a um padrão, bem como a uma empresa e seus ditames. Se determinada empresa fornecedora do software “X”, que gera arquivos no formato “Y” (ambos proprietários) resolver amanhã ou depois mudar radicalmente seus aplicativos e também alterar o padrão dos arquivos gerados, teremos um problema: ou compramos a nova solução, ou ficamos com uma solução desatualizada nas mãos. Ou aceitamos por “livre e expontânea pressão” efetuar a compra da nova versão, ou teremos de amargar a convivência com uma solução desatualizada (e algumas vezes com inúmeros bugs).

E, pior ainda: e se a tal empresa de uma hora para outra simplesmente “fechar as portas”, não abrindo o código de seus aplicativos para uma “hipotética” comunidade, e deixando todos os usuários simplesmente, na mão? Neste caso, literalmente, “a vaca foi pro brejo”, principalmente caso tenhamos perdido por qualquer razão que seja os aplicativos instalados e também os cds de instalação dos mesmos (nem vou comentar a respeito de possíveis bugs neste caso ). E, além do mais, pode ser que esta aplicação torne-se totalmente incompatível com uma futura e necessária atualização no sistema operacional utilizado.

Este é o problema com formatos proprietários e/ou fechados: você está sempre “nas mãos de alguém”. Se você é um escritor, por exemplo, e a situação acima ocorrer, todo o seu trabalho intelectual foi perdido. Se você possui uma empresa e usa aplicativos proprietários para criar e editar seus documentos, e a mesma situação acima citada ocorrer, você está com um sério problema nas mãos.

O uso de formatos proprietários implica em sermos apenas sócios (em maior ou menor grau), e não “donos”, daquilo que produzimos. Implica em não termos o direito, muitas vezes, de escolhermos entre esta ou aquela maneira de fazer determinada tarefa. Implica em contarmos com o constante risco de mudanças e impedimentos, mudanças e impedimentos estes que, muitas vezes, se refletem em maiores custos e cada vez mais reduzidas (ou dificultadas) possibilidades de adaptação. E que empresa ou pessoa física hoje em dia optaria “conscientemente” por conviver com algo assim?

O desconhecimento e o comodismo

O grande problema é que a maioria dos usuários de computadores e tecnologia em geral é condicionada, deste seu primeiro contato com tecnologia, a utilizarem “somente” determinados produtos e soluções, na maior parte das vezes proprietários. Compra-se um computador naquele grande e famoso magazine e o mesmo já vem com sistema operacional pré-instalado, prontinho para uso. E adivinhem qual é o tal sistema operacional?

Aí o usuário sai da loja feliz e sorridente com seu novo produto e vai “à caça” de aplicativos, pois só com o sistema operacional ele não consegue fazer muita coisa. Muitos até podem chegar a pesquisar valores de uma suíte para escritórios proprietária, por exemplo (acredito que a grande maioria não o faz), mas quando verificam que a tal suíte custa quase o mesmo ou até mais do que o equipamento recém comprado, acabam sendo levados às tais “barraquinhas” de camelôs e compram os mesmos softwares proprietários, por valores agora irrisórios. Fácil, não? Totalmente ilegal, mas extremamente fácil, infelizmente.

O fato acima ocorre simplesmente porque o usuário não tem conhecimento de que pode facilmente obter um produto similar com “custo zero”. Um produto livre, de qualidade senão igual, pelo menos próxima do pago. O desconhecimento, como vemos, acaba gerando prejuízos a ambas as partes: o usuário, que acaba praticando pirataria, a empresa desenvolvedora da suíte de escritórios proprietária (sim, vivemos em um mundo capitalista, todos têm que ganhar dinheiro, só estou defendendo aqui a liberdade de escolha e a continuidade sob diversos aspectos) e a comunidade do software livre, que acaba perdendo um usuário e potencial divulgador de ótimas soluções (e quem sabe até, um possível colaborador).

Agora, será que existem culpados nesta situação? Se sim, quem são eles? O usuário, que poderia ter pesquisado melhor (mas será que mesmo pesquisando ele iria optar pela alternativa livre?)? A comunidade de software livre, que poderia ter pensado em melhores e mais efetivas maneiras de divulgar seu trabalho? Talvez sim, talvez não, mas uma coisa é certa: nem sempre o que é livre e/ou gratuito gera interesse.

