Infelizmente, essa correção não foi classificada como um alerta de segurança, e, como resultado disso, as distribuições mais estáveis e com prazo de suporte mais longo, ficaram expostas. Isso incluio Debian 7 (Wheezy), Red Hat Enterprise Linux nas versões 6 e 7, CentOS 6 e 7, SUSE Linux Enterprise 11 (além de versões anteriores) e Ubuntu 12.04. Conforme declarou Wolfgang Kandek, CTO da Qualys, Inc., "Ghost" representa um risco de execução de código remoto que facilita bastante a vida de um atacante, para que ele possa explorar uma máquina. Por exemplo, um invasor pode enviar um e-mail simples a partir de um sistema baseado em Linux e automaticamente, poderá obter acesso completo a essa máquina. Em consideração ao grande número de sistemas baseados em glibc, tudo indica que esta é uma vulnerabilidade de altíssima gravidade e que deve ser tratada imediatamente. O melhor curso de ação para mitigar o risco, é aplicar uma correção disponibilizada pelo fornecedor Linux das distribuições envolvidas.
Nível de Segurança do Linux Depende Direta e Totalmente da Administração
Quando surge a indagação sobre a segurança do Linux, há quem diga que o sistema é o mais seguro que existe (em uma afirmação que soa como "xiita", partidária). Na verdade e analisando de forma racional, ele pode ser bem menos seguro do que os outros sistemas, caso seja mal configurado. Isso porque o nível de segurança do sistema depende, na totalidade, de quem o administra. Portanto, é preciso que todos tenham em mente que não existe nenhum sistema operacional que esteja isento de vulnerabilidades; para que haja a possibilidade de se atingir um nível de segurança global de um sistema, é preciso torná-lo inacessível. Porém, mesmo que não seja possível a existência de um sistema operacional 100% seguro, há algumas providências para torná-lo mais seguro e que ofereça maior resistência a ataques e demais investidas maliciosas que venha sofrer.
Muitas pessoas não sabem, mas o GNU/Linux é otimizado para oferecer bem-estar, para que seus utilizadores possam tirar maior proveito de suas funcionalidades e voltado para questões de segurança. Os sistemas, de maneira geral, são manipulados de maneira a oferecer facilidades ao administrador, o que, de uma certa forma, põe em risco à segurança. Além do mais, é importante observar que a segurança é praticamente binária, consistindo no fato da pessoa ser apenas usuária ou ser o root. E uma vez sendo root, o indivíduo tem plenos poderes até mesmo para comprometer a segurança do sistema, de forma geral. Afinal de contas, privilégios para isso ele detém em suas mãos. Também é relevante citar que algumas características do sistema, tais como execução com "setuid", tendem a outorgar poderes de root para usuários, de forma que qualquer vacilo na utilização dos referidos benefícios poderá comprometer, fortemente, o sistema inteiro.
Linux Também foi Atingido por Outras Falhas
Como grande parte das pessoas deve lembrar, até porque está recente a ocorrência, mas no ano passado, uma falha bastante grave relativa à criptografia OpenSSL e que foi batizada de "Heartbleed", deixou os usuários e organizaçãoes bastante preocupados. Passado um tempo, surgiu um novo bug que, de acordo com os analistas da área de segurança, era ainda pior. O tal do "Bash Bug" ou "Shellshock" investia contra o Bash Shell, que é uma das principais utilidades do sistema operacional Linux e que funciona como leitor de comandos, isto é, ele realiza a tradução das tarefas entre o sistema e o usuário. Ao ser acessado, o bug permitia a execução de um código malicioso assim que o shell fosse aberto, deixando o sistema totalmente vulnerável a ataques remotos. Além dos sistemas Linux, usuários de Mac OS X foram alvo da praga. Esta vulnerabilidade foi descoberta pela Red Hat.
