Red Hat Enterprise Linux 4 Guia de Segurança
Red Hat Enterprise Linux 4: Guia de Segurança Copyright 2005 por Red Hat, Inc. Red Hat, Inc. 1801Varsity Drive RaleighNC 27606-2072USA Telefone: +1 919 754 3700Telefone: 888 733 4281Fax: +1 919 754 3701PO Box 13588Research Triangle Park NC 27709 USA rhel-sg(pt)-4-impressão-rhi (2004-09-30T17:12) Copyright 2005 Red Hat, Inc. Este material pode ser distribuído somente sob os termos e condições definidos na Open Publication License, versão 1.0 ou mais recente (a versão mais recente está disponível em http://www.opencontent.org/openpub/). É proibida a distribuição de versões substancialmente modificadas deste documento sem a permissão explícita do titular dos direitos autorais. É proibida a distribuição total ou parcial do trabalho envolvido neste manual, em qualquer formato de livro (papel), para fins comerciais, sem a autorização prévia do titular dos direitos autorais. Red Hat e o logo "Shadow Man" da Red Hat são marcas registradas da Red Hat, Inc. nos EUA e em outros países. Todas as outras marcas referidas neste são de propriedade de seus respectivos titulares. O número do código de segurança GPG em security@redhat.comé: CA 20 86 86 2B D6 9D FC 65 F6 EC C4 21 91 80 CD DB 42 A6 0E
Índice Introdução...i 1. Informações específicas da arquitetura...ii 2. Convenções de Documentos...ii 3. Ative Sua Assinatura... v 3.1. Prover um Login para a Red Hat... v 3.2. Prover Seu Número de Assinatura... v 3.3. Conectar Seu Sistema... v 4. Mais por vir...vi 4.1. Envie-nos Seu Feedback...vi I. Uma Introdução Genérica à Segurança...i 1. Visão Geral de Segurança... 1 1.1. O que é Segurança em Computadores?... 1 1.2. Controles de Segurança... 5 1.3. Conclusão... 6 2. Atacantes e Vulnerabilidades... 9 2.1. Uma Breve História sobre Hackers... 9 2.2. Ameaças à Segurança da Rede... 10 2.3. Ameaças à Segurança do Servidor... 10 2.4. Ameaças à Segurança da Estação de Trabalho e PC Pessoal... 12 II. Configurando o Red Hat Enterprise Linux para Segurança... 15 3. Atualizações de Segurança... 17 3.1. Atualizando Pacotes... 17 4. Segurança da Estação de Trabalho... 23 4.1. Avaliando a Segurança da Estação de Trabalho... 23 4.2. Segurança do BIOS e do Gestor de Início... 23 4.3. Segurança da Senha... 25 4.4. Controles Administrativos... 30 4.5. Serviços de Rede Disponíveis... 36 4.6. Firewalls Pessoais... 39 4.7. Ferramentas de Comunicação de Segurança Aprimorada... 39 5. Segurança do Servidor... 41 5.1. Protegendo Serviços com TCP Wrappers e xinetd... 41 5.2. Protegendo o Portmap... 44 5.3. Protegendo o NIS... 45 5.4. Protegendo o NFS... 47 5.5. Protegendo o Servidor HTTP Apache... 48 5.6. Protegendo o FTP... 49 5.7. Protegendo o Sendmail... 51 5.8. Verificando Quais Portas estão Escutando... 52 6. Redes Privadas Virtuais (Virtual Private Networks)... 55 6.1. VPNs e Red Hat Enterprise Linux... 55 6.2. IPsec... 55 6.3. Instalação do IPsec... 56 6.4. Configuração Máquina-a-Máquina do IPsec... 56 6.5. Configuração Rede-a-Rede do IPsec... 60 7. Firewalls... 65 7.1. Netfilter e iptables... 66 7.2. Usando o iptables... 67 7.3. Filtragem Comum do iptables... 68 7.4. Regras FORWARD e NAT... 69 7.5. Vírus e Endereços IP Espionados (spoofed)... 71 7.6. iptables e Registro de Conexão... 72 7.7. ip6tables... 72
7.8. Recursos Adicionais... 73 III. Avaliando Sua Segurança... 75 8. Avaliação de Vulnerabilidade... 77 8.1. Pensando Como o Inimigo... 77 8.2. Definindo Avaliação e Testes... 78 8.3. Avaliando as Ferramentas... 79 IV. Intrusões e Resposta a Incidentes... 83 9. Detecção de Invasão... 85 9.1. Definindo Sistemas de Detecção de Intrusão... 85 9.2. IDS baseado no servidor... 86 9.3. IDS baseado em rede... 88 10. Resposta ao Incidente... 91 10.1. Definindo Resposta ao Incidente... 91 10.2. Criando um Plano de Resposta ao Incidente... 91 10.3. Implementando o Plano de Resposta ao Incidente... 93 10.4. Investigando o Incidente... 93 10.5. Restaurando e Recuperando Recursos... 96 10.6. Reportando o Incidente... 97 V. Apêndices... 99 A. Proteção ao Hardware e à Rede... 101 A.1. Topologias de Rede Segura... 101 A.2. Segurança de Hardware... 104 B. Exploits e Ataques Comuns... 107 C. Portas Comuns... 111 Índice Remissivo... 125 Considerações finais... 131