Basta olharmos para aquele projeto do governo chamado “computador para todos“. Não conheço nenhum caso onde a distribuição linux contida no computador tenha sido mantida. Simplesmente, o pessoal acha mais fácil ir até o técnico(?) mais próximo, mandar formatar a máquina e instalar o tal sistema das janelas (mas com a licença de uso “alternativa”, é claro). Por que isto ocorre? Acredito que por simples porém efetivas razões: comodismo e costume. O usuário teve seu primeiro contato com computadores através de uma máquina que rodava windows. A primeira suíte para escritórios que usou foi o MS Office. Conheceu a internet através do Internet Explorer (embutido no próprio windows). E, resumindo, não quer mudar, não quer quebrar este ciclo, simplesmente por já estar acostumado.

O que pode ser feito para mudar tal quadro? Talvez as medidas anti-pirataria promovidas pelas grandes empresas da área sejam uma parte da resposta, pois na medida em que cada vez mais dificultam o uso de suas soluções de forma “alternativa”, acabam conscientizando (vamos sonhar ) o usuário, e forçando-o a procurar alternativas livres e/ou gratuitas. A maior disponibilidade de acesso à informação também é um fator positivo, e a tão falada inclusão digital, talvez, também ajude. Talvez o fato de mais pessoas terem acesso à internet faça também com que mais pessoas, um dia ou outro, acabem “topando” com sites, comunidades e/ou listas de discussão a respeito de software livre, e aí, pode ser que uma pequena semente seja plantada, e esta um dia com certeza irá germinar, crescer e gerar mais frutos (ou sou muito otimista neste ponto?).

Enfim, toda mudança drástica como a que estamos discutindo aqui requer a quebra de paradigmas. Algo muitas vezes traumático, mas uma vez iniciado, pelo menos no tocante à tecnologia da informação, é como uma bola de neve, só tende a crescer.

A solução: conhecimento e uso de formatos e soluções abertas

Os três conceitos acima apresentados, “conhecimento”, “formatos abertos” e “soluções abertas”, estão interligados, são interdependentes, e dependem um pouco também do fator “interesse”, ou “curiosidade”. Acredito que o mundo nos dias de hoje está estagnado em alguns aspectos. Não temos mais a curiosidade de nossos antepassados, pois quando nos lembramos de que passamos milhares de anos utilizando animais como meio principal de transporte e como “geradores de energia” para diversas aplicações no dia a dia, e depois em apenas alguns poucos séculos passamos da “força animal” como propulsora a “motores”, “circuitos” e similares, somos obrigados a crer que uma certa inércia toma conta (ou faz parte?) de todos nós em alguns momentos de nossa história/vida.

Atualmente, por exemplo, está tudo aí, à mão. A tecnologia ao mesmo tempo em que gera facilidade, também gera inércia em alguns (ou muitos), e isto faz da “procura” e do “desejo de mudança”, conceitos meio que esquecidos.

É mais fácil utilizar o que já está pronto do que criar. É mais fácil utilizar o controle remoto do que levantar-se da poltrona e ir até o televisor mudar o canal ou reduzir o volume. É mais fácil tirar o carro da garagem para ir até a padaria que fica ali na esquina do que ir andando e fazer um enorme bem a si próprio. É mais fácil “engolir” algo que vem pré-instalado em seu novo computador, e aceitar as limitações que isto irá lhe impor (alguém lembrou do Windows Starter Edition aí? pois é, conheço gente que usa “isso” há muitos meses), do que efetuar uma busca no google e facilmente encontrar uma solução diferente e que não irá lhe limitar em nada, muito pelo contrário. É mais fácil aceitar ou “engolir”, do que recusar e ir à busca.

Isto acaba gerando um enorme prejuízo, tanto intelectual quanto monetário, a todos: desenvolvedores (seja de software livre ou proprietário), usuários e empresas. O usuário, como “parte final” do processo, acaba perdendo ainda mais, pois corre riscos quando pratica pirataria ou quando instala algo de procedência duvidosa em seu computador e acaba ganhando de brinde alguns “malwares”, que podem tanto infectar apenas sua máquina quanto se propagarem e causarem danos a outros (basta vermos as recentes estatísticas a respeito dos botnets e as enormes redes de “computadores zumbis”).

