O Windows pode ser omnipresente, mas há uma grande variedade de sistemas operativos alternativos de uso empresarial e doméstico. No entanto, as alternativas não estão tão livres de risco como algumas pessoas possam pensar.

Logo que um novo Trojan é descoberto, haverá uma avalanche de comentários nas publicações online do estilo "Isso nunca teria acontecido com o Linux!" Mas pelo menos 99% das vezes tal não é verdade. De facto, a maioria dos programas maliciosos identificados até hoje (bem mais de 2 milhões) tem como alvo o Windows. O Linux, por outro lado, com apenas 1898 programas maliciosos, parece ser relativamente seguro. E apenas  foram identificados 48 programas maliciosos para o OS X da Apple.

De facto, o fenómeno do malware nasceu bem antes da Microsoft. No início da década de 1970 o vírus creeper revelava-se bastante à frente do seu tempo infectando o sistema operativo  TENEX da DEC através da ARPANET – a precursora da Internet actual.

Mas o Microsoft Windows tornou-se actualmente o padrão para o malware, devido à sua elevada quota de mercado. Para além disso, houve também uma diferenciação no tipo de malware para cada tipo de ambiente. Dois mundos distintos foram estabelecidos – Windows e não-Windows.

No caso do malware para Windows, o objectivo na maioria dos casos é tomar conta de um computador e usá-lo para realizar ataques DDoS, mandar spam e, sempre que possível utilizar um componente worm para controlar o maior número possível de outros computadores. Mesmo que seja claro para o utilizador que a sua máquina esteja infectada, tal não constitui uma catástrofe para os cibercriminosos – os botnets são muito grandes (por exemplo, é estimado que vários milhões de máquinas zombie compõem o botnet Kido / Conficker), pelo que a perda de um não é realmente um problema.

No caso de ataques a sistemas do tipo Unix, o objectivo é passar despercebido, a fim de obter informações do cartão de crédito a partir de lojas on-line, ou as passwords de utilizadores individuais. Na maior parte dos casos, os ataques não são realizados com recurso a Trojans, exploram antes brechas de segurança nos serviços de servidor.

Actualmente tornou-se claro que a tarefa de proteger uma rede é um desafio árduo. A maior parte de todas as implementações do lado do cliente são constituídos por computadores Windows - no entanto, as estações de trabalho Linux, BSD e Mac OS X também precisam de ser protegidas, pois estão cada vez mais vulneráveis a ataques. Dispositivos, como CD-ROMs e DVDs, pendrives USB e discos rígidos externos representam um vector ataque importante. Mas não é o único. Para além das estações de trabalho e laptops, verifica-se uma generalização do uso de um número crescente de smartphones e PDAs, que obviamente também têm de ser protegidos. Nas configurações padrão de rede, o vector ataque é claro: a Internet.

Novos amigos para OS X
Até Outubro de 2007, a paisagem do malware para o Mac OS X da Apple tinha sido bastante árida: dois exploits, quatro worms, um vírus e um rootkit. Estes foram todos essencialmente provas de conceito, sem qualquer retorno financeiro aparente para o atacante. No entanto, este cenário mudou com o surgimento do primeiro Trojan para o Mac OS X: o OSX.RSPluga.A. Na verdade, não há grande interesse em enviar Trojans para sistemas não-Windows através de spam. E os criadores deste programa malicioso aparentemente pensaram o mesmo, escolhendo anunciar pretensos sites porno em fóruns de utilizadores de Mac. No entanto, qualquer pessoa que clicasse num dos vídeos recebia uma mensagem indicando que faltava um codec. O utilizador também ofereceu naturalmente a opção de descarregar o codec. Os utilizadores tiveram de inserir a sua password na conta de administrador para instalar o "codec", e alguns utilizadores Mac mostraram-se tão  crédulos como os utilizadoresWindows em situações semelhantes. O OSX.RSPluga.A manipula as entradas DNS de modo a que inúmeros endereços - incluindo os de vários bancos, eBay e PayPal – deixam de ser correctamente resolvidos. As vítimas são deste modo redirecionadas para sites de phishing.

Em meados de Janeiro, relataram-se os primeiros casos de soluções antivírus desonestas. Este programa gratuito "detectou" vários pedaços de malware em computadores que estavam de 100% limpos - para eliminar a suposta ameaça, o cliente tinha de comprar o produto. Este tipo de esquema não é nada de novo para os utilizadores do Windows, mas os programadores deste tipo de código devem estar ansiosos por saber até que ponto um utilizador Mac confia neste tipo de esquema.

Sem necessidade de pânico
Muitas pessoas pensaram que qualquer outro sistema é o céu em termos de segurança quando comparado como Windows. Mas os Trojans não necessitam de privilégios root para roubar dados ou ligar para o cibercriminoso através da porta 80. Os utilizadores inexperientes de Linux têm de estar preparados para tentativas de ataque de cibercriminosos.

Muitas vezes, o que representa maior risco é a crença de que um sistema é inexpugnável. Actualmente mesmo os computadores mais baratos vêm com a protecção antivírus pré-instalada, mas, ao mesmo tempo, muitos utilizadores ainda se recusam a instalar programas de segurança gratuitos, argumentando que tal simplesmente não é necessário. A comunidade open source em especial oferece uma grande gama de soluções de alta performance, com tecnologias, como o SELinux , AppArmor e uma gama de sistemas de detecção de intrusão. Aqueles que não utilizam estas soluções (ou porque sentem que implica muito esforço ou porque acham que não há necessidade) provavelmente não serão notificados quando o seu computador for apoderado por um estranho.

