O Windows 7 pode ser seguro, mas os usuários do Windows são seguros?

Os usuários do Windows 7 tiveram uma boa surpresa na terça-feira, quando a Microsoft lançou seu primeiro conjunto de patches de segurança desde o lançamento do novo sistema operacional no mês passado. Dos 15 bugs corrigidos, nenhum afetou o Windows 7.

Quando a Microsoft lançou o Windows 7, foi considerado o lançamento mais seguro da empresa - o culminar de um esforço "Trustworthy Computing" de nove anos para reforçar uma linha de produtos

Mas o software testado para o estresse é realmente importante para os clientes da Microsoft, aparentemente cercado por mais ataques online do que nunca? A Microsoft teve anos para melhorar o Windows XP, mas acredita-se que o worm Conficker, que começou a se espalhar no ano passado, tenha infectado mais de 7 milhões de máquinas Windows. E para cada bug do Windows que é esmagado, os hackers parecem encontrar novos problemas no software que é executado no sistema operacional da Microsoft - Flash Player, QuickTime e Java.

"O Windows 7 é definitivamente o sistema mais seguro que eles "Entreguei", disse Dave Aitel, diretor de tecnologia da Immunity, uma empresa de segurança que gasta muito tempo para encontrar os mais recentes bugs de software. "Acho que a pergunta que todo mundo está fazendo agora é: 'Isso é suficiente?'" O homem por trás da iniciativa Computação Confiável da Microsoft, Craig Mundie, diretor de pesquisa e estratégia, diz que a indústria ainda tem trabalho a fazer. "Fizemos um grande progresso em relação à segurança em torno da tecnologia do sistema operacional central no PC com Windows", disse ele em uma entrevista recente. "Mas como fizemos isso e a 'Net se tornou mais prevalente, os bandidos continuaram a evoluir seus ataques."

Este é o enigma da Microsoft. O Windows pode ser mais seguro, mas os criminosos cibernéticos ainda têm muitos outros lugares para atacar. E quando você pode atingir centenas de milhões de usuários com um único ataque, por que mudar o plano de jogo? Portanto, a maioria dos piores ataques de hoje ainda tem como alvo os PCs que executam o Windows, seja o próprio sistema operacional seguro ou não.

Leve o spear-phishing. Os atacantes estão ficando tão bons em enviar essas mensagens de email altamente personalizadas, completas com anexos maliciosos, que a segurança subjacente do Windows é quase irrelevante.

"O problema com os ataques direcionados é que há tanto dinheiro que eles podem realmente superar a segurança ", disse Alan Paller, diretor de pesquisa do Instituto SANS, uma empresa de treinamento em segurança. "A quantidade de dinheiro que os governos e grandes grupos criminosos industriais têm que gastar é suficiente para superar quaisquer das defesas que temos."

Em um relatório divulgado no mês passado para um painel consultivo do Congresso, os analistas da Northrop Grumman detalharam exatamente como isso acontece. Observando os ataques conhecidos, o relatório descobriu que os alvos são cuidadosamente selecionados e, em seguida, enviava e-mails muito confiáveis ​​com anexos codificados maliciosamente que exploram bugs em um produto como o Adobe Reader - algo fora do controle da Microsoft. A vítima abre o arquivo.pdf e, de repente, os invasores têm uma posição segura na rede.

Clientes da Microsoft, como Paul Melson, acreditam que haverá muito mais adoção corporativa do Windows 7 do que o Vista, que foi amplamente ignorado pelos usuários corporativos. Mas enquanto a Microsoft tem sua própria casa em ordem, a segurança ainda é um problema na plataforma Windows, segundo Melson, gerente de segurança da informação da Priority Health.

"Enquanto os patches de terceiros continuarem sendo um desafio, A segurança do cliente continuará na vanguarda da defesa da segurança da informação e da resposta a incidentes ", disse ele por e-mail. "O Windows 7 não reduzirá significativamente os ataques do lado do cliente que levam a compromissos, mas também não acredito que a Microsoft deva arcar com o fardo."

A Microsoft acredita que ele pode ajudar muito a resolver esse tipo de problema. problema melhorando a maneira como as pessoas se identificam na Internet. Nos últimos anos, promoveu uma ideia que chama de confiança "de ponta a ponta", dizendo que quer desenvolver melhores mecanismos de identificação de pessoas, computadores e software na Internet.

A Microsoft deu seu primeiro passo nessa direção com seu software de gerenciamento de identidades Windows CardSpace. Poderia ajudar a dar às pessoas uma melhor noção de com quem estão realmente lidando na Internet, mas ainda não se sabe se o resto da indústria vai aderir a essa visão.

"Esta é a próxima fase na batalha por computação confiável e isso ainda está sendo incrementado ", disse Mundie. "Claramente, há sempre mais a fazer".

(Nancy Gohring, em Seattle, contribuiu para essa história).