Podemos mudar isto? Sim, claro. O tempo é um dos melhores remédios, e com o tempo (de novo?) todos iremos perceber as implicações a curto, médio e longo prazo de tudo aquilo que estamos praticando, seja para o bem ou para o mal. E isto vale não só para o lado tecnológico da coisa (viajando um pouco aqui ).

O óbvio por trás de tudo

Resumindo, o que gostaria de dizer é que os padrões abertos são melhores não só devido à filosofia por trás de tudo, não só pela boa vontade que permeia muitas das comunidades de software livre espalhadas pelo mundo, não só pela bondade, não só pela gratuidade, não só pela liberdade, mas também pela “continuidade”.

Eu jamais quero passar pela situação de não poder abrir um documento primordial, durante uma reunião de negócios, simplesmente por não ter em meu notebook o único software proprietário que abre tal documento, e que está licenciado “apenas” para os desktops de minha empresa.

Eu jamais quero passar pela situação terrífica de não poder mais abrir o mesmo documento primordial em minha própria empresa devido ao fato de ter formatado os computadores onde a solução necessária estava instalada, não possuir mais os cds de instalação (que relapso sou eu ) e a empresa desenvolvedora já ter ido, literalmente, para o “beleléu“, sem sequer ter aberto o código de suas soluções e formatos.

Resumindo, e falando por mim: jamais vou ficar preso a algo. Se o OpenOffice desaparecer (o que duvido), temos aí o Lotus Symphony, que abre, edita e salva arquivos no padrão ODF. Se também este desaparecer (o que também duvido), existe também o KOffice, que trabalha da mesma maneira no tocante ao formato dos arquivos. Se este também desaparecer (duvido novamente), sei que devem existir outras soluções similares, e sei também que existem maneiras de se abrir documentos ODF “manualmente”, e obter-se acesso a todo o conteúdo do mesmo. Um processo meio complicado no início, mas é melhor do que perder anos e anos de trabalho duro. Ou seja, continuidade é primordial, e não pode ser obtida para sempre quando o padrão é fechado.

Por isso, pense bem quando for criar e salvar seu próximo documento. Procure manter seu trabalho livre de quaisquer grilhões, e jamais hesite em mudar, para melhor. Resolvi não comentar a respeito do OpenXML da Microsoft neste artigo por diversas razões, dentre elas o fato de que nem a “Microsoft se entendeu com ele ainda”, muitos países já disseram “não” ao formato, o formato não é totalmente aberto apesar do “Open” contido no nome (ou seja, seria uma “liberdade assistida?” ), e sua implementação e utilização é complicadíssima (vale ressaltar que gente do mais alto gabarito encontrou dificuldades em entender as milhares de páginas que compõem a documentação do formato).

Prefiro comentar, elogiar e incentivar o uso de soluções que utilizam o ODF como formato de arquivos padrão, bem como o próprio padrão em si, este sim realmente livre e funcional. O ODF (e quaisquer outros padrões abertos) veio para ficar, e o tempo irá comprovar tal fato. A continuidade é uma necessidade, e tal necessidade só pode ser garantida quando se fala em formato de arquivos, se o formato for aberto.

Posso estar sendo repetitivo neste ponto, mas sugiro mais uma vez: converta seus arquivos para ODF. O próprio OpenOffice faz isso, de forma simples e rápida (doc para odt, por exemplo). Não tenha “sócios” no tocante à armazenagem de seus dados. Tenha total certeza de que irá conseguir abrir um documento criado hoje daqui a 5 ou 10 anos, independentemente da ferramenta que irá utilizar naquele momento. Muitos governos e grandes empresas já pensam desta forma, então, por que não aplicarmos esta maneira de pensar também às nossas vidas?

Pense “livremente“. “Abra” sua mente. Daqui a 10 anos poderemos estar lamentando ou comemorando as decisões tomadas hoje. Pense nisso.

