Samba como PDC e Clamwin antivírus sincronizado nas estações Windows. Resumo

Samba como PDC e Clamwin antivírus sincronizado nas estações Windows Ricardo Pardim Claus Curso de Especialização em Redes e Segurança de Sistemas Pontifícia Universidade Católica do Paraná Curitiba, novembro de 2010 Resumo O objetivo deste trabalho, é personalizar um servidor com o Clamav instalado, para auto configurar o Clamwin antivírus open souce (versão do Clamav portado para Windows) nas estações de trabalho. Após efetuar o login no domínio Samba, as estações irão descarregar as atualizações centralizadas da base de dados de vírus, e também carregando configurações, para verificação agendada, e ainda informando o administrador por email, caso encontre algum vírus. O foco não é mostrar como instalar o Samba, e sim apenas alguns trechos de configuração importante para que este processo seja sincronizado. 1. Introdução O que é malware? O termo "malware" vem das duas palavras inglesas "malicious software" (software malintencionado) e refere-se a qualquer software cuja finalidade é causar danos a computadores, servidores ou redes [7]. Vírus, spyware, worms, programas de registro de teclas e cavalos de Tróia são exemplos de malware. Muitos usuários de sistemas Windows estão com seus computadores infectados por algum tipo de malwares (worms, adwares, spywares, vírus, trojans) e só sabem disso quando o sistema operacional começa a se comportar de maneira estranha. No decorrer do texto, o termo malware será utilizado para simplificar o nome fornecido a qualquer tipo de código ou programa malicioso. Na atual década, o crescente número de contaminações de malwares tem levado várias empresas e profissionais da área de segurança digital a se especializarem nestes tipos de pragas e suas diversas variantes, que se alastram em velocidade crescente, destruindo e roubando informações, gerando prejuízos bilionários à empresas, instituições e outros órgãos. Não há estatística de quantos malwares existem hoje, mas sabe-se que são milhões. Uns ficam populares, outros nem chegam a se proliferarem. Inúmeras são as facilidades para infecção (internet rápida e disponível 24hs, troca de arquivos, download de softwares ilegais, filmes, musicas, jogos, falta de conhecimento por parte do usuário). Os prejuízos causados por malwares são infinitos. As empresas tem investido muito em softwares e treinamento dos usuários, afim de amenizar. As ferramentas contra malware tem um custo elevado, forçando empresas e instituições a adquirirem estes softwares. 2. Descrição do Contexto

Este trabalho foi baseado em um artigo postado no site www.vivaolinux.com.br Samba - PDC com Debian e Clamwin antivírus sincronizado nas estações, escrito por Tiago André Geraldi [1]. O assunto despertou interesse, pois apresentava uma solução para empresas utilizarem um sistema anti malware realmente gratuito. Diante da imensa quantidades de fatores que podem comprometer uma rede de computadores, empresas e profissionais de segurança digital veem investindo em treinamento e ferramentas, afim de evitar maiores transtornos, ou até mesmo grandes catástrofes. Os antivírus são software projetados para detectar e eliminar vírus de computador. Existe uma grande variedade de produtos com esse intuito no mercado, a diferença entre eles está nos métodos de detecção, preço e funcionalidades. Estas ferramentas não possui um preço acessível, devido suas licenças, que geralmente são pagas por anuidade. A situação se complica um pouco em uma empresa de pequeno porte, onde se tem outras prioridades para investimentos. Foi pesquisado um pacote com funcionalidades essenciais para uma rede pequena, baseada em 10 computadores e um servidor de arquivos. A empresa Avira, gigante Alemã em soluções de segurança digital, e também com grande foco em desenvolvimento de segurança e soluções para servidores UNIX. Veja abaixo, a cotação de um pacote antivírus para uma rede de até 10 usuários: Avira AntiVir NetWork Bundle Breve histórico: Abrange a proteção de desktops e servidores de arquivos que rodam Windows e Linux/Unix em uma só licença. Dessa forma, sua rede fica protegida contra vírus, worms, cavalos de Troia e também adware, spyware, discadores e rootkits [8]. As ferramentas que compõe o pacote : Avira AntiVir Professional Avira AntiVir Server Avira Security Management Center (Antivírus para desktop) (Antivírus para servidor de arquivos) (Console de gerenciamento) Valor total das licenças para 10 usuários por 1 anos = R$ 1090,51 Conforme citado anteriormente, dependendo do capital e arrecadação de uma pequena empresa, este custo ficaria fora dos planos de investimentos, já que com este valor anual, por exemplo, a empresa poderia comprar 1 computador por ano, e assim ir aumentando seu parque tecnológico. 3. Descrição do Projeto Existem inúmeros antivírus com licença grátis, somente para usuários domésticos (muitos confundem esta licença, e acreditam que seria gratuito também para uso comercial). Mas como existem inúmeros softwares realmente gratuitos (comumente chamados de open source, que possui seu código fonte aberto e disponível) para diversas finalidades, também está disponível um antivírus gratuito (inclusive para uso comercial), chamado de Clamwin. O Clamwin é um antivírus open source, desenvolvido para plataforma Windows. Este foi desenvolvido (é programado com as linguagens C++ e Python) a partir do ClamAV (tem como base o código-fonte do programa ClamAV, implementando uma interface gráfica sobre este) [2], antivírus desenvolvido para sistemas baseado em UNIX. Ambos podem compartilhar a mesma base de dados de vírus. Em Linux, o ClamAV é fortemente utilizado em servidores, em conjunto com o Samba (escaneando arquivos em compartilhamentos de