Introdução Bem-vindo ao Guia de Segurança do Red Hat Enterprise Linux! O Guia de Segurança do Red Hat Enterprise Linux é desenvolvido para auxiliar usuários do Red Hat Enterprise Linux a aprender os processos e práticas para proteger estações de trabalho e servidores de intrusões locais e remotas, exploits e atividades maldosas. O Guia de Segurança do Red Hat Enterprise Linux detalha o planejamento e as ferramentas envolvidas na criação de um ambiente computacional seguro para o centro de dados (data center), ambiente de trabalho e doméstico. Com o conhecimento, vigilância e ferramentas apropriados, os sistemas rodando o Red Hat Enterprise Linux podem ser totalmente funcionais e protegidos contra os métodos de intrusão e exploit mais comuns. Este manual aborda detalhadamente diversos tópicos relacionados a segurança, incluindo: Firewalls Criptografia Protegendo Serviços Críticos Redes Privadas Virtuais (Virtual Private Networks) Detecção de Intrusão O manual é dividido nas partes seguintes: Introdução Genérica à Segurança Configurando o Red Hat Enterprise Linux para Segurança Avaliando Sua Segurança Intrusões e Resposta a Incidentes Apêndice Nós gostaríamos de agradecer Thomas Rude por suas generosas contribuições a este manual. Ele escreveu os capítulos Avaliações de Vulnerabilidade e Resposta ao Incidente. Muito obrigado, Thomas! Este manual assume que você tem um conhecimento avançado do Red Hat Enterprise Linux. Se você for um novo usuário ou tiver conhecimento básico a intermediário do Red Hat Enterprise Linux e deseja mais informações sobre como utilizar o sistema, por favor consulte os seguintes manuais, que abordam os aspectos fundamentais do Red Hat Enterprise Linux de forma mais detalhada que o Guia de Segurança do Red Hat Enterprise Linux: O Guia de Instalação do Red Hat Enterprise Linux traz informações sobre a instalação. O Introdução à Administração de Sistemas Red Hat Enterprise Linux contém informações introdutórias para novos administradores de sistemas Red Hat Enterprise Linux. O Guia de Administração de Sistemas Red Hat Enterprise Linux oferece informações detalhadas sobre como configurar o Red Hat Enterprise Linux para servir suas necessidades particulares como usuário. Este manual inclui alguns serviços que são abordados (sob o ponto de vista de segurança) no Guia de Segurança do Red Hat Enterprise Linux. O Guia de Referência do Red Hat Enterprise Linux traz informações detalhadas para a consulta dos usuários mais experientes quando necessária, ao contrário das instruções passo-a-passo. As versões HTML, PDF e RPM dos manuais estão disponíveis no CD de Documentação do Red Hat Enterprise Linux e online: http://www.redhat.com/docs/.
ii Introdução Nota Apesar deste manual refletir as informações mais recentes possíveis, leia as Notas da Versão do Red Hat Enterprise Linux para acessar as informações que não estavam disponíveis antes da finalização de nossa documentação. Elas podem ser encontradas no CD 1 do Red Hat Enterprise Linux e online: http://www.redhat.com/docs/. 1. Informações específicas da arquitetura Exceto quando informado, todas as informações contidas neste manual se aplicam somente ao processador x86 e aos processadores com as tecnologias Intel Extended Memory 64 Technology (EM64T da Intel ) e AMD64. Para obter informações de arquiteturas específicas, consulte o Guia de Instalação do Red Hat Enterprise Linux. 2. Convenções de Documentos Ao ler este manual, determinadas palavras estão representadas com fontes, tipos, tamanhos e pesos diferentes. Este destaque é sistemático; palavras diferentes são representadas no mesmo estilo para indicar sua inclusão em uma categoria específica. Os tipos de palavras representadas desta maneira incluem as seguintes: comando Os comandos do Linux (e comandos de outros sistemas operacionais, quando usados) são representados desta maneira. Este estilo indica que você pode digitar a palavra ou frase na linha de comandos e pressionar [Enter] para invocar um comando. Às vezes o comando contém palavras que serão exibidas em um estilo diferente por si só (como nomes de arquivos). Nestes casos, estas são consideradas parte do comando, e então a frase inteira será exibida como um comando. Por exemplo: Use o comando cat testfile para visualizar o conteúdo de um arquivo chamado testfile, no diretório de trabalho atual. nome do arquivo Nomes de arquivos, diretórios, localidades de arquivos e nomes de pacotes RPM são representados desta maneira. Este estilo indica que existe um determinado arquivo ou diretório com aquele nome no seu sistema. Exemplos: O arquivo.bashrc do seu diretório home contém definições da janela de comandos tipo bash e codenomes para seu uso pessoal. O arquivo /etc/fstab contém informações sobre os dispositivos e sistemas de arquivo diferentes do sistema. Instale o RPM webalizer se você quiser usar um programa de análise do arquivo de registro do servidor Web. aplicação Este estilo indica que o programa é uma aplicação direcionada ao usuário final (ao contrário do software do sistema). Por exemplo: Use o Mozilla para navegar na Web.
