Os atacantes usaram as vulnerabilidades do Linux em servidores "unmaintained", com a intenção de ter acesso, escalar privilégios para permitir o controle remoto da máquina, e em seguida, liberar o código malicioso no sistema e finalmente executá-lo. Como resultado, um sistema pode, então, ser controlado remotamente como parte de uma rede de bots DDoS. A indicação de pós-infecção é um payload nomeado .IptabLes ou .IptabLex que está localizado no directory/boot. Esses arquivos de script, executam o binário .IptabLes durante o seu processo de reinicialização.
O malware também contém um recurso de atualização automática, que faz com que o sistema infectado entre em contato com um host remoto para baixar um arquivo. No ambiente de laboratório, um sistema infectado tentou entrar em contato com dois endereços IP, que estão localizados na Ásia. De acordo com Stuart Scholly, senior VP and GM, Security Business Unit, Akamai, tem sido feito um rastreamento de uma das campanhas de ataque DDoS mais significativas de 2014, através da infecção de Iptables e IptabLex em sistemas Linux.
Afinal de Contas, o Sistema Linux é Seguro?
Muita coisa é falada e discutida a respeito da segurança do Sistema Operacional Linux, mas bem sabemos que o Linux também têm suas vulnerabilidades. Mas, quais seriam essas vulnerabilidades? As da Microsoft, em específico relativo ao sistema Windows, todos os usuários do Linux conhecem muito bem, mas, e as vulnerabilidades do próprio sistema operacional?
Em virtude disso, é feito um alerta muito importante principalmente quando algumas pessoas dizem que o Sistema Operacional mais seguro é aquele que você mais domina; e as vezes, isso pode fazer um certo sentido. Nesse contexto e através de uma pesquisa sobre as vulnerabilidades do Linux, mesmo esperando encontrar pouca coisa, o que aconteceu é que tinha muita gente se queixando sobre o sistema, fazendo relatos de problemas. Até que no site da SANS (http://www.sans.org/top20) tinha uma pesquisa realizada pela própria SANS junto ao FBI, e assim foi possível esclarecer a dúvida tão cruel. A pesquisa aborda as 20 maiores vulnerabilidades encontradas, 10 para servidores Windows e 10 para servidores Unix.
As Vulnerabilidades do Linux
Abaixo estão listadas as 10 maiores vulnerabilidades do Sistema Operacional Linux/Unix, traduzidas de Outubro de 2003 e que são válidas ainda hoje:
- BIND - O BIND é o principal serviço de ataque dos cybercriminosos. A maioria dos bugs já foram resolvidos, mas a maioria das pessoas mantém as versões mais antigas por uma questão de funcionalidade e por não terem tempo disponível para a migração.
- RPC - O RPC é um serviço para as chamadas de procedimentos que serão executados remotamente. ele é extremamente importante para a funcionalidade da rede interna, pois é utilizado para distribuição de carga, processamento distribuído, cliente/servidor, etc. O NFS, que é um dos compartilhamentos de rede mais conhecidos e utilizados, usa diretamente o RPC.
- Apache - Sem dúvidas nenhuma, esse é um Web Server bem mais robusto que o IIS, mas não deixa de estar exposto à Internet. Vários ataques a sistemas operacionais NIX ocorrem pelo Apache, principalmente para servidores com execução de scripts e permissões de acesso à programas.
- Contas de usuários - Esta vulnerabilidade ocorre principalmente sobre contas com senhas fracas ou nulas. Parece uma coisa banal, mas tem pessoas que conseguem invadir sistemas descobrindo senhas pelo método da tentativa e do erro, e, geralmente, as senhas são as mais óbvias possíveis. Não é o sistema que é crackeado mas sim, a conta do usuário. Uma vez tendo acesso ao sistema, o cracker pode se tornar bastante incômodo.
- Serviço de transferência em ASCII - FTP e e-mail são os programas diretamente relacionados a estes serviços. Tudo que passar por eles e estiver em texto puro, não criptografado (o que ocorre na maioria das instalações), o conteúdo pode ser capturado. Basta alguma informação ou senha secreta para que a porta esteja aberta.