rede), com o Postfix (removendo vírus recebidos por e-mail antes que eles cheguem às máquinas Windows), e também pode ser implantado em gateway, escaneando e removendo os arquivos que trafegam na rede, em trafego de entrada e saída,. Este pode ser utilizado localmente, para localizar e remover arquivos infectados de uma partição do Windows (computador instalado com ambos sistemas operacionais em dual boot). O Clamwin está disponível sob a licença GNU pela Free Software Foundation e é de uso gratuito, assim como o próprio código-fonte [3]. Clamwin é usado por mais de 600 000 usuários no mundo inteiro.ele funciona para Windows 98, 2000, ME, XP, Vista, 7, Server 2003, Server 2008. 3.1 Características do Clamwin: Totalmente gratuito, código aberto; Detecta vírus e spywares; Análise de memória RAM; Programador automático (agendamento) de pesquisa de malwares; Escaneamento por linha de comando ou interface gráfica; Atualização automática da bases de dados de vírus; Integração de menus de contexto, no Explorador (Explorer) do Microsoft Windows; Integração com o Microsoft Outlook e Mozilla Firefox (através de plugins); A partir da versão 0.88.5 o programa está oferecendo suporte para arquivos compactados nos formatos RAR v3, 7-Zip e LZMA. Possui versão Portable (Não precisa instalar); Limitações: Detecção de vírus e spyware apenas manualmente, isto é, o programa não fornece proteção em tempo real; Atualizações automáticas apenas das definições de antivírus, e não ao próprio programa, assim como o engine ClamAV. As limitações descritas anteriormente, estão em estudo pela equipa que desenvolve o programa, e espera-se que sejam implementadas em versões futuras. 3.2 Clam Sentinel É definido como obstáculo (deficiência) em relação a adoção do Clamwin em uma rede de computadores, é a questão do escaneamento em real time, ou seja, os processos de abrir, copiar, salvar ou mover um arquivo, não serão analisados por este antivírus. Mas para esta limitação, existe uma ferramenta adicional que faz este trabalho, amenizando esta deficiência do Clamwin O Clam Sentinel é um projeto open source, desenvolvido na linguagem de programação Delphi 6 [9]. Esta aplicação detecta alterações no sistema de arquivo (abrir, copiar, salvar ou mover) e verifica as modificações usando Clamwin. Características do Clam Sentinel: Varredura de arquivos em tempo real como eles são adicionados ao seu computador, modificado ou copiado; Monitora unidades USB removíveis; Gera log dos arquivos verificados;