Introdução iii [tecla] Uma tecla do teclado é exibida neste estilo. Por exemplo: Para usar a tecla complementar [Tab] num terminal, digite um caractere e então pressione a tecla [Tab]. Seu terminal exibe uma lista dos arquivos contidos no diretório que começam com esta letra. [tecla]-[combinação] Uma combinação de sequência de teclas é representada desta maneira. Por exemplo: A combinação de teclas [Ctrl]-[Alt]-[Espaço] termina sua sessão gráfica, retornando à tela ou ao console da autenticação gráfica. texto exibido em uma interface GUI (gráfica) Um título, palavra ou frase na tela ou janela da interface GUI é exibida neste estilo. O texto exibido neste estilo é usado na identificação de uma tela GUI específica ou um elemento de uma tela GUI (como o texto associado a uma caixa de verificação ou campo). Exemplo: Selecione a caixa de verificação Solicitar Senha se você deseja que seu protetor de tela solicite uma senha antes de ser desbloqueado. nível superior de um menu em uma tela ou janela GUI Uma palavra neste estilo indica que a palavra está no nível superior de um menu suspenso (pulldown menu). Se você clicar na palavra na tela GUI, o resto do menu deverá aparecer. Por exemplo: Abaixo de Arquivo em um terminal do GNOME, você verá a opção Nova Aba, que permite a você abrir diversos prompts de comando na mesma janela. Se você precisar digitar uma sequência de comandos a partir de um menu GUI, eles são exibidos como o exemplo a seguir: Vá para Botão do Menu Principal (no Painel) => Programação => Emacs para iniciar o editor de texto Emacs. botão em uma tela ou janela GUI Este estilo indica que o texto pode ser encontrado em um botão clicável de uma tela GUI. Por exemplo: Clique no botão Voltar para retornar à última página web que você visitou. output do computador prompt Texto neste estilo indica o texto exibido em uma janela de comandos, como mensagens de erro e respostas a comandos. Por exemplo: O comando ls exibe o conteúdo de um diretório: Desktop about.html logs paulwesterberg.png Mail backupfiles mail reports O output exibido em resposta ao comando (neste caso, o conteúdo do diretório) é apresentado neste estilo. Um prompt (ou janela de comandos), uma forma computacional de dizer que o computador está pronto para você inserir algo (input), será exibido desta maneira. Exemplos: $ #
iv Introdução [stephen@maturin stephen]$ leopard login: input do usuário O texto que o usuário precisa digitar, na linha de comandos ou em uma caixa de texto em uma tela GUI, é apresentado neste estilo. No exemplo a seguir, text é exibido neste estilo: Para inicializar seu sistema no programa de instalação em modo texto, você deve digitar o comando text no prompt boot:. substituível Texto usado para exemplos que devem ser subtituídos com dados providos pelo usuário são apresentados neste estilo. No exemplo a seguir, version-number é exibido neste estilo: O diretório da fonte do kernel é /usr/src/ version-number /, onde version-number é a versão do kernel instalado neste sistema. Adicionalmente, nós utilizamos diversas estratégias diferentes para chamar sua atenção a determinadas partes da informação. De acordo com o quão crucial as informações são para seu sistema, elas são apresentadas como uma nota (lembrete), dica, importante, atenção ou um aviso. Por exemplo: Nota Lembre-se que o Linux é sensível a maiúsculas e minúsculas. Em outras palavras, uma rosa não é uma ROSA nem uma rosa. Dica O diretório /usr/share/doc/ contém documentação adicional para os pacotes instalados em seu sistema. Importante Se você modificar o arquivo de configuração do DHCP, as alterações não terão efeito até que você reinicie o daemon do DHCP. Atenção Não execute tarefas de rotina como root use uma conta de usuário comum, a não ser que você precise usar a conta root para tarefas de administração do sistema.
