• Linux: Vulnerabilidade de Alta Relevância Detectada na Biblioteca GNU C

    A equipe de pesquisa de segurança da Qualys, encontrou uma vulnerabilidade crítica no Linux GNU C Library (glibc), que permite que atacantes possam tomar, remotamente, o controle de todo um sistema, sem ter qualquer conhecimento prévio sobre as credenciais do sistema. A Qualys tem trabalhado em estreita colaboração com fornecedores de distribuições Linux, em um esforço coordenado para disponibilizar um patch para todas as distribuições do Linux que possam ter sido impactadas pela falha, que está disponível a partir de hoje para os respectivos fornecedores. A vulnerabilidade é conhecida como "Ghost" (CVE-2015-0235), pois ela pode ser ativada pelas funções gethostbyname, afetando muitos sistemas construídos sobre a plataforma Linux começando pela glibc-2.2, que foi lançada em 10 novembro de 2000. Na sequência, os pesquisadores também identificaram uma série de fatores que atenuam o impacto desse bug, incluindo uma correção lançada no dia 21 de maio de 2013 entre os lançamentos da glibc-2.17 e da glibc-2.18.


    Infelizmente, essa correção não foi classificada como um alerta de segurança, e, como resultado disso, as distribuições mais estáveis e com prazo de suporte mais longo, ficaram expostas. Isso incluio Debian 7 (Wheezy), Red Hat Enterprise Linux nas versões 6 e 7, CentOS 6 e 7, SUSE Linux Enterprise 11 (além de versões anteriores) e Ubuntu 12.04. Conforme declarou Wolfgang Kandek, CTO da Qualys, Inc., "Ghost" representa um risco de execução de código remoto que facilita bastante a vida de um atacante, para que ele possa explorar uma máquina. Por exemplo, um invasor pode enviar um e-mail simples a partir de um sistema baseado em Linux e automaticamente, poderá obter acesso completo a essa máquina. Em consideração ao grande número de sistemas baseados em glibc, tudo indica que esta é uma vulnerabilidade de altíssima gravidade e que deve ser tratada imediatamente. O melhor curso de ação para mitigar o risco, é aplicar uma correção disponibilizada pelo fornecedor Linux das distribuições envolvidas.


    Nível de Segurança do Linux Depende Direta e Totalmente da Administração

    Quando surge a indagação sobre a segurança do Linux, há quem diga que o sistema é o mais seguro que existe (em uma afirmação que soa como "xiita", partidária). Na verdade e analisando de forma racional, ele pode ser bem menos seguro do que os outros sistemas, caso seja mal configurado. Isso porque o nível de segurança do sistema depende, na totalidade, de quem o administra. Portanto, é preciso que todos tenham em mente que não existe nenhum sistema operacional que esteja isento de vulnerabilidades; para que haja a possibilidade de se atingir um nível de segurança global de um sistema, é preciso torná-lo inacessível. Porém, mesmo que não seja possível a existência de um sistema operacional 100% seguro, há algumas providências para torná-lo mais seguro e que ofereça maior resistência a ataques e demais investidas maliciosas que venha sofrer.

    Muitas pessoas não sabem, mas o GNU/Linux é otimizado para oferecer bem-estar, para que seus utilizadores possam tirar maior proveito de suas funcionalidades e voltado para questões de segurança. Os sistemas, de maneira geral, são manipulados de maneira a oferecer facilidades ao administrador, o que, de uma certa forma, põe em risco à segurança. Além do mais, é importante observar que a segurança é praticamente binária, consistindo no fato da pessoa ser apenas usuária ou ser o root. E uma vez sendo root, o indivíduo tem plenos poderes até mesmo para comprometer a segurança do sistema, de forma geral. Afinal de contas, privilégios para isso ele detém em suas mãos. Também é relevante citar que algumas características do sistema, tais como execução com "setuid", tendem a outorgar poderes de root para usuários, de forma que qualquer vacilo na utilização dos referidos benefícios poderá comprometer, fortemente, o sistema inteiro.


    Linux Também foi Atingido por Outras Falhas

    Como grande parte das pessoas deve lembrar, até porque está recente a ocorrência, mas no ano passado, uma falha bastante grave relativa à criptografia OpenSSL e que foi batizada de "Heartbleed", deixou os usuários e organizaçãoes bastante preocupados. Passado um tempo, surgiu um novo bug que, de acordo com os analistas da área de segurança, era ainda pior. O tal do "Bash Bug" ou "Shellshock" investia contra o Bash Shell, que é uma das principais utilidades do sistema operacional Linux e que funciona como leitor de comandos, isto é, ele realiza a tradução das tarefas entre o sistema e o usuário. Ao ser acessado, o bug permitia a execução de um código malicioso assim que o shell fosse aberto, deixando o sistema totalmente vulnerável a ataques remotos. Além dos sistemas Linux, usuários de Mac OS X foram alvo da praga. Esta vulnerabilidade foi descoberta pela Red Hat.


