Com todo esse alvoroço sobre diversos ataques que ocorreram sobre o Governo Brasileiro, você chegou a se preocupar com seu próprio sistema Linux? Afirmar que o Linux está imune a esses tipos de ataque é absurdo! Os principias Datacenters, com seus servidores robustos, funcionam com sistemas Linux! Portanto você também deveria se preocupar em implantar técnicas para coibir os principais ataques existentes! Aqui vou listar algumas maneiras para amenizar (e dificultar) a concretização desse fato!

Contextualização

O CERT.br, Grupo de Resposta a Incidentes de Segurança para a Internet brasileira mantido pelo Comitê Gestor da Internet no Brasil, é responsável por tratar incidentes de segurança em computadores que envolvam redes conectadas à Internet brasileira.

De acordo com o CERT.br, (Fonte) “… o número total de notificações de incidentes no primeiro trimestre de 2011 foi ligeiramente inferior a 91 mil, o que corresponde a um aumento de quase 118% em relação ao trimestre anterior e de 220% em relação ao mesmo período de 2010. A alta das notificações está relacionada ao crescimento da categoria Outros.”

Abaixo segue uma imagem dos fatos de interesse observados neste primeiro trimestre de 2011, agrupados em categorias distintas.

Para uma explicação mais detalhada sobre essa imagem clique aqui

Mas o que isso significa?

Os ataques voltados ao governo brasileiro foram categorizados do tipo DDOS, ou seja, ataque de negação de serviço distribuído. Resumindo não houve invasão, mas sim indisponibilidade de serviços! O que acarreta prejuízos e insatisfação por parte de quem necessita de determinado serviço!

Mas, de acordo com o gráfico do CERT.br, as notificações de varreduras em redes de computadores, com o intuito de identificar quais computadores estão ativos e quais serviços estão sendo disponibilizados por eles, é amplamente utilizada por atacantes para identificar potenciais alvos. E são esses ataques que devemos, principalmente, evitar em nossas máquinas domésticas!

Lembrando que:

as notificações sobre cavalos de Tróia, utilizados para furtar informações e credenciais, que representam 45,5% das notificações de tentativas de fraude, cresceram 21,1% em relação ao quarto trimestre de 2010 mas reduziram 19,8% em relação ao primeiro trimestre de 2010.

Mas como eu posso me defender desses ataques?

Existe um conceito de Firewall, denominado Firewall de Host:

Este Firewall se diferencia de todos os demais, isto, porque eles não protegem um segmento de rede. Essa proteção se restringe apenas ao equipamento onde está instalado, que geralmente utilizam apenas um canal de comunicação com a internet.

O tráfego de rede que flui para dentro e para fora do computador pode ser categorizado como tráfego de saída, entrada e não solicitado!

UFW – Firewall Descomplicado

Existe um aplicativo padrão de Firewall para o Ubuntu, desda versão 8.04LTS. Por padrão o UFW está habilitado, mas todas as portas estão abertas!

O UFW é uma versão simplificada do IPTABLES (para usuários inexperientes muito complicado):

O IPTABLES é uma ferramenta de edição da tabela de filtragem de pacotes, ou seja, com ele você é capaz de analisar o cabeçalho (header) e tomar decisões sobre os destinos destes pacotes.

Fonte

Apesar de ser um programa para ser acessado via Terminal, ele pode também ser prático mesmo para usuários inexperientes simplesmente ativando o Firewall. A opção para interface gráfica é o Gufw.

Gufw é uma maneira fácil e intuitiva de configurar um Firewall do Linux. Suporta tarefas como: permitir, bloquear portas individuais.

O principal motivo pelo qual o UFW foi criado foi porque deveria existir uma ferramenta para configuração de firewall simples e funcional!

Para instalar o Gufw:

Depois de instalado, para abrir o GUFW, basta ir em Sistema >> Administração >> Configuração do Firewall

NMAP – vasculhe seu sistema antes que outro faça isso

Nmap é uma ferramenta de código aberto para exploração de rede e auditoria de segurança. Ela foi desenvolvida para escanear rapidamente redes amplas, embora também funcione muito bem contra hosts individuais. O Nmap pode determinar quais hosts estão disponíveis na rede, quais serviços (nome da aplicação e versão) os hosts oferecem, quais sistemas operacionais (e versões de SO) eles estão executando, que tipos de filtro de pacotes/firewalls estão em uso, e dezenas de outras características. Embora o Nmap seja normalmente utilizado para auditorias de segurança, você pode utilizá-lo para monitoramento do seu computador.

Exemplo do NMAP no filme MAtrix

Comumente essa ferramenta é utilizada pelo Terminal, contudo existe uma ferramenta gráfica que facilita o uso do NMAP. Denominada ZenMAP, é um aplicativo de código livre e aberto que visa tornar Nmap fácil para usuários iniciantes, fornecendo recursos avançados para usuários experientes.

Para instalar o ZenMap:

WireShark – saiba o que está trafegando em sua rede

Um poderoso analisador de pacotes. Ele permite que você capture o tráfego em uma rede de computadores. Ele permite você examinar dados de uma rede e detalhar apenas o pacote que você precisa analisar.