Possui opção de mover arquivos infectados para quarentena; Fácil configuração. O conjunto Clamwin + Clam Sentinel formam uma ferramenta contra malware, com analise em tempo real (real time) totalmente gratuita. 3.3 Como funcionará a sincronização do Clamwin com o ClamAV? O pacote do ClamAV deverá ser instalado no servidor que está rodando o controlador de domínio Samba. O Clamwin será instalado nas maquinas rodando Windows XP. Este servidor será encarregado de efetuar downloads das atualizações de base de dados. Um script fará o processo de atualizar a base de dados, e depois copiar estes arquivos para a pasta de netlogon, de onde as estações com Windows XP irão baixar as atualizações. Veja abaixo, as tarefas e processos que serão executados, assim que o usuário efetuar logon no domínio Samba: Baixar atualizações da base de dados do antivírus Clamwin; Baixar as configurações personalizadas do Clamwin, e também o arquivo referente a agendamento de varredura (scan). Baixar o arquivo de configuração do Clam Sentinel. Os arquivos referentes a base de dados do ClamWin: daily.cvd: Arquivo com as atualizações diárias; main.cvd: Arquivo com as atualizações acumulativas; bytecode.cvd: Permite mudanças rápidas no código do antivírus, permitindo a possibilidade de identificar novas variantes de malwares. O bytecode não foi 100% implementado. Local: C:\Documents and Settings\All Users\.clamwin\db Os arquivos referentes as configurações: Clamwin.conf: Este é o arquivo de contem todas as configuração do Clamwin. ScheduledScans: Arquivo contendo a agenda de escaneamento. ClamSentinel.ini: Este arquivo guarda as configurações do Clam Sentinel. Local: C:\Documents and Settings\usuario\Dados de aplicativos\.clamwin Existe dois modos para alterar o arquivo de configuração do Clamwin. No Windows, podemos editá-lo através de um editor de textos, ou configurá-lo pela própria interface do Clamwin. Em ambos os casos, é essencial que o arquivo personalizado seja copiado para a pasta de compartilhamento do servidor, afim de disponibilizá-los para as maquinas clientes. Alguns itens importantes que fazem diferença em relação ao tempo de escaneamento: Ao invés do Clamwin e o Clam Sentinel escanear todos os tipos de extensões de arquivos, ganharemos agilidade se especificarmos algumas extensões, principalmente aquelas que são mais comuns em arquivos infectados; As extensões mais comuns são: bat, cmd, com, exe, inf, pif, scr, vbs, ws Na aba Limites, podemos melhorar ainda mais o tempo de varredura, conforme especificado abaixo:

Figura 1 Configuração do Clamwin Especificando o tamanho do arquivo a ser escaneado. Para personalizar esta opção, abra o gerenciador do Clamwin, clique no menu Tools > Preferences > Limits. A opção Do Not Scan Files Larger Than (não escanear arquivos maiores de), no caso especifiquei 3 MB. Aquivos infectados na maioria das vezes possui tamanho muito pequeno. O Clamwin descompacta arquivos, afim de escanear seu conteúdo. Em Archives, indica o tamanho dos arquivos compactados que serão escaneados. Na configuração acima, indiquei que o Clamwin não irá descompactar aquivos (pacotes) maiores do que 3 MB, não irá extrair mais de 20 arquivos, e não ira extrair mais de 20 sub-arquivos. Personalizar o Clamwin, para escanear somente as extensões mais comuns: Para personalizar esta opção, abra o gerenciador do Clamwin, clique no menu Tools > Preferences > Filters

Figura 2 Configuração do Clamwin Especificando as extensões a serem escaneadas Nesta opção, podemos configurar 2 itens importantes: Do lado esquerdo Exclude Matching Filenames, configuramos as pastas ou extensões que serão ignoradas no momento do escaneamento; Do lado direito Scan Only Matching Filenames, serão as extensões e pastas que serão obrigatoriamente escaneadas. É possível personalizar diferentes arquivos de configuração do Clamwin e também do Clam Sentinel. A ideia é que diariamente ou semanalmente, estas 2 ferramentas sejam personalizadas, para escanearem extensões de arquivos diferentes, e até mesmo algumas pastas preferidas utilizadas pelos diferentes tipos de malwares, bem como efetuar uma rápida verificação em cada estação Windows. Os arquivos de configuração Clamwin.conf, e o ClamSentinel.ini, podem ser editados manualmente, através de um editor de textos (no Windows). Já o ScheduledScans, deverá ser configurado em uma estação Windows utilizado o próprio Clamwin, e assim copiado para o compartilhamento do servidor, de onde as estações irão baixar este arquivo, contendo o agendamento de scan do Clamwin. Para configurar o Scheduled Scan: No gerenciador do Clamwin, clique no menu Tools > Preferences > Scheduled Scan

