Administrador, ser ou não ser?

Eis a questão! Ao instalarmos um Mac pela primeira vez, não nos damos conta que são tomadas algumas decisões, que apesar de deixar o uso do computador mais conveniente, deixam o Mac e suas informações mais vulneráveis. Este artigo é também um tutorial – veremos como modificar a configuração e que corrigir as decisões tomadas pelo assistente de instalação e tornar nosso Mac mais protegido pode ser muito fácil.

Quanto ligamos um novo Mac pela primeira vez ou quando ele é reinstalado, o assistente de instalação (Setup Assistant) entra em ação e nos solicita uma série de informações. O assistente de instalação nos conduz por vários passos necessários para configurar o sistema operacional, como fuso horário e opções regionais, como o formato de data e hora. Ao informarmos nosso nome, o assistente também cria nossa conta de usuário.

Início de Sessão Automático

O usuário criado pelo sistema é uma conta usada para guardar uma série de informações que vão muito além do nosso nome, senha e onde localizar nossos arquivos. Nossa conta possui informações sobre nossas preferências de papel de parede e o Dock, quais arquivos e configurações podemos modificar, se podemos instalar programas de uso geral e se podemos ativar ou desativar certas funcionalidades do sistema.

Mas voltemos ao funcionamento do nosso Mac. Ao ligar o Mac, logo aparece nosso desktop e o Finder e estamos prontos para trabalhar, acessar a Internet e ver nossos emails e sites favoritos. Mas o que muitos usuários não se dão conta é que por trás dos bastidores o Mac OS realizou o que se chama de login automático. O login automático é um processo pelo qual o sistema escolhe um usuário (normalmente o único usuário do sistema) e automaticamente carrega suas preferências, o desktop e o Finder, deixando tudo pronto para usar o computador.

Este recurso é muito prático principalmente no caso de um MacBook que normalmente é usado por apenas uma pessoa, mas o login automático oferece um risco: qualquer um pode ligar seu computador e acessar seus arquivos! Esse pode ser um risco considerável se perdermos ou tivermos o computador roubado e um estranho acessar nas informações pessoais e financeiras.

Mas infelizmente não paramos por aí, existe um outro grande risco gerado pela forma como a conta de usuário é criada pelo assistente de instalação. O primeiro usuário criado é um usuário que pode administrar o sistema, ou seja, é uma conta do tipo “Admin”. Existem três tipos de contas de usuário no Mac OS: Admin, Padrão (ou Standard) e Conta de Convidado (ou Guest). Cada tipo de conta possui uma finalidade e poderes diferentes, possuindo permissões diferentes para alterar as configurações do Mac OS, acessar e alterar os arquivos do sistema.

Conta de Administrador

A conta com os maiores poderes é a conta do tipo Admin. Essa conta pode acessar e alterar qualquer arquivo, pode instalar programas que qualquer usuário poderá usar, pode alterar as configurações de todo o sistema, criar ou alterar qualquer conta de usuário. Enfim, é um tipo de conta de usuário necessária para realizar as configurações e manutenções no Mac OS, instalar novos programas ou removê-los, mas se for mal utilizada, pode causar sérios estragos!

Devido ao grande potencial de estragos, a conta do tipo Admin não é um tipo de conta recomendada para o uso diário. Recomenda-se manter a conta do tipo Admin apenas para as tarefas de configuração e instalação de programas e utilizar uma conta do tipo Padrão para as tarefas do dia-a-dia como editar um blog, usar uma planilha, ver emails, ouvir músicas com o iTunes (menos na iTunes Store Brasil). Mas você pode estar pensando:

  • Esta é mais uma recomendação daquele pessoal chato da área de segurança!
  • Sempre usei meu Mac como Admin e nunca tive problemas! Aliás, nem sabia o que era “Admin”!
  • Isso não faz a menor diferença!

E você tem toda razão em pensar assim, aliás ninguém nunca lhe avisou desses riscos, certo? Errado! Tanto Microsoft quanto Apple (e isso representa 99% dos sistemas operacionais para PCs) possuem recomendações semelhantes, embora o assistente de instalação de ambas criem contas do tipo Admin. A Microsoft está exibindo uma mensagem sobre a importância da conta do tipo Padrão quando configuramos o tipo de conta.

Escolhendo o tipo de conta no Windows 7
Escolhendo o tipo de conta no Windows 7
Ajuda sobre os tipos de contas no Windows 7
Ajuda sobre os tipos de contas no Windows 7

A Apple também possui uma recomendação para se usar contas do tipo padrão, mas apenas localizei  em documentos mais técnicos como podemos ver em: “An Introduction to Mac OS X Security for Web Developers” na seção “Administrative Accounts” e em Mac OS X Security Configuration Guide, pg.32 e pg 61 a 62.

Possíveis Problemas

Não está convencido? Não percebeu ainda o potencial de estrago? Imagine o seguinte cenário, relativamente inocente: vocês está usando seu Mac quando precisa levantar. Alguma criança, como seu filho pequeno, se aproxima e começa a explorar o sistema, abrindo arquivos, digitando, movendo arquivos para a lixeira… Quando você chega, o que seu filho inocentemente responde? “Estou trabalhando!” Depois de ficar emocionado com a inocência, você descobre que ele modificou partes vitais do sistema, até mesmo apagou arquivos importantes e componentes de alguns programas. Existe agora uma grande chance do seu Mac não funcionar direito ou mesmo nem ligar.

É verdade que o cenário acima pode ser um pouco improvável, então vamos ao próximo cenário? Você está navegando na Internet, sem nenhuma preocupação – já que o Mac é um sistema muito seguro. Um spam chega em sua caixa postal e você, curioso, clica em um dos links. Esse link o leva para um site aparentemente inofensivo sobre “medicamentos masculinos”.