Informações adicionais:

Site oficial da OASIS (em inglês):

http://www.oasis-open.org/

Site oficial da ODF Alliance (em inglês):

http://www.odfalliance.com/

Site oficial da ODF Alliance no Brasil:

http://br.odfalliance.org/

Site oficial do OpenOffice (em inglês):

http://www.openoffice.org/

Site oficial do projeto BrOffice.org (em português):

http://broffice.org/

Site oficial da suíte “Lotus Symphony” (em inglês):

http://symphony.lotus.com/software/lotus/symphony/home.jspa

Site oficial do projeto KOffice (em inglês):

http://www.koffice.org

Eu não poderia deixar de falar neste blog, como usuário que sou das soluções de tal empresa, sobre o Comodo Group, uma das maiores empresas do mundo na área de certificados digitais e produtos relacionados, que oferece, além de tais serviços, uma ampla gama de soluções voltadas à segurança totalmente gratuitas, tanto para uso pessoal quanto para uso comercial.

A empresa oferece gratuitamente soluções como firewall, anti-vírus, anti-spyware, gerenciador de backups e software anti-spam, todas de excelente qualidade e ainda por cima prestando um ótimo suporte técnico também gratuito, através de seu fórum de suporte, ou até mesmo de seu sistema de tickets (apenas para os casos mais complicados, a preferência é pelo uso do fórum). Todas as soluções são excelentes e muito bem acabadas, possuindo um visual super moderno e prático, e vale ressaltar que algumas delas, como o Comodo Firewall Pro, por exemplo, ganharam diversos prêmios e obtiveram resultados excelentes em diversas baterias de testes realizadas por empresas renomadas.

Podemos citar aqui o review feito pelo Download.com, onde o Comodo Firewall Pro Versão 3 recebeu 5 estrelas, e os testes realizados pelo Matousec.com, onde o Comodo Firewall ainda em sua versão 2.x obteve resultado “Excelente”, tendo ficado em terceiro lugar, resultado este superior a diversas outras soluções “pagas” e renomadas.

Muitos podem perguntar o porquê de tão excelentes soluções serem oferecidas de forma totalmente gratuita, e é aqui que a filosofia da empresa é “matadora” (no bom sentido), em minha opinião. Eles simplesmente decidiram que uma das melhores maneiras de firmar sua marca no mercado como uma das maiores empresas do mundo na área de certificados digitais seria oferecendo soluções de segurança gratuitas, associando assim sua marca à segurança que suas soluções oferecem. Simples, não? Mas ao mesmo tempo de uma força e criatividade estupendas, pois aumenta a credibilidade da empresa na área de segurança e certificação digital, beneficiando em contrapartida usuários e clientes.

O que eles pretendem, na verdade, é fazer com que os usuários de suas soluções de segurança gratuitas tenham total segurança e confiabilidade ao navegar na internet e realizar operações tais como “compras online”, “internet banking”, etc, e aí entra a questão dos certificados digitais vendidos por eles, utilizados por uma enorme quantidade de empresas (segundo levantamento da própria Cômodo, a empresa é a segunda no ranking mundial de fornecedores de certificação digital). A Comodo, assim, reforça sua marca e tem sua confiabilidade aumentada devido à qualidade e ao poder das soluções de segurança que oferece.

Ou seja, na verdade é uma “troca”, onde saem ganhando os três lados envolvidos:

• Os usuários das soluções de segurança gratuitas (seja com fins comerciais ou pessoais) se sentem mais seguros ao realizar operações online, e assim vão realizar mais compras online, por exemplo.
• Em contrapartida, e diretamente ligado ao ponto exposto acima, está o fato de que as empresas que adquirirem os certificados digitais da Comodo vão vender mais, com internautas se sentindo cada vez mais “protegidos” devido à utilização das soluções Comodo.
• E, como não poderia deixar de acontecer, a própria Comodo sai beneficiada, com sua marca cada vez mais forte no mercado, e vendendo cada vez mais. Interessante, não?