    Malware "Turla" Investiu Contra Sistemas Linux

    O malware Turla, uma espécie de vírus espião, surgiu investindo contra sistemas Linux, e tão logo foi feita sua detecção e identificação, foi possível saber que a praga é uma variação do malware que afetou o Windows, atividade esta que, originalmente, foi atribuída à agências de espionagem russa. A campanha de espionagem foi divulgada em fevereiro de 2014, mas já estava em plena atividade há muitos anos, afetando muitas organizações governamentais, embaixadas, instalações militares, instituições de ensino e pesquisa e empresas farmacêuticas distribuídas em 45 países. Porém, apenas no final de 2014, foi descoberta a parte relacionada ao Linux. De acordo com as análises realizadas pela equipe de segurança da Kaspersky, o malware é uma "peça do quebra-cabeça até então desconhecida", pois até aquele momento, Turla tinha a finalidade de atingir computadores com Windows, tanto com arquiteturas de 32 quanto de 64 bits. A amostra encontrada, foi a primeira que se destinava a atacar sistemas operacionais Linux. Conforme disseram os pesquisadores, a ameaça usa um programa de backdoor de código aberto chamado cd00r, cdesenvolvido em 2000, que permite a execução de códigos não autorizados em um sistema afetado. Além disso, ele não requer privilégios elevados ou acesso root para funcionar e responde aos comandos por pacotes TCP/UDP de forma silenciosa. Desde quando foi feita a publicação do relatório, a empresa encontrou um segundo componente do Turla para Linux, que ao que tudo indica, seria um segundo malware diferente e mais agressivo.

    Alguns dias depois da Kaspersky ter descoberto e feito a identificação do malware Turla investindo contra sistemas Linux, um grupo de pesquisadores da empresa Norse, que é especialista em inteligência de ameaças, identificou uma vulnerabilidade considerada de altíssima relevância no FreeBSD. A falha em questão fazia referência a um buffer overflow, registrado sob o CVE-2014-8611, que afetou a função __sflush () em operação padrão de sistemas e relacionada à biblioteca I/O (stdio). A falha pode ser utilizada para causar um stack overflow, o que certamente levaria à uma corrupção de dados ou a execução de código arbitrário, com os privilégios relacionados ao programa.


    Mitigação de Riscos Deve ser Feita de Acordo com o Nível de Gravidade das Falhas Detectadas

    Para cada vulnerabilidade descoberta em um sistema, é preciso levar em conta também o grau de propagação de ferramentas que tem a capacidade de tirar proveito da falha, assim como a quantidade de usuários que tiveram seus sistemas comprometidos. Uma vulnerabilidade que é largamente explorada e ocasiona prejuízos em larga escala, como as exploradas pelos defacers, devem receber um peso maior do que aquelas que foram detectadas, mas nunca chegaram a ser exploradas em larga escala. Diante da indagação sobre a política utilizada dentro de um sistema operacional para ativar serviços que podem ser vítimas de falhas de segurança, há também o interesse em saber se o sistema ativa os servidores instalados por padrão, ou o usuário precisa ativar manualmente os que deseja utilizar depois da instalação? Além disso, será que o sistema possui algum firewall embutido? E até onde cada sistema operacional pode incentivar os usuários a adotar hábitos saudáveis de segurança ou a tornarem-se relapsos neste aspecto? Nesse cenário, seria interessante criar dificuldades para a utilização de senhas fracas ou para o uso da conta administrativa, onde o risco é maior, assim como outros pequenos detalhes que possam levar os usuários a serem mais cuidadosos com a segurança, evitando transtornos e danos.

    Porém, a grande verdade é que chegar a um denominador comum sobre qual sistema operacional pode ser considerado realmente o mais seguro, exige a realização de um estudo mais aprimorado sobre cada sistema, a partir de um trabalho muito bem elaborado. Isso, sem dúvidas, exigiria a participação de um número muito grande de especialistas e ainda assim, haveria a possibilidade para que cada um desses profissionais envolvidos, pudesse tirar a sua própria conclusão, através do esclarecimento de dúvidas proporcionado por uma visão mais abrangente do cenário em questão.


    Saiba Mais:

    [1] Slash Gear
    http://www.slashgear.com/linux-c-library-exploit-affects-all-systems-dating-back-2000-28366406/

    Sobre o Autor: Camilla Lemke


Visite: BR-Linux ·  VivaOLinux ·  Dicas-L