Introdução v Aviso Cuidado para remover somente as partições necessárias do Red Hat Enterprise Linux. Remover outras partições pode resultar na perda de dados ou num ambiente de sistema corrompido. 3. Ative Sua Assinatura Antes de poder acessar as informações de manutenção do software e serviços, e a documentação de suporte inclusa em sua assinatura, você deve ativar sua assinautra registrando-a na Red Hat. O registro inclui estes passos simples: Prover um login para a Red Hat Prover um número para a assinatura Conectar seu sistema Na primeira vez que iniciar a instalação de seu Red Hat Enterprise Linux, você verá o pedido de registro na Red Hat usando o Agente de Configuração. Se você seguir os pedidos durante o Agente de Configuração, poderá completar os passos do registro e ativar sua assinatura. Se você não puder completar o registro durante o Agente de Configuração (que requer acesso à rede), pode, alternativamente, completar o processo de registro da Red Hat online: http://www.redhat.com/register/. 3.1. Prover um Login para a Red Hat Se você ainda não possui um login para a Red Hat, pode criá-lo quando for solicitado no Agente de Configuração ou online em: https://www.redhat.com/apps/activate/newlogin.html Um login da Red Hat habilita seu acesso a: Atualizações, erratas e manutenção do software através da Red Hat Network Recursos do suporte técnico, documentação e base de dados de conhecimento (knowledgebase) da Red Hat Se você esqueceu seu login da Red Hat, pode fazer uma busca online em: https://rhn.redhat.com/help/forgot_password.pxt 3.2. Prover Seu Número de Assinatura Seu número de assinatura está localizado no pacote que acompanha seu pedido. Caso seu pacote não inclua um número de assinatura, sua assinautra já foi ativada e, portanto, você pode pular este passo. Você pode prover seu número de assinatura ao ser solicitado durante o Agente de Configuração ou visitando http://www.redhat.com/register/.
vi Introdução 3.3. Conectar Seu Sistema O Cliente de Registro da Red Hat Network auxilia na conexão de seu sistema para que você possa obter as atualizações e efetuar a administração de sistemas. Há três maneiras para conectar: 1. Durante o Agente de Configuração Selecione as opções Enviar informações de hardware e Enviar lista de pacotes do sistema quando aparecerem. 2. Após completar o Agente de Configuração No Menu Principal, clique em Ferramentas do Sistema, e então selecione Red Hat Network. 3. Após completar o Agente de Configuração Invoque o seguinte na janela de comandos como usuário root: /usr/bin/up2date --register 4. Mais por vir O Guia de Segurança do Red Hat Enterprise Linux é parte do crescente comprometimento da Red Hat em prover suporte e informações úteis e oportunas para usuários do Red Hat Enterprise Linux. Conforme novas ferramentas e metodologias de segurança são criadas, este guia será expandido para incluí-las. 4.1. Envie-nos Seu Feedback Se você encontrar um erro de digitação no Guia de Segurança do Red Hat Enterprise Linux ou se pensar numa maneira de aprimorar este manual, nós gostaríamos de saber! Por favor, submeta um relatório ao Bugzilla (http://bugzilla.redhat.com/bugzilla/) sobre o componente rhel-sg. Certifique-se de mencionar o identificador do manual: rhel-sg(pt)-4-impressão-rhi (2004-09-30T17:12) Ao mencionar o identificador, nós saberemos exatamente qual versão do manual você possui. Se você tiver alguma sugestão para melhorar a documentação, tente ser o mais específico possível. Se encontrou um erro, por favor inclua o número da seção e trechos de texto próximo ao erro para podermos encontrá-lo facilmente.
