Segurança no Linux e no Windows atualizado - Terceira Parte

Introdução

A questão da segurança tem se tornado cada vez mais importante à medida que a Internet torna-se um ambiente cada vez mais hostil e as ferramentas para capturar tráfego, quebrar sistemas de encriptação, capturar senhas e explorar vulnerabilidades diversas tornam-se cada vez mais sofisticadas. Você poderia perguntar porque alguém teria interesse em invadir máquinas de usuários domésticos, que não possuem arquivos valiosos, ou mesmo estações de trabalho que são usadas apenas para editar textos e enviar e-mails. A questão principal não é o que está armazenado do HD, mas sim a banda e o poder de processamento das máquinas.

Ter vários PCs sob seu controle, principalmente se eles possuírem conexões de alta velocidade, significa poder. É possível usá-los para alimentar redes P2P como o Kazaa e outros, fundar uma rede de distribuição de warez ou moviez, usá-los como servidores complementares para um site pornô, enviar spam, usá-los para rodar portscans e lançar ataques contra outras máquinas ou até mesmo usá-los em um ataque coordenado para tirar um grande portal do ar.

A questão da segurança tem se tornado cada vez mais importante à medida que a Internet torna-se um ambiente cada vez mais hostil e as ferramentas para capturar tráfego, quebrar sistemas de encriptação, capturar senhas e explorar vulnerabilidades diversas tornam-se cada vez mais sofisticadas.

Outra questão importante é que usamos cada vez mais tecnologias diferentes de acesso e transmissão de dados, o que torna manter sua rede segura uma tarefa mais complicada. Por exemplo, sua rede pode ser bastante segura contra invasões "diretas", via Internet, graças ao firewall ativo no gateway da rede, mas ser ao mesmo tempo muito fácil de invadir através da rede wireless, caso você utilize o WEP ou simplesmente deixe a rede aberta, sem encriptação.

Ao usar clientes Windows, existe ainda o problema dos vírus, trojans e worms. Os vírus se espalham através de arquivos infectados, páginas que exploram vulnerabilidades no navegador, e-mails e assim por diante, geralmente utilizando alguma técnica de engenharia social que leve o usuário a clicar em um link ou executar um arquivo. Assim como na vida real, os vírus variam muito em termos de potencial nocivo. Existem desde vírus extremamente perigosos, que destroem os dados do HD, subscrevendo os arquivos com dados aleatórios (de forma que seja impossível recuperá-los), algumas vezes até mesmo danificando o BIOS da placa mãe; até vírus relativamente inofensivos, que não fazem muita coisa além de se replicarem por diversos meios, tentando infectar o maior número de PCs possíveis.

Os vírus moderadamente inofensivos são normalmente os que conseguem se espalhar mais rápido e se manter ativos durante mais tempo, já que são os menos notados e os menos combatidos. Com isso, os criadores de vírus lentamente foram mudando de foco, deixando de produzir vírus espetaculares, que apagam todos os dados do HD, para produzirem vírus mais discretos, capazes de se replicarem rapidamente, usando técnicas criativas, como enviar mensagens para a lista de contatos do MSN ou postar mensagens usando seu login em redes sociais. Como resultado disso, os vírus passaram a atingir cada vez mais máquinas, embora com danos menores.

Os trojans são, de certa forma, similares aos vírus, mas o objetivo principal é abrir portas e oferecer alguma forma de acesso remoto à máquina infectada. Eles são quase sempre muito discretos, desenvolvidos com o objetivo de fazer com que o usuário não perceba que sua máquina está infectada. Isso permite que o invasor roube senhas, use a conexão para enviar spam, procure por informações valiosas nos arquivos do HD, ou mesmo use as máquinas sob seu controle para lançar ataques diversos contra outras máquinas, criando uma botnet com os PCs infectados.

Os worms se diferenciam dos vírus e dos trojans pela forma como infectam as máquinas. Em vez de dependerem do usuário para executar o arquivo infectado, os worms se replicam diretamente, explorando vulnerabilidades de segurança nas máquinas da rede. Os mais complexos são capazes de explorar diversas brechas diferentes, de acordo com a situação. Um worm poderia começar invadindo um servidor web com uma versão vulnerável do IIS, infectar outras máquinas da rede local a partir dele, acessando compartilhamentos de rede com permissão de escrita e, a partir delas, se replicar via e-mail, enviando mensagens infectadas para e-mails encontrados no catálogo de endereços; tudo isso sem intervenção humana.

Os worms podem ser bloqueados por um firewall bem configurado, que bloqueie as portas de entrada (e, se possível, também portas de saída, impedindo que ele se espalhe em caso de máquinas já infectadas) usadas por ele. É possível também bloquear parte dos vírus e trojans adicionando restrições com base em extensão de arquivos no servidor proxy, ou adicionando um antivírus como o Clamav no servidor de e-mails, por exemplo, mas a principal linha de defesa acaba sempre sendo o antivírus ativo em cada máquina Windows.

No Linux, as coisas são um pouco mais tranquilas neste ponto. Os vírus são quase que inexistentes e as vulnerabilidades em servidores muito utilizados, como o Apache, SSH, etc. são muito menos comuns. O problema é que todos estes prognósticos favoráveis dão uma falsa sensação de segurança, que acabam levando muitos usuários a assumirem um comportamento de risco, deixando vários serviços ativados, usando senhas fracas ou usando a conta de root no dia-a-dia.

Também é muito comum que os novos usuários fiquem impressionados com os recursos de conectividade disponíveis no Linux e acabem abrindo brechas de segurança ao deixar servidores XDMCP, NFS, Squid, etc. abertos para a Internet. Muitos usuários do Windows sequer sabem que é possível manter um servidor FTP aberto no micro de casa, enquanto muitas distribuições Linux instalam servidores Apache ou SSH por default. Muitos usuários Linux mantém servidores diversos habilitados em suas máquinas, algo muito menos comum no mundo Windows.

No final das contas, a segurança do sistema depende muito mais do comportamento do usuário do que do sistema operacional em si. Um usuário iniciante que use o Windows 7, sem nenhum firewall de terceiros ou qualquer cuidado especial, mas que tenha o cuidado de manter o sistema atualizado e não executar qualquer porcaria que chegue por e-mail provavelmente estará mais seguro do que um usuário Linux sem noções de segurança, que use o sistema como root e mantenha um batalhão de servidores desatualizados ativos na máquina.

Você poderia perguntar porque alguém teria interesse em invadir máquinas de usuários domésticos, que não possuem arquivos valiosos, ou mesmo estações de trabalho que são usadas apenas para editar textos e enviar e-mails. A questão principal não é o que está armazenado do HD, mas sim a banda e o poder de processamento das máquinas.

Ter vários PCs sob seu controle, principalmente se eles possuírem conexões de alta velocidade, significa poder. É possível usá-los para alimentar redes P2P, fundar uma rede de distribuição de arquivos ilegais, usá-los como servidores complementares para um site pornô, enviar spam, usá-los para rodar portscans e lançar ataques contra outras máquinas ou até mesmo usá-los em um ataque coordenado para tirar um grande portal do ar.