Códigos Maliciosos

O que você não percebe é que este site está hospedando um código malicioso – um programa escrito por hackers, que se aproveita de falhas no navegador para instalar um componente que registrará os números de contas e senhas de banco. Acha isso improvável? Então leia o artigo da Apple HT4070 e preste atenção nos termos “envio de dados da memória do Safari para esse site” e “execução arbitrária de códigos”. O primeiro termo significa que tudo o que está na memória utilizada pelo Safari, incluindo informações digitadas nos formulários dos sites, poderão ser enviadas para terceiros; o segundo termo, significa que um terceiro poderá executar um comando ou um programa em seu computador, sem que você saiba ou perceba!

Agora uma pequena pausa para explicar a arquitetura de sistemas operacionais. Salvo algumas raras circunstâncias, quando um programa é executado por você, ele herda as permissões do usuário ativo, ou seja, quando você abre o Finder, Mail ou iPhoto, eles vão herdar as permissões da sua conta de usuário e poderão acessar (e alterar) todos os arquivos que você normalmente poderia. Se você é o administrador, o todo-poderoso, eles poderiam acessar qualquer coisa no seu computador.

O mesmo vale para os códigos maliciosos: se um código malicioso é executado pelo navegador, que herdou as permissões de Admin do usuário, o código malicioso também herda essas permissões e passa a ter acesso irrestrito a todo o computador! Dessa forma o código malicioso pode infiltrar-se no seu computador, roubar informações pessoais e ainda transformar seu computador em um bot, uma espécie de zumbi, que obedece as ordens de uma rede de criminosos. Tudo isso sem você perceber!

Acha pouco provável um código malicioso entrar em seu computador através de um site que você visitou? Pois saiba que 92% das ameaças, como vírus, trojans, worms e phishing vêm através da Internet, apenas 8% chegam ao computador através de pendrives e outras mídias removíveis. Das ameaças que chegam através da Internet, 42% chegam através de websites infectados, download de software infectado: 34%; email: 9% e outros através da Internet 7% (fonte: Trend Micro).

Um pouco mais convencido agora? Mas você deve estar ainda pensando – mas vou ter que fazer o logout e o login como administrador toda vez que mudar uma simples configuração ou instalar um programa? Não. Apenas configurações que afetam todo o sistema, configurações de segurança e instalação de programas é que precisam das credenciais do tipo Admin; e para facilitar ainda mais, toda a vez que um usuário Padrão tenta realizar esse tipo de operação, o Mac OS lhe dá a oportunidade de digitar o nome da conta de administração e respectiva senha, ou seja, não precisa nem fazer o logout. Apenas algumas raras instalações de programas precisam ser feitas inteiramente por um usuário logado como administrador.

Passo-a-passo

O que fazer agora? Como fazer? Seus problemas acabaram! Pois criar uma nova conta do tipo Admin e alterar a conta atual é um procedimento muito simples e podemos seguir o seguinte passo-a-passo.

  1. Em Preferências do Sistema, clique em Contas;

    Preferências do Sistema - Mac OS X
    Preferências do Sistema - Mac OS X
  2. Crie uma nova conta clicando no sinal de “+” logo acima do cadeado no canto inferior esquerdo (se o cadeado estiver fechado, clique no cadeado e entre com a sua senha para destravar o cadeado e permitir alterações de configuração). Essa conta será usada apenas para as tarefas de administração. Crie a conta conforme a tela abaixo e clique em “Criar Conta”;

    Criando a conta do administrador
    Criando a conta do administrador
  3. Ainda na janela de Contas, clique em “Opç In. de Sessão” e mude a opção de “Início de sessão automático” para “Desativado”;

    Opções de início de sessão
    Opções de início de sessão
  4. Faça o logout (“Finalizar Sessão”) da conta atual e faça o login com a nova conta do tipo Admin.
  5. Volte em Contas, dentro de Preferências do Sistema e desmarque a opção “Permitir ao usuário administrar este computador” de sua conta original.
  6. Faça o logout e entre com sua conta original, que agora é uma conta do tipo Padrão. Se você voltar em “Contas” dentro “Preferências do Sistema”, poderá ver que sua conta agora não é mais um administrador.

    Conta padrão do Mac OS X
    Conta padrão do Mac OS X

Pronto, agora você tem um Mac mais seguro! Fácil, não? Com esses procedimentos resolvemos duas questões: o login automático foi desligado, criamos uma conta do tipo Admin exclusivamente para administração e modificamos nossa conta para o tipo Padrão.

Com um usuário Padrão, dificilmente você ou alguém conseguirá “acidentalmente” fazer uma modificação desastrosa no sistema. Com um usuário padrão, os códigos maliciosos estarão muito limitados no sistema, não conseguirão alterar configurações importantes de segurança nem se instalar de forma secreta dentro do Mac OS.

Conclusão

É verdade que o Mac OS X possui uma série de recursos avançados de proteção contra códigos maliciosos e outras ameaças, mas estaremos levantando barreiras muito importantes se conseguimos previnir que eles entrem em seu computador e se caso consigam entrar, que encontrem sua capacidade de destruição limitada.

O mais importante é que aprendemos os riscos que o login automático oferece: como o acesso direto ao seu computador;  e como o uso cotidiano de contas do tipo Admin pode ser perigoso, pois poderíamos facilmente modificar qualquer parte do sistema ou ainda entregar de bandeja o computador e todas as informações para ameaças vindas da Internet. Seguir um procedimento simples e fácil para desligar o login automático e melhor configurar as contas de usuários do Mac OS X pode tornar o seu Mac muito mais protegido.

2 Replies to “Administrador, ser ou não ser?”

  1. Pingback: Ricardo Martins

Leave a Reply

Your email address will not be published. Required fields are marked *