- Sendmail - Esse é talvez, o pior serviço de e-mail do NIX, em comparação com os seus próprios concorrentes. Isso porque ele tende a ser lento e problemático. Mas é o mais utilizado, porque é extremamente operacional. É possível colocá-lo para funcionar rapidamente. Por isto é a maior fonte de furos existente na comunidade. Portanto, se puder, substitua.
- SNMP - Uma excelente ferramenta administrativa, principalmente para grandes corporações. Mas por ser um projeto baseado na comunicação com a rede, está sujeito à vulnerabilidades. O serviço é ativado por default no sistema Linux, o que causa o esquecimento por parte dos usuários.
- SSH - É a solução ideal para acesso remoto seguro, abolindo de vez o Telnet. No entanto, pode se tornar totalmente ineficaz se não for administrado corretamente. Escolha o nível de segurança mais desejado, lembrando que ele é diretamente proporcional ao trabalho para configurá-lo. E não esqueça de proteger chaves privadas dos usuários!
- Compartilhamento de arquivos - Ocorre principalmente com NIS/NFS e Samba mal configurados. Podem comprometer a segurança abrindo brechas para ataques externos.
- SSL's - Embora sejam extremamente eficazes para criar conexões seguras entre cliente/servidor, os SSL's permitem o acesso ao servidor por parte do cliente. Pode se tornar uma porta para o acesso de crackers
Depois deste verdadeiro festival de vulnerabilidades, vale ressaltar que nenhuma delas está necessariamente relacionada ao uso destes serviços, mas está muito relacionada à má configuração dos mesmos. Dessa forma, evite confiar demais na sua segurança. A desconfiança é o melhor aliado de um bom administrador.
Talvez muita gente não saiba disso, mas nenhum sistema que opera em rede está livre de vulnerabilidades. Nenhum mesmo. Para que se chegue a um grau de 100% de segurança de um sistema, é necessário isolá-lo do mundo por completo. Entretanto, há medidas para torná-lo mais seguro e resistente a ataques. Dessa forma, existem alguns aspectos que fazem com que o GNU/Linux não seja seguro por natureza (por si só, sem a intervenção do administrador):
- Assim como nas versões anteriores do UNIX, o GNU/Linux é otimizado para conveniência, e não para questões de segurança. Os sistemas geralmente são manipulados de maneira a oferecer facilidades ao administrador, em detrimento da segurança. Todo administrador de sistemas deve ter em mente que: Segurança = 1/ (1.000.000 x Conveniência).
- A segurança é praticamente binária: ou você é um usuário sem poderes no sistema ou você é o root. E lembre-se que como root, você pode tudo, é sim, possui plenos poderes. TUDO MESMO! Inclusive destruir todo seu sistema ou comprometer sua segurança por completo. Algumas características do sistema, tais como execução com "setuid" tende a dar poderes de root para usuários quaisquer, de forma que qualquer deslize na utilização de tais facilidades podem comprometer o sistema por completo.
- O GNU/Linux é desenvolvido por uma grande comunidade de programadores, dos mais variáveis níveis de conhecimento, experiência e grau de atenção. Devido a essa grande variedade de desenvolvedores, até mesmo os mais bem-intencionados estão sujeitos a introduzir falhas de segurança no sistema. Por outro lado, o código é aberto e está disponível para todos, de modo que é muito mais fácil se descobrirem falhas de segurança do que em sistemas fechados. Esse é um dos grandes trunfos do GNU/Linux que o tornam geralmente mais seguro do que sistemas fechados.
Serviços Totalmente Dispensáveis
As variadas distribuições do sistema GNU/Linux, diferem bastante em relação a quais serviços de rede são habilitados como parte da instalação inicial padrão. Sendo assim, é muito comum, por exemplo, que usuários iniciantes que estão instalando o Linux pela primeira vez fazem a opção por uma instalação "full" ou mesmo selecionarem todos os pacotes de software de rede para a instalação. Vale deixar claro que cada serviço de rede instalado introduz no sistema um ponto de vulnerabilidade, levando em conta que qualquer serviço de rede ativo representa uma porta de comunicação com o mundo exterior.
Portanto, fica a critério do administrador definir quais serviços são realmente necessários ao sistema, e poder desabilitar aqueles serviços que não são absolutamente necessários. Isso ajuda bastante a reduzir os pontos de vulnerabilidade.
Saiba Mais:
[1] Net Security http://www.net-security.org/secworld.php?id=17322