I. Uma Introdução Genérica à Segurança Esta parte traz a definição de segurança da informação, sua história e o setor que foi desenvolvido em torno desta questão. Também aborda alguns dos riscos enfrentados por usuários e administradores de computadores. Índice 1. Visão Geral de Segurança... 1 2. Atacantes e Vulnerabilidades... 9
Visão Geral de Segurança Capítulo 1. Devido ao crescente suporte de computadores de rede poderosos para fazer negócios e manter controle de nossas informações pessoais, as indústrias têm sido constituídas com a prática de segurança nos computadores e nas redes. Empreendimentos têm solicitado o conhecimento e habilidades de peritos em segurança para auditar sistemas apropriadamente e customizar soluções para os requerimentos operacionais das organizações. Já que a maioria das organizações são dinâmicas por natureza, com funcionários acessando os recursos de IT da empresa localmente e remotamente, a necessidade de ambientes de rede seguros se tornou ainda mais acentuada. Infelizmente, a maioria das empresas (assim como usuários individuais) encaram a segurança como uma preocupação em segundo plano, um processo visto em favor de questões de aumento de poder, produtividade e orçamentárias. Implementações de segurança apropriadas são frequentemente executadas postmortem após uma intrusão não autorizada já ter ocorrido. Peritos em segurança concordam que as medidas corretas, tomadas antes de conectar um site a uma rede não confiável - como a Internet - é um meio efetivo de impedir a maioria das tentativas de intrusão. 1.1. O que é Segurança em Computadores? Segurança em computadores é um termo geral que abrange uma grande área da computação e processamento de dados. Setores que dependem de sistemas de computador e redes para conduzir transações diárias de negócios e acessar informações cruciais, encaram seus dados como uma parte importante de seus recursos. Diversos termos e medidas foram inseridos em nosso cotidiano, tais como custo total de propriedade (total cost of ownership - TCO) e qualidade de serviço (quality of service - QoS). Nestas medidas, setores calculam aspectos como integridade de dados e alta disponibilidade como parte de seus custos de planejamento e gerenciamento de processos. Em alguns setores, tal como comércio eletrônico, a disponibilidade e confiabilidade de dados pode ser a diferença entre sucesso e fracasso. 1.1.1. Como surgiu a Segurança em Computadores? Muitos leitores talvez lembrem do filme "Jogos de Guerra," com Matthew Broderick no papel de um estudante colegial que invade o supercomputador do Departamento de Defesa dos EUA (Department of Defense - DoD), e inadvertidamente causa uma ameaça nuclear. Neste filme, Broderick usa seu modem para discar ao computador do DoD (chamado WOPR) e brinca de jogos com o software artificialmente inteligente controlando todos os armazéns de mísseis nucleares. O filme foi lançado durante a "guerra fria" entre a ex União Soviética e os EUA e foi considerado um sucesso em seu lançamento em 1983. A popularidade do filme inspirou muitas pessoas e grupos a começar a implementar alguns dos métodos que o jovem protagonista utilizou para violar sistemas restritos, inclusive o que é conhecido como war dialing um método de busca de números de telefone para conexões de modem analógicos em uma combinação de determinado prefixo de área e prefixo de telefone. Mais de 10 anos depois, após uma busca multi-jurisdição de quatro anos envolvendo o FBI (Federal Bureau of Investigation) e a ajuda de profissionais de computação em todo o país, o notório cracker Kevin Mitnick foi preso e processado por 25 fraudes de contas de computador e acesso a dispositivos, que resultaram em perdas de propriedade intelectual e código-fonte da Nokia, NEC, Sun Microsystems, Novell, Fujitsu e Motorola estimadas em US$80 milhões. Na época, o FBI considerou-o como o maior crime relacionado a computadores na história dos EUA. Ele foi condenado e sentenciado a 68 meses de prisão por seus crimes, dos quais serviu 60 meses antes de sua condicional em 21 de Janeiro de 2000. Ele foi proibido de usar computadores ou prestar qualquer consultoria relacionada a computadores até 2003. Investigadores dizem que Mitnick era perito em engenharia social utilizar indivíduos para ganhar acesso a senhas e sistemas usando credenciais falsificadas.
2 Capítulo 1. Visão Geral de Segurança A segurança da informação evoluiu através dos anos devido à crescente dependência de redes públicas para expor informações pessoais, financeiras e outras informações restritas. Há diversos casos como o de Mitnick e o de Vladamir Levin (consulte a Seção 1.1.2 para mais informações) que surgiram em empresas de todos os setores para repensar a maneira com que lidam com a transmissão e exposição de informações. A popularidade da Internet foi um dos aspectos mais importantes que exigiu um esforço intenso na segurança de dados. Um número cada vez maior de pessoas está utilizando seu computador pessoal para acessar os recursos que a Internet oferece. De pesquisas e recuperação de informações a correspondência eletrônica e transações comerciais, a Internet é considerada um dos desenvolvimentos mais importantes do século XX. A Internet e seus protocolos mais antigos, no entanto, foram desenvolvidos como um sistema baseado na confiança. Ou seja, o Protocolo de Internet (IP) não foi desenvolvido para ser intrinsicamente seguro. Não há padrões de segurança aprovados dentro do esquema de comunicação TCP/IP, deixando-o aberto a usuários maldosos e processos através da rede. O desenvolvimento de modems tornou a comunicação via Internet mais segura, mas ainda há diversos incidentes que ganham atenção nacional e nos alertam para o fato de que nada é completamente seguro. 