Apesar dos sistemas Linux serem frequentemente percebidos como virtualmente inexpugnáveis, é crucial reconhecer que ainda existem ameaças que exigem atenção séria.
Rootkits, vírus, ransomware e uma vasta gama de outros programas maliciosos podem infiltrar e causar estragos em servidores Linux.
Independentemente do sistema operacional, a implementação de medidas de segurança é indispensável para a proteção dos servidores. Grandes empresas e organizações têm assumido a responsabilidade pela segurança, desenvolvendo ferramentas capazes não apenas de detectar falhas e malwares, mas também de remediá-los e adotar medidas preventivas.
Felizmente, existem soluções acessíveis, seja a um baixo custo ou até mesmo gratuitas, que podem auxiliar nesse processo. Estas ferramentas são capazes de identificar vulnerabilidades em diversas áreas de um servidor Linux.
Lynis
Lynis é uma ferramenta de segurança de grande reputação e uma escolha popular entre os especialistas em Linux. Sua compatibilidade se estende a sistemas baseados em Unix e macOS. Trata-se de um aplicativo de código aberto, utilizado desde 2007 sob a licença GPL.
O Lynis possui a capacidade de identificar falhas de segurança e problemas de configuração. No entanto, ele vai além da simples exposição das vulnerabilidades, sugerindo também ações corretivas. Para obter relatórios de auditoria abrangentes, é necessário executá-lo no sistema host.
A instalação não é um requisito para utilizar o Lynis. É possível extraí-lo a partir de um pacote baixado ou um tarball e executá-lo diretamente. Também é possível obtê-lo através de um clone do Git para ter acesso à documentação completa e ao código-fonte.
Lynis foi criado pelo mesmo autor de Rkhunter, Michael Boelen. A ferramenta oferece serviços tanto para usuários individuais quanto para empresas, demonstrando excelente desempenho em ambos os contextos.
Chkrootkit
Como o nome sugere, chkrootkit é uma ferramenta dedicada à verificação da presença de rootkits. Rootkits são um tipo de software malicioso que podem conceder acesso ao servidor a um usuário não autorizado. Se você opera um servidor baseado em Linux, rootkits podem se tornar um problema sério.
Chkrootkit é um dos programas baseados em Unix mais amplamente utilizados para a detecção de rootkits. Ele emprega ‘strings’ e ‘grep’ (comandos nativos do Linux) para identificar problemas.
Ele pode ser executado a partir de um diretório alternativo ou de um disco de recuperação, no caso de ser necessário verificar um sistema que já esteja comprometido. Os diversos componentes do Chkrootkit são responsáveis por procurar entradas excluídas nos arquivos “wtmp” e “lastlog”, detectar registros de sniffers ou arquivos de configuração de rootkit, e verificar entradas ocultas em “/proc” ou chamadas ao programa “readdir”.
Para começar a usar o chkrootkit, é preciso obter a versão mais recente de um servidor, extrair os arquivos de código fonte, compilá-los e a ferramenta estará pronta para uso.
Rkhunter
Michael Boelen, o mesmo desenvolvedor por trás do Lynis, também criou o Rkhunter (Rootkit Hunter) em 2003. É uma ferramenta versátil para sistemas POSIX que auxilia na identificação de rootkits e outras vulnerabilidades. O Rkhunter realiza uma análise detalhada de arquivos (ocultos ou visíveis), diretórios padrão, módulos do kernel e configurações de permissões inadequadas.
Após uma verificação de rotina, o Rkhunter compara os resultados com registros seguros e adequados de bancos de dados, buscando por programas suspeitos. Como o programa foi desenvolvido em Bash, ele não se limita a máquinas Linux, podendo ser executado em praticamente qualquer versão do Unix.
ClamAV
Desenvolvido em C++, o ClamAV é um antivírus de código aberto que auxilia na detecção de vírus, trojans e diversos outros tipos de malware. É uma ferramenta totalmente gratuita, o que explica sua popularidade para verificação de informações pessoais, incluindo e-mails, em busca de arquivos maliciosos. Ele também possui uma função significativa como scanner do lado do servidor.
A ferramenta foi inicialmente projetada para Unix, mas existem versões de terceiros que podem ser usadas em Linux, BSD, AIX, macOS, OSF, OpenVMS e Solaris. O ClamAV realiza atualizações automáticas e regulares do seu banco de dados, garantindo a detecção das ameaças mais recentes. Ele permite a varredura via linha de comando e possui um demônio multi-thread escalável, que melhora sua velocidade de varredura.
O ClamAV consegue examinar diversos tipos de arquivos para identificar vulnerabilidades. Ele suporta todos os tipos de arquivos compactados, incluindo RAR, Zip, Gzip, Tar, Cabinet, OLE2, CHM, formato SIS, BinHex e quase todos os tipos de sistemas de e-mail.
LMD
O Linux Malware Detect – ou LMD, para abreviar – é outro antivírus notável para sistemas Linux, projetado especificamente para as ameaças comumente encontradas em ambientes de hospedagem. Similar a outras ferramentas capazes de detectar malware e rootkits, o LMD utiliza um banco de dados de assinaturas para localizar qualquer código malicioso em execução e eliminá-lo rapidamente.