As palavras do próprio Melih Abdulhayoglu, presidente e CEO do Comodo Group, são bem esclarecedoras a este respeito:

“…why not give everyone a desktop security products for free! If we are able to write good software and give such valuable software for free, our name will be known in the market place, we will build our Comodo brand and this brand will be associated with security. And this will help us sell more Digital Certificates…”

Ou em uma tradução livre:

“… por que não oferecer a todos produtos de segurança para desktop gratuitos! Se nós somos capazes de desenvolver bons programas e oferecer tais valiosos programas de forma gratuita, nosso nome será conhecido no mercado, nós iremos construir nossa marca “Comodo” e esta marca será associada à segurança. E isto irá nos ajudar a vender mais Certificados Digitais…”

A “explanação” completa do CEO da Comodo a este respeito pode ser encontrada neste link, no fórum de suporte da empresa.

É claro que fica bem evidente que não se trata apenas de “bondade” (nem tampouco a Comodo deseja passar esta imagem); aliás, vale ressaltar que todo o staff da Comodo é super paciente e atencioso para com as dúvidas de todos os usuários, seja no fórum de suporte ou no helpdesk. Existe um “interesse” por trás de tudo isto, mas o genial aqui é que este interesse provoca resultados benéficos e “bi-direcionais”. Todos saem ganhando. Ganha a Comodo que vende mais, ganham os usuários que podem utilizar excelentes soluções de segurança de forma totalmente gratuita, e ganham os clientes e parceiros da Comodo, que também podem vir a vender mais. Seria ótimo se mais empresas pensassem desta forma, não?

Vale destacar que não se trata de softwares de código aberto: as soluções Comodo possuem o código fechado. É interessante lembrar-se sempre que se trata de uma “empresa”, com amplos e explícitos interesses comerciais. Mas é uma das poucas, senão a única, empresa do ramo a trabalhar de maneira tão criativa, profissional e, além de tudo, inédita.

Pretendo falar muito ainda a respeito da Comodo e suas soluções por aqui. Pretendo escrever alguns tutoriais a respeito das diversas soluções oferecidas pela empresa, tanto a respeito da versão 3 do Comodo Firewall Pro, cujo lançamento oficial aconteceu em 27/11/2007 (estou utilizando o danado, e ele realmente é excelente, possuindo inclusive um sistema de HIPS integrado), quanto das outras soluções da empresa, como por exemplo o CAVS (Comodo Anti-Viruspyware), cuja versão 3 está sendo ansiosamente aguardada para muito em breve, e promete diversas melhorias e novidades, como a junção com o Comodo Anti-malware (BOClean).

Não deixem de, neste meio tempo, visitarem o site da Comodo, e conheçam um pouco mais sobre a empresa e suas ótimas soluções! Realmente, vale a pena!

Informações adicionais

Página oficial:

http://www.comodo.com

Fórum de suporte:

http://forums.comodo.com

O problema

Confesso que sempre tive interesse por segurança da informação, mas curiosamente a utilização de uma senha diferente para cada “item” onde isto era necessário não fazia parte das minhas políticas de segurança há até algum tempo atrás: eu utilizava uma única senha “forte” (como forte leia-se apenas uma senha com 12 caracteres utilizando letras, números e alguns caracteres especiais) para todos os serviços, sites, servidores, softwares e o que quer que necessitasse de uma senha para acesso. Isto sempre me incomodou, e não sei bem ao certo o motivo de ter postergado por tanto tempo uma mudança neste modo (errado) de trabalho.

Entretanto, com o passar do tempo, comecei a sentir que este modo de trabalho era muito arriscado, pois se por algum motivo esta “senha única” fosse descoberta, muitas informações confidenciais, pessoais e coisas do tipo iriam literalmente pro “beleléu“. E aqui pode-se considerar como agravante não somente a descoberta das tais senhas por outras pessoas pelos meios mais óbvios, mas também a imensa quantidade de malwares existentes e operantes a pleno vapor, muitos deles com o único e exclusivo objetivo de capturar dados de acesso e lesar os incautos.

Devido a isto, resolvi diversificar um pouco a coisa toda, e passei a criar mais algumas senhas, trocando as de alguns serviços, utilizando senhas diferentes em novos serviços/sites, etc. Mas aí, um novo problema surgiu: onde e como armazenar com segurança todas estas senhas e dados importantes?