1.1.2. Cronologia da Segurança em Computadores Diversos eventos-chave contribuíram para o nascimento e crescimento da segurança em computadores. A cronologia a seguir lista alguns dos eventos mais importantes da computação e segurança da informação, e suas importâncias hoje. 1.1.2.1. Os Anos 30 e 40 Criptógrafos poloneses inventam a máquina Enigma em 1918, um dispositivo rotor eletromecânico de cifras que converte mensagens puramente texto em um resultado criptografado. Desenvolvido originalmente para proteger comunicações bancárias, o exército alemão vê no dispositivo o potencial de proteger as comunicações durante a 2a Guerra Mundial. Um matemático brilhante chamado Alan Turing desenvolve um método para quebrar os códigos da Enigma, possibilitando às forças aliadas desenvolver a Colossus, uma máquina que recebeu créditos por findar a guerra um ano antes. 1.1.2.2. Os Anos 60 Estudantes do Massachusetts Institute of Technology (MIT) formaram o Tech Model Railroad Club (TMRC), que começou a explorar e programar o sistema de computadores de grande porte PDP-1 da escola. O grupo evetualmente usa o termo "hacker" no contexto em que é conhecido hoje. O DoD (Departamento de Defesa dos EUA) cria a Rede da Agência de Projetos de Pesquisa Avançada (Advanced Research Projects Agency Network - ARPANet), que ganha popularidade em pesquisas e círculos acadêmicos como um condutor do intercâmbio eletrônico de informações e dados. Isto pavimentou o caminho para a criação da rede de transporte conhecida hoje como Internet. Ken Thompson desenvolve o sistema operacional UNIX, amplamente aclamado como o sistema operacional mais "hacker-friendly" devido às suas ferramentas acessíveis a desenvolvedores e compiladores e também à sua comunidade de usuários colaborativos. Quase ao amesmo tempo, Dennis Ritchie desenvolve a linguagem de programação C, discutivelmente a linguagem hacking mais popular da história dos computadores.
Capítulo 1. Visão Geral de Segurança 3 1.1.2.3. Os Anos 70 Bolt, Beranek e Newman, uma empresa de pesquisa e desenvolvimento em computadores para o governo e indústria, desenvolve o protocolo Telnet, uma extensão pública da ARPANet. Isto abre portas para o uso público de redes de dados antes restritas a empresas do governo e pesquisadores acadêmicos. O Telnet, no entanto, também é discutivelmente o protocolo mais inseguro para redes públicas, de acordo com diversos pesquisadores em segurança. Steve Jobs e Steve Wozniak fundaram a Apple Computer e começaram a comercializar o computador pessoal (Personal Computer - PC). O PC é o trampolim para diversos usuários maldosos aprenderem a arte do cracking remoto em sistemas, usando hardware de comunicação comum de PC, como modems analógicos e war dialers. Jim Ellis e Tom Truscott criam o USENET, um sistema de estilo mural (bulletin-board) para comunicação eletrônica entre usuários díspares. O USENET torna-se rapidamente um dos meios mais conhecidos de intercâmbio de idéias em computação, redes e, obviamente, cracking. 1.1.2.4. Os Anos 80 A IBM desenvolve e comercializa PCs baseados no microprocessador Intel 8086, uma arquitetura relativamente barata que trouxe a computação do escritório para casa. Isto serve para transformar o PC numa ferramenta comum e acessível, que era relativamente poderosa e fácil de usar, ajudando a proliferação deste tipo de hardware nos lares e escritórios de usuários maldosos. O Protocolo de Controle de Transmissão (Transmission Control Protocol), desenvolvido por Vint Cerf, é dividido em duas partes distintas. O Protocolo de Internet (IP) surge desta divisão, e o protocolo combinado TCP/IP torna-se o padrão para toda a comunicação via Internet de hoje. Baseada em desenvolvimentos na área de phreaking, ou explorando e hackeando o sitema de telefonia, a revista 2600: The Hacker Quarterly é criada e começa a abordar temas como o cracking e redes de computadores para uma grande audiência. A gang 414 (assim nomeada em função do código de área de onde haqueava) é surpreendida pelas autoridades após nove dias de cracking no qual a gang violou os sistemas de uma localização altamente secreta, o Los Alamos National Laboratory, um local de pesquisas de armas nucleares. The Legion of Doom e o Chaos Computer Club são dois grupos pioneiros de crackers que começam a explorar as vulnearbilidades em computadores e redes eletrônicas de dados. O Ato de Fraude e Abuso de Computador de 1986 (Computer Fraud and Abuse Act) foi votado e transformado em lei pelo congresso americano baseado nos exploits de Ian Murphy, também conhecido com Capitão Zap, que violou computadores militares, roubou informações de bancos de dados de pedidos de mercadorias e utilizou os quadros restritos de distribuição de telefone do governo para efetuar ligações telefônicas. Baseado no Ato de Fraude e Abuso de Computador, a côrte condena Robert Morris, um graduando, por distribuir o vírus Morris Worm para mais de 6.000 computadores vulneráveis conectados à Internet. O próximo caso mais proeminente julgado sob este ato foi o de Herbert Zinn, um colegial que abandonou os estudos, que crackeou e fez mal-uso dos sistemas da AT&T e do DoD (Departamento de Defesa dos EUA). Baseado na preocupação de que a órdea do Morris Worm pudesse ser replicada, é criada a Equipe de Resposta a Emergências de Computador (Computer Emergency Response Team - CERT) para alertar usuários das questões de segurança em redes. Clifford Stoll escreve The Cuckoo s Egg, o resultado de sua investigação sobre crackers que exploraram seu sistema.