Figura 3 Configuração do Clamwin Agendamento de scan No Clam Sentinel, também é possível personalizar as extensões a serem verificadas, afim de ganhar agilidade no monitoramento em real time. Para personalizar esta opção, clique com o botão direito no ícone do Clam Sentinel, passe o mouse sobre a opção Advanced Settings, depois clique em Extensions scanned. Conforme figura abaixo, seleciono apenas as extensões mais conhecidas. Figura 4 Configuração do Clam Sentinel Extensões que serão escaneadas O arquivo de configuração do Clam Sentinel, permanece neste local: Local: C:\Documents and Settings\usuario\Dados de aplicativos\clamsentinel 3.4 Scripts utilizados Abaixo, será apresentado os scripts utilizados no servidor, para a realização deste projeto:

Script netlogon.bat: Este é o script principal, definido dentro do smb.conf do Samba. Todos os usuários do domínio que efetuarem logon, será executado este script. Conforme o código abaixo, este apenas mapeia o compartilhamento do servidor como unidade P:, e depois chama o script usuários.bat. net use P: /delete net use P: \\sambapdc\share /persistent:no net time \\sambapdc /set /yes usuarios.bat Script usuarios.bat: A função deste script é efetuar o sincronismo do antivírus nas estações Windows com o servidor, efetuando uma cópia para a maquina cliente, da bases de dados e arquivos de configurações. Como dito anteriormente, este sincronismo é muito eficiente quando desejamos agendar um escaneamento em todas as maquinas, em um horário especifico, alem de alterar outras configurações, afim de personalizar ou otimizar estas ferramentas. @echo off :: :: SINCRONIZANDO O ANTIVIRUS NAS ESTACOES c: cd %userprofile%\dados de Aplicativos\.clamwin del Clamwin.conf del ScheduledScans copy \\sambapdc\netlogon\clam\clamwin.conf /y copy \\sambapdc\netlogon\clam\scheduledscans /y c: :: COPIANDO A BASE DE DADOS cd \Documents and Settings\All Users\.clamwin\db del daily.cvd del bytecode.cvd ::del main.cvd copy \\sambapdc\netlogon\bdclam\daily.cvd /y copy \\sambapdc\netlogon\bdclam\bytecode.cvd /y ::copy \\sambapdc\netlogon\bdclam\main.cvd /y :: :: CARREGA O SCRIPT PARA SINCRONIZAR O CLAM SENTINEL clamsentinel.bat Script clamsentinel.bat @echo off :: -- ATUALIZANDO AS CONFIGURACOES DO CLAM SENTINEL :: c: cd %userprofile%\dados de aplicativos\clamsentinel if exist ClamSentinel.ini: del ClamSentinel.ini copy \\sambapdc\netlogon\clam\clamsentinel.ini /y cd C:\Arquivos de programas\clamsentinel\ start ClamSentinel.exe Script updatecopy.sh: Script que irá atualizar a base de dados do antivírus, e disponibilizá-los na pasta compartilhada do netlogon: #!/bin/bash freshclam sleep 5 ORIGEM='/var/clamav/'

DESTINO='/home/netlogon/bdclam/' # --- APAGAR OS ARQUIVOS ATUAIS cd $DESTINO rm bytecode.cvd rm daily.cvd rm main.cvd sleep 10 # --- COPIAR NOVOS ARQUIVOS cd $ORIGEM cp bytecode.cvd $DESTINO cp daily.cvd $DESTINO cp main.cvd $DESTINO 4. Procedimentos de teste e resultados As configurações e testes foram realizados em maquinas virtuais, utilizando o VirtualBox. O servidor é composto pela distribuição Linux CentOS 5.4, Clamav 0.96.4, alem do Samba e DHCP. O serviço de controlador de domínio só funcionou após a instalação e configuração do Bind (serviço de DNS). Foram efetuados testes com os scripts, para saber se estavam executando as tarefas conforme programado. Para certificar que os arquivos de banco de dados e configurações do Clamwin e Clam Sentinel estavam sendo carregados ao efetuar logon no domínio Samba, três procedimentos foram adotados: 1 Personalizar os arquivos de configuração e agendamento personalizados com a maquina virtual emulando o Windows XP, e disponibilizar na pasta netlogon; 2 Testar a verificação em real time do Clam Sentinel, copiando alguns malwares para uma pasta na maquina local. O Clam Sentinel impediu que os arquivos identificados como malware, fossem copiados para a pasta local, colocando os arquivos em quarentena; 3 Desativar o Clam Sentinel para que seja possível copiar os arquivos infectados para a pasta local, e assim efetuar um escaneamento com o Clamwin. Resultados: Os arquivos de configuração original do Clamwin e Clam Sentinel foram alteradas pelos arquivos descarregados do servidor, indicando que a sincronização foi realizada com sucesso. Após copiar os malwares para a pasta local, antes de receber as atualizações do banco de dados, utilizando uma versão ultrapassada do banco de dados, foi efetuado um escaneamento na pasta, e anotado a quantidade encontrada de arquivos infectados. Após receber as atualizações de banco de dados do servidor, a pasta com malware foi verificada novamente. A quantidade encontrada de arquivos infectados, foi superior ao teste realizado com o banco de dados ultrapassado, indicando que a sincronização do banco de dados foi realizada com sucesso. O Clamwin dispõe de um recurso que envia e-mail, caso seja encontrado algum arquivo infectado em seus escaneamentos agendados. Este recurso não funcionou nos testes, devido a limitação do Clamwin, onde este envia e-mails apenas pela a porta 25. Hoje é raro encontrar servidores SMTP que utilizam a porta 25 para envio de e-mails. O comum é a porta 465, utilizando conexão criptografada (SSL). O que poderia resolver este problema, é criar um servidor SMTP local, com a porta 25 habilitada apenas para a rede interna. O servidor Linux poderia ser utilizado para esta finalidade. 5. Recomendações