Minha cabeça já não estava mais dando conta de lembrar de tantos números, letras, asteriscos, underlines e sinais de adição e subtração, e guardar tudo isto em simples arquivos *.DOC ou *.XLS, mesmo que protegidos por senha, seria super arriscado, pois é fato comprovado que qualquer pessoa com um pouco de paciência e utilizando as ferramentas certas consegue quebrar as senhas de tais arquivos em questão de minutos (ou segundos, dependendo do caso); arquivos txt, então, nem se fala.

A solução

Foi então que descobri o Keepass, um gerenciador de senhas opensource, que trás consigo inúmeras vantagens, incluindo o óbvio de que qualquer um pode efetuar o download do código fonte, dar uma olhada nos algorítimos de criptografia implementados, e muito mais .

Mas aí você pode pensar:

“- Epa, um gerenciador de senhas com código aberto? É seguro?”

E é o próprio Dominik Reich, desenvolvedor do software, quem diz:

“- Em minha opinião, todo software que tem algo a ver com segurança deve ser de código aberto.”

E ele ainda complementa, citando uma frase do Bruce Schneier, um dos maiores experts mundiais em criptografia e assuntos relacionados a segurança :

“- As a cryptography and computer security expert, I have never understood the current fuss about the open source software movement. In the cryptography world, we consider open source necessary for good security; we have for decades. Public security is always more secure than proprietary security. It’s true for cryptographic algorithms, security protocols, and security source code. For us, open source isn’t just a business model; it’s smart engineering practice.”

Ou em uma tradução livre:

“- Como um especialista em criptografia e segurança da computação, eu nunca entendi o atual rebuliço a respeito do movimento de software de fonte aberto. No mundo da criptografia, nós consideramos o fonte aberto necessário para uma boa segurança; temos durante décadas. Segurança pública é sempre mais segura que segurança proprietária. Isto é verdadeiro para algorítimos criptográficos, protocolos de segurança e código fonte de segurança. Para nós, o fonte aberto não é somente um modelo de negócio; ele é uma considerável/talentosa/inteligente prática de engenharia.”

Com a citação acima do Bruce Schneier, o Dominik deixa bem claro o porquê do Keepass estar licenciado da forma que está, e acredito que este seja um motivo a mais para se utilizar a ferramenta, pois diferentemente de outras soluções proprietárias/fechadas, como o Roboform, por exemplo, pode-se guardar quaisquer informações confidenciais e importantes sem estar-se preso ao pagamento de licenças de uso, expiração de licenças, risco do software ser abandonado e, por ser fechado não se ter acesso ao fonte do mesmo para poder, por exemplo, continuar o desenvolvimento, corrigir bugs, recuperar dados, etc.

Nada disto ocorre com o Keepass, pelos motivos já expostos acima, e o software realmente cumpre o que promete, excedendo em muito minhas expectativas, tanto por sua leveza quanto pela facilidade de uso e grande quantidade de recursos disponíveis, incluindo tradução disponível para diversos idiomas, entre eles o português do Brasil. Isto sem contar o fato de que você só precisa de uma única senha (chave-mestra) para ter acesso a todos os dados e senhas armazenados no mesmo.

Ou seja, você pode a partir de agora ter uma senha diferente para cada site/fórum em que participa, uma senha diferente para cada servidor que possui, uma senha diferente para cada conta de e-mail que possui, etc, aumentando assim sua segurança e diminuindo o risco de que algum destes serviços seja invadido: muito mais fácil, prático e seguro, não é?

Se você desejar aumentar ainda mais a segurança, pode escolher trabalhar com a chave-mestra em conjunto com um “key file” (que pode ser armazenado em qualquer local, inclusive em um pendrive), e desta forma será sempre necessário o conjunto “digitação da chave-mestra” + presença/localização do key file” para se ter acesso aos dados armazenados.

É claro, você deve sempre tomar o máximo cuidado para jamais esquecer a senha principal/chave mestra (ou perder o key file, caso o utilize), pois se isto acontecer, seus dados também irão para o beleléu, como citado no segundo parágrafo deste artigo, e aí a extrema segurança da solução deixará de ser um benefício, e se transformará em um tormento.