4 Capítulo 1. Visão Geral de Segurança 1.1.2.5. Os Anos 90 A ARPANet é desativada. O tráfego desta rede é transferido para a Internet. Linus Torvalds desenvolve o kernel do Linux para utilização com o sistema operacional GNU. O amplo desenvolvimento e adoção do Linux se deve, em grande parte, à colaboração e comunicação de usuários e desenvolvedores via Internet. Devido às suas raízes no Unix, o Linux é mais popular entre hackers e administradores que o consideram muito útil para elaborar alternativas seguras para servidores legados que rodam sistemas operacionais proprietários (com código fechado). O navegador (browser) gráfico é criado e estimula uma demanda exponencialmente alta por acesso público à Internet. Vladimir Levin é cúmplice da transfência ilegal de US$10 milhões em fundos para diversas contas crackeando o banco de dados central do CitiBank. Levin é preso pela Interpol e quase todo o dinheiro é recuperado. Possivelmente, o precursor de todos os crackers é Kevin Mitnick, que hackeou diversos sistemas corporativos roubando tudo - de informações pessoais de celebridades a mais de 20.000 números de cartões de crédito e código fonte de software proprietário. Ele é preso, condenado por fraude e fica 5 anos na prisão. Kevin Poulsen e um cúmplice desconhecido manipulam sistemas de telefonia de uma estação de rádio para ganhar carros e prêmios em dinheiro. Ele é condenado por fraude e sentenciado a 5 anos de prisão. As histórias de cracking e phreaking se tornam lendas; e muitos crackers em potencial se reúnem na convenção anual DefCon para celebrar o cracking e trocar idéias entre seus pares. Um estudante israelense de 19 anos é preso e condenado por coordenar várias violações aos sistemas do governo americano durante o conflito no Golfo Pérsico. Oficiais militares o chamam de "o ataque mais organizado e sistemático" a sistemas de governo na história dos EUA. A Procuradora dos EUA Janet Reno, em resposta às crescentes violações de segurança aos sistemas do governo, estabelece o Centro de Proteção à Infraestrutura Nacional (National Infrastructure Protection Center). Satélites de comunicação ingleses são tomados e controlados por criminosos desconhecidos. O governo britânico eventualmente se apropria do controle dos satélites. 1.1.3. A Segurança Hoje Em Fevereiro de 2000, um ataque Denial of Service Distribuído (Distributed Denial of Service - DDoS) foi espalhado a vários servidores de sites de maior tráfego na Internet. O ataque tomou controle do yahoo.com, cnn.com, amazon.com, fbi.gov e vários outros sites completamente inacessíveis para usuários normais, pois bloqueou roteadores por várias horas com transferências de grandes pacotes ICMP, também chamados de ping flood. O ataque foi de autoria desconhecida usando programas criados especialmente e amplamente disponíveis, que sannearam servidores de rede vulneráveis, instalaram aplicações cliente chamadas trojans nos servidores e marcaram um ataque com todos os servidores infectados inundando os sites vítimas e tornando-os indisponíveis. Muitos culparam o ataque à obsolescência da maneira como roteadores e protocolos usados são estruturados para aceitar todos os dados externos, não importando de onde ou para qual propósito os pacotes são enviados. Isso nos traz ao novo milênio, um tempo em que aproximadamente 945 milhões de pessoas usam ou usaram a Internet ao redor do mundo (Computer Industry Almanac, 2004). Ao mesmo tempo:
Capítulo 1. Visão Geral de Segurança 5 Num dia qualquer, são estimados 225 grandes incidentes de exploração de vulnerabilidades reportados ao Centro de Coordenação da CERT na Universidade Carnegie Mellon. 1 Em 2003, o número de incidentes reportados à CERT pulou para 137.529 de 82.094 em 2002 e de 52.658 em 2001. 2 O impacto econômico am nível mundial dos três vírus mais perigosos da Internet nos últimos três anos foi estimado em US$13.2 bilhões. 3 A segurança em computadores tornou-se uma despesa quantificável e justificável em todos os orçamentos de TI. Empresas que requerem integridade de dados e alta disponibilidade, evocam as habilidades de administradores de sistemas, desenvolvedores e engenheiros para garantir confiabilidade de seus sistemas, serviços e informações 24 horas por dia, sete dias por semana. Cair nas mãos de usuários, processos ou ataques maldosos coordenados é uma ameaça direta ao sucesso da empresa. Infelizmente, a segurança de sistemas e redes pode ser uma tarefa difícil, que requer o conhecimento complexo de como a empresa encara, usa, manipula e transmite suas informações. Entender a maneira como a empresa (e as pessoas que a constituem) conduz os negócios é primordial para a implementação de um plano de segurança apropriado. 