Proteger uma rede 100% contra infecções de malwares, é meramente impossível. Alem de uma boa politica de segurança da informação, alguns procedimentos devem ser seguidos para que alcance um maior nível de segurança. Usuário com permissão de acessar qualquer tipo de site na internet, podem gerar problemas já conhecidos por administradores de rede [5]. Sites de pornografia, redes sociais [6], download de softwares e filmes, sempre possui algum tipo de malware. Impedir o usuário de efetuar instalações, também ajuda muito, pois é comum o usuário que deseja instalar aquele programinha que faz algo que ele gosta. Se a politica de segurança da informação adotada em sua empresa, não impede o uso de pen drives ou cartão de memória, é melhor rever este assunto. O uso de unidades de armazenamento (pen drive, cartão de memória) é um grande foco de infecções. Devido a facilidade em movimentar ou trocar arquivos através de pen drives, os cibercriminosos trataram de desenvolver malwares que exploram as falhas dos sistemas operacionais ao executar o autorun (processo que facilita o uso de dispositivos removíveis, ao serem conectados). Treinamento e sensibilização: Efetuar treinamento de usuários afim de sensibilizá-los, mostrando-os a pura realidade, de perigos que nos cercam. 6. Conclusão Basta uma rápida pesquisa na internet, e encontraremos inúmeros exemplos de algum tipo de prejuízo ou destruição causados por vírus de computadores. Investir em segurança de redes é um item importante no orçamento de qualquer empresa. Mas não adianta apenas investir em técnicas e ferramentas de segurança e anti malwares, se não houver boas práticas por parte dos usuários do que adianta ter um bom antivírus, se o usuário tem permissão de efetuar instalações?. O antivírus Clamwin tem uma taxa de detecção baixa, em relação a outros antivírus conhecidos. Não aconselho seu uso em redes complexas, já que, quando se pode comprar bons equipamentos de valores elevados, acrescentar alguns itens no orçamento para a compra de um bom antivírus com suporte técnico decente, não é nada assustador. Sabemos que na vida real existe inúmeros tipos de crimes, no mundo da informática não é diferente. O correto é formalizar uma boa política de segurança da informação, analisando e revendo todos os focos de ameaças, e assim colocá-las em prática. Sensibilizar os usuários para que seja seu próprio antivírus, a partir de boas práticas. Informar sobre os perigos que chegam pela internet e mensagens de e-mails, alem do uso de pen drives. 7. Referências [1] http://www.vivaolinux.com.br/artigo/samba-pdc-com-debian-e-clamwin-antivirussincronizado-nas-estacoes/ [2] http://www.clamav.net/ [3] http://www.clamwin.com/ [4] http://cgi.clamav.net/sendvirus.cgi [5] http://pcworld.uol.com.br/noticias/2008/09/25/dois-em-cada-tres-usuarios-clicam-nobotao-ok-de-pop-ups-sem-pensar/ [6] http://www.linhadefensiva.org/2009/07/virus-especializado-em-redes-sociais-ataca-twitter/ [7] http://pt.wikipedia.org/wiki/malware [8] http://row.avira.com/pt-br/onlineshop/index.html [9] http://clamsentinel.sourceforge.net/