Proteger as empresas
As empresas, em particular não podem acreditar em mitos de segurança. Não há dúvida de que cada servidor tem protecção antivírus, mesmo que apenas seja para proteger os inúmeros utilizadores do Windows na rede.

De modo a parar ataques ao gateway, deve sempre aplicar-se firewalls e sistemas de detecção e prevenção de intrusão. Mesmo mobilizando-se appliances ou servidores dedicados, os sistemas Linux ou baseados em Unix muitas vezes actuam como a primeira linha de protecção para a rede interna, no caso das instalações gateway. Além de definir os serviços disponíveis e proporcionar a primeira linha de defesa contra ataques hackers, uma firewall devidamente configurada também pode ser implementada para impedir a auto-propagação de malware (worms) através das ligações da rede. Por exemplo, é possível proteger uma rede contra o "Lovesan.a" simplesmente com bloqueio das portas TCP 135 e 4444.

No entanto, uma firewall pode também ter uma função de limitação de danos. Se a rede tem clientes infectados, o bloqueio de determinadas portas pode evitar ligações indesejáveis. Para minimizar o risco global de infecção e ataque, um certo número de cenários deve ser considerado quando se configura uma firewall, e os serviços e portas autorizadas devem ser claramente definidas.

Contudo, alguns programadores engenhosos encontraram maneiras de contornar este nível de segurança simples. É ainda possível enviar pacotes de dados para fora através túneis protegidos ou usando ligações e serviços autorizados (por exemplo, DNS e HTTP). Esta é a razão pela qual os módulos add-on inteligentes, como sistemas de detecção de intrusão ou de prevenção de intrusão, e aplicações do nível firewall são um complemento útil para a clássica firewall.

Também é possível instalar um proxy e não dar aos colaboradores a possibilidade de acederem directamente à Internet. Tal não só reduz o tráfego, mas também pode aumentar a segurança, pois uma quantidade significativa de malware é transmitida através sites maliciosos. Nas instalações Linux / Unix, o SQUID é provavelmente o proxy mais utilizado. Oferece também a sua própria interface dedicada: "ICAP", Internet Content Adaption Protocol. Aqui, as solicitações são processadas utilizando o RESPMOD (modificação de resposta), que analisa os objectos solicitados pelos servidores da web, e REQMOD (modificação de pedido), que procura os objectos enviados para os servidores web.
Mas mesmo assim os proxies não garantem uma protecção completa. Mesmo os melhores scanners de vírus não conseguem partir ficheiros protegidos por passwords - e as limitações das tecnologias proxy também são claras quando se trata de ligações protegidas VPN.

Protecção do tráfego de email
O tráfego de email continua a ser um dos principais métodos de propagação de malware. Dependendo do tamanho da rede (número de utilizadores), um sistema gateway de mail  está implantado a montante das instalações gateway para as soluções de groupware Exchange, Lotus Domino ou outras. Linux, Unix (Solaris) ou derivados (* BSD), com MTAs (Mail Transfer Agents), como o postfix, exim, qmail ou o sendmail também são muitas vezes implantados aqui. Estes oferecem os seus próprios filtros de antivírus e spam. O método mais comum é o duplo MTA, que significa que cada e-mail é entregue duas vezes para o MTA. Primeiro recebe-se o e-mail a partir do host remoto. Depois é retransmitido para o filtro de conteúdo para verificação e, de lá volta para o MTA.

Os servidores internos de email também beneficiam de sistemas de filtro com menos necessidades de recursos para analisar e armazenar malware e spam. Também são utilizados menos recursos para o tratamento dos emails, nos casos em que existe uma quantidade significativa de tráfego de e-mail. Esta é a razão pela qual uma solução de relay de email é também válida para pequenas empresas. Alguns fabricantes oferecem soluções integradas prontas a usar com o intuito de  simplificar a sua administração.

Protecção de servidores de ficheiros
A protecção dos  repositórios centrais de ficheiros numa rede é inquestionável.

Muitas redes dispõem de sistemas alternativos com serviços Samba, juntamente com servidores Windows. Nesses casos, a integração é possível usando um módulo VFS (virtual file system) que redirecciona o tráfego de dados através do scanner de vírus.

A utilização de servidores alternativos ao Windows é generalizada. AS/400, Solaris, HP-EUA, IRIX, AIX, para citar apenas alguns sistemas, oferecem tudo, desde sistemas de ficheiros a sistemas de bases de dados, passando por aplicações específicas de uma indústria ou software de gestão financeira. Neste caso, a dificuldade em encontrar soluções adequadas de segurança não reside apenas nos Sistema Operativos, mas também nas diversas arquitecturas de CPU (SPARC, PPC, Itanium, Alpha, MIPS, PA-RISC, entre outras, para além da Intel) . Se a solução não está disponível para o sistema em questão, estes sistemas devem ser isolados do resto da rede, de modo a reduzir o risco ao máximo. As opções incluem redes separadas com firewalls dedicadas, restrição do acesso, assim como sistemas de detecção de intrusão e sistemas de prevenção de intrusão.

{mosgoogle}
Classifique este item
(0 votos)
Ler 2755 vezes
Top