Malware "Turla" Investiu Contra Sistemas Linux
O malware Turla, uma espécie de vírus espião, surgiu investindo contra sistemas Linux, e tão logo foi feita sua detecção e identificação, foi possível saber que a praga é uma variação do malware que afetou o Windows, atividade esta que, originalmente, foi atribuída à agências de espionagem russa. A campanha de espionagem foi divulgada em fevereiro de 2014, mas já estava em plena atividade há muitos anos, afetando muitas organizações governamentais, embaixadas, instalações militares, instituições de ensino e pesquisa e empresas farmacêuticas distribuídas em 45 países. Porém, apenas no final de 2014, foi descoberta a parte relacionada ao Linux. De acordo com as análises realizadas pela equipe de segurança da Kaspersky, o malware é uma "peça do quebra-cabeça até então desconhecida", pois até aquele momento, Turla tinha a finalidade de atingir computadores com Windows, tanto com arquiteturas de 32 quanto de 64 bits. A amostra encontrada, foi a primeira que se destinava a atacar sistemas operacionais Linux. Conforme disseram os pesquisadores, a ameaça usa um programa de backdoor de código aberto chamado cd00r, cdesenvolvido em 2000, que permite a execução de códigos não autorizados em um sistema afetado. Além disso, ele não requer privilégios elevados ou acesso root para funcionar e responde aos comandos por pacotes TCP/UDP de forma silenciosa. Desde quando foi feita a publicação do relatório, a empresa encontrou um segundo componente do Turla para Linux, que ao que tudo indica, seria um segundo malware diferente e mais agressivo.
Alguns dias depois da Kaspersky ter descoberto e feito a identificação do malware Turla investindo contra sistemas Linux, um grupo de pesquisadores da empresa Norse, que é especialista em inteligência de ameaças, identificou uma vulnerabilidade considerada de altíssima relevância no FreeBSD. A falha em questão fazia referência a um buffer overflow, registrado sob o CVE-2014-8611, que afetou a função __sflush () em operação padrão de sistemas e relacionada à biblioteca I/O (stdio). A falha pode ser utilizada para causar um stack overflow, o que certamente levaria à uma corrupção de dados ou a execução de código arbitrário, com os privilégios relacionados ao programa.
Mitigação de Riscos Deve ser Feita de Acordo com o Nível de Gravidade das Falhas Detectadas
Para cada vulnerabilidade descoberta em um sistema, é preciso levar em conta também o grau de propagação de ferramentas que tem a capacidade de tirar proveito da falha, assim como a quantidade de usuários que tiveram seus sistemas comprometidos. Uma vulnerabilidade que é largamente explorada e ocasiona prejuízos em larga escala, como as exploradas pelos defacers, devem receber um peso maior do que aquelas que foram detectadas, mas nunca chegaram a ser exploradas em larga escala. Diante da indagação sobre a política utilizada dentro de um sistema operacional para ativar serviços que podem ser vítimas de falhas de segurança, há também o interesse em saber se o sistema ativa os servidores instalados por padrão, ou o usuário precisa ativar manualmente os que deseja utilizar depois da instalação? Além disso, será que o sistema possui algum firewall embutido? E até onde cada sistema operacional pode incentivar os usuários a adotar hábitos saudáveis de segurança ou a tornarem-se relapsos neste aspecto? Nesse cenário, seria interessante criar dificuldades para a utilização de senhas fracas ou para o uso da conta administrativa, onde o risco é maior, assim como outros pequenos detalhes que possam levar os usuários a serem mais cuidadosos com a segurança, evitando transtornos e danos.
Porém, a grande verdade é que chegar a um denominador comum sobre qual sistema operacional pode ser considerado realmente o mais seguro, exige a realização de um estudo mais aprimorado sobre cada sistema, a partir de um trabalho muito bem elaborado. Isso, sem dúvidas, exigiria a participação de um número muito grande de especialistas e ainda assim, haveria a possibilidade para que cada um desses profissionais envolvidos, pudesse tirar a sua própria conclusão, através do esclarecimento de dúvidas proporcionado por uma visão mais abrangente do cenário em questão.
Saiba Mais:
[1] Slash Gear http://www.slashgear.com/linux-c-library-exploit-affects-all-systems-dating-back-2000-28366406/