1.1.4. Padronizando a Segurança Empresas de todos os setores dependem de regulamentações e padrões definidos por associações como a Associação Médica Americana (American Medical Association - AMA) ou o Instituto de Engenheiros Elétricos e Eletrônicos (Institute of Electrical and Electronics Engineers - IEEE). As mesmas idéias valem para a segurança da informação. Muitas consultorias e fabricantes da área de segurança concordam com o modelo de segurança padrão conhecido como CIA, ou Confidentiality, Integrity, and Availability (Confidencialidade, Intergridade e Disponibilidade). Esse modelo de três pilares é um componente geralmente aceito para avaliar riscos às informações delicadas e para estabelecer uma política de segurança. A explicação a seguir detalha o modelo CIA: Confidencialidade Informações delicadas devem estar disponíveis apenas para um conjunto prédefinido de indivíduos. A transmissão ou o uso não autorizado de informações devem ser restritos. Por exemplo: a confidencialidade da informação garante que as informações pessoais ou financeiras de um cliente não sejam obtidas por um indivíduo não autorizado para propósitos maldosos como roubo de identidade ou fraude de crédito. Integridade As informações não devem ser alteradas de modo a torná-las incompletas ou incorretas. Usuários não autorizados devem ter restrições para modificar ou destruir informações delicadas. Disponibilidade As informações devem estar acessíveis a usuários autorizados sempre que precisarem. A disponibilidade é a garantia de que aquela informação pode ser obtida com uma frequência e periodicidade pré-definidas. Isto é frequentemente medido em termos de porcentagens e definido formalmente nos Acordos de Nível de Serviço (Service Level Agreements - SLAs) usados por provedores de serviços de rede e seus clientes corporativos. 1.2. Controles de Segurança A segurança em computadores é frequentemente dividida em três categorias principais, comumente referidas como controles: 1. Fonte: http://www.cert.org 2. Fonte: http://www.cert.org/stats/ 3. Fonte: http://www.newsfactor.com/perl/story/16407.html
6 Capítulo 1. Visão Geral de Segurança Físicos Técnicos Administrativos Estas três categorias abrangentes definem os objetivos principais de uma implementação de segurança apropriada. Dentre estes controles há sub-categorias que detalham minuciosamente os controles e como implementá-los. 1.2.1. Controles Físicos O controle físico é a implementação de medidas de segurança em uma estrutura definida usada para deter ou evitar acesso não autorizado a material delicado. Alguns exemplos de controles físicos: Câmeras de vigilância de circuito fechado Sistemas de alarme térmicos ou de movimento Guardas de segurança Identidades com foto Portas de aço trancadas com fechaduras dead-bolt Biométrica (inclui impressão digital, voz, rosto, íris, manuscrito e outros métodos automatizados usados para reconhecer indivíduos) 1.2.2. Controles Técnicos O controle técnico uitiliza a tecnologia como base para controlar o acesso e o uso de dados delicados através de uma estrutura física e através de uma rede. Os controles técnicos têm um escopo de grande alcance e incluem tecnologias como: Criptografia Cartões inteligentes Autenticação de rede Listas de controle de acesso (Access control lists - ACLs) Software de auditoria de integridade de arquivos 1.2.3. Controles Administrativos Os controles administrativos definem os fatores humanos da segurança. Envolvem todos os níveis de pessoal em uma empresa e determinam quais usuários têm acesso a quais recursos e informações, através dos seguintes meios: Treinamento e conscientização Preparação para desastres e planos de recuperação Recrutamento de pessoal e estratégias de separação Registro e avaliação de pessoal
Capítulo 1. Visão Geral de Segurança 7 1.3. Conclusão Agora que você aprendeu um pouco sobre as origens, razões e aspectos da segurança, pode determinar o curso de ações apropriado em relação ao Red Hat Enterprise Linux. É importante saber quais fatores e condições compoem a segurança para planejar e implementar uma estratégia apropriada. Com estas informacões em mente, o processo pode ser formalizado e o caminho torna-se mais claro conforme você aprofundar nas especificidades do processo de segurança.
8 Capítulo 1. Visão Geral de Segurança