Lembre-se de que o Keepass armazenará seus dados em uma base de dados extremamente segura e à prova de “quebras”, (e você pode criar várias) utilizando criptografia AES de 256 bits como padrão, a mais segura disponível atualmente e “praticamente” (sendo aqui um pouco otimista para não desanimá-lo caso você perca sua chave-mestra ) inquebrável. Por isso, lembro mais uma vez: memorize e jamais esqueça sua chave-mestra (e não perca seu key-file, caso o utilize).

OBS: particularmente, utilizo somente a chave-mestra, e acredito que esteja de bom tamanho para minhas necessidades.

Vale ressaltar, entretanto, que nada disto tem sentido se você não mantiver um backup de sua base de dados do Keepass (arquivo com extensão *.KDB) em local seguro. Se perder definitivamente tal arquivo, perdeu todos os dados armazenados.

Características

O Keepass é um software extremamente amigável e fácil de ser utilizado. Gostaria de ressaltar que neste artigo tenho a intenção de dar uma “geral” no Keepass, apresentando suas características e recursos mais marcantes. Em breve postarei um tutorial detalhando o mesmo em todos os seus aspectos, desde a instalação até todas as suas funcionalidades e opções. Por enquanto, vou listar abaixo alguns dos recursos presentes na atual versão 1.09.

OBS: existe também uma outra versão do Keepass, desenvolvida em paralelo à 1.x: a “2.x“. Esta é uma versão ainda não estável, que requer a instalação do .NET Framework e possui alguns recursos a mais do que a 1.x, mas não falarei dela por enquanto.

Mesmo porque, o próprio Dominik Reich recomenda por enquanto a utilização da versão 1.x, e afirma que esta continuará sendo suportada indefinidamente, com a consequente adição de novos recursos, juntamente com a versão 2.x.

A versão 1.x tem me atendido extremamente bem, e possui recursos mais do que suficientes para armazenar e gerenciar seus dados confidenciais e senhas, portanto, vamos à lista com alguns dos recursos:

• Criptografia AES (Advanced Encryption Standard) de 256 bits
• Uma única senha para acessar todas as suas demais senhas, usuários e dados de qualquer tipo
• Possui versão “portátil”, para você carregar em seu pendrive
• Cópia da senha e/ou usuário para a área de transferência do windows, para “colagem” em qualquer campo, sendo que o próprio software apaga a senha da área de transferência após o tempo de expiração que você configurou previamente. Segurança elevada ao cubo, não?
• Proteção adicional e reforçada contra keyloggers
• Criação de “grupos” e “sub-grupos”, com possibilidade de visualização em árvore
• Possibilidade de definição de data e horário para a expiração de uma entrada qualquer
• Gerador de senhas customizável
• Gerador de senhas TAN (que só podem ser utilizadas uma única vez)
• Exportação dos dados para vários formatos diferentes, entre eles XML, HTML e TXT
• Pode ser minimizado para o system tray, facilitando o acesso aos dados, e ainda assim mantendo as senhas e usuários protegidos
• Possibilidade de anexar (e assim proteger) arquivos dos mais variados tipos a uma entrada qualquer
• Abertura de URL’s no navegador a partir de uma entrada qualquer, seguida da inserção automática do “usuário” e da “senha” (caso necessário e solicitado) de forma totalmente segura: ou seja, você escolhe uma entrada e “pede” para que o Keepass abra a url da mesma no navegador e em seguida efetue o login para você, sem que você tenha que digitar informação alguma, ou até mesmo copiar manualmente dados para a área de transferência (o usuário e a senha são automaticamente apagados da área de transferência após o uso). Quer mais comodidade do que isto?
• Travamento opcional do software quando minimizado para o system tray: assim, ninguém terá acesso às suas senhas quando você se ausentar do computador, pois será solicitada novamente a chave-mestra para a reabertura do software.
• Inúmeros plugins disponíveis no site oficial, como por exemplo plugins para backup automático da base de dados, verificação automática de updates, etc.
• Tradução para diversos idiomas, entre eles o português do Brasil
• O melhor de tudo: código aberto, pode ser distribuído livremente e você não paga nada por isso!

Informações adicionais

Para download, utilize o link abaixo:

http://keepass.info/download.html

Para download dos pacotes de tradução, utilize o link abaixo:

http://keepass.info/translations.html

Página oficial:

http://keepass.info

Em breve postarei um tutorial sobre o Keepass. Aguarde!