O LMD não se limita ao seu próprio banco de dados de assinaturas. Ele pode utilizar os bancos de dados do ClamAV e do Team Cymru para identificar ainda mais vírus. Para enriquecer seu banco de dados, o LMD coleta dados de ameaças dos sistemas de detecção de intrusão na borda da rede, permitindo a geração de novas assinaturas para malware que esteja sendo ativamente utilizado em ataques.
O LMD pode ser utilizado através da linha de comando “maldet”. A ferramenta é especificamente desenvolvida para plataformas Linux e consegue realizar verificações em servidores Linux de maneira eficiente.
Radare2
Radare2 (R2) é uma estrutura para análise de binários e engenharia reversa, com habilidades excepcionais de detecção. Ele consegue identificar binários malformados, fornecendo ao usuário as ferramentas para gerenciá-los e neutralizar ameaças potenciais. Radare2 utiliza o sdb, um banco de dados NoSQL. Pesquisadores de segurança de software e desenvolvedores preferem essa ferramenta por sua capacidade de apresentação de dados.
Uma das características distintivas do Radare2 é que o usuário não é obrigado a usar a linha de comando para executar tarefas como análise estática/dinâmica e exploração de software. É uma ferramenta recomendada para qualquer tipo de pesquisa sobre dados binários.
OpenVAS
O Sistema de Avaliação de Vulnerabilidade Aberto, ou OpenVAS, é um sistema desenvolvido para a verificação e gerenciamento de vulnerabilidades. Ele foi projetado para empresas de todos os tamanhos, ajudando-as a detectar problemas de segurança ocultos em suas infraestruturas. Inicialmente, o produto era conhecido como GNessUs, até que seu atual proprietário, Greenbone Networks, mudou seu nome para OpenVAS.
A partir da versão 4.0, o OpenVAS possibilita a atualização contínua – geralmente em intervalos inferiores a 24 horas – de seu banco de dados de Network Vulnerability Testing (NVT). Em junho de 2016, ele contava com mais de 47.000 NVTs.
Especialistas em segurança preferem o OpenVAS por sua capacidade de realizar verificações rápidas e por sua excelente configurabilidade. Os programas OpenVAS podem ser executados a partir de uma máquina virtual independente para conduzir pesquisas de malware seguras. Seu código fonte está disponível sob a licença GNU GPL. Diversas outras ferramentas de detecção de vulnerabilidades dependem do OpenVAS, o que o torna um programa essencial em plataformas baseadas em Linux.
REMnux
REMnux utiliza técnicas de engenharia reversa para análise de malware. Ele consegue identificar diversos problemas baseados em navegador, ocultos em trechos de código ofuscados em JavaScript e applets Flash. Também é capaz de verificar arquivos PDF e realizar análises forenses de memória. A ferramenta auxilia na detecção de programas maliciosos em pastas e arquivos que não são facilmente verificados por outros programas de detecção de vírus.
Sua eficácia se deve às suas capacidades de decodificação e engenharia reversa. Ele consegue determinar as propriedades de programas suspeitos e, devido à sua leveza, é praticamente indetectável por programas maliciosos sofisticados. Ele pode ser utilizado em Linux e Windows, e sua funcionalidade pode ser aprimorada com o auxílio de outras ferramentas de verificação.
Tiger
Em 1992, a Texas A&M University iniciou o desenvolvimento do Tiger para aumentar a segurança dos computadores do campus. Atualmente, é um programa popular para plataformas do tipo Unix. Um aspecto peculiar dessa ferramenta é que ela não é apenas uma ferramenta de auditoria de segurança, mas também um sistema de detecção de intrusão.
O uso da ferramenta é gratuito sob a licença GPL. Ela se baseia em ferramentas POSIX e, em conjunto, elas podem criar uma estrutura robusta que aumenta significativamente a segurança do seu servidor. Tiger foi escrito inteiramente em linguagem shell, o que contribui para sua eficácia. É adequado para verificar o status e a configuração do sistema, e seu uso multifacetado o torna bastante popular entre aqueles que utilizam ferramentas POSIX.
Maltrail
Maltrail é um sistema de detecção de tráfego capaz de manter o tráfego do seu servidor limpo e ajudá-lo a evitar ameaças maliciosas. Ele realiza essa tarefa comparando as fontes de tráfego com sites listados em listas negras publicadas online.
Além da verificação de sites na lista negra, ele também utiliza mecanismos heurísticos avançados para detectar diferentes tipos de ameaças. Embora seja um recurso opcional, ele se torna útil quando você suspeita que seu servidor já tenha sido atacado.
Ele possui um sensor capaz de detectar o tráfego que um servidor recebe e enviar as informações para o servidor Maltrail. O sistema de detecção avalia se o tráfego é seguro o suficiente para permitir a troca de dados entre o servidor e a fonte.
YARA
Compatível com Linux, Windows e macOS, o YARA (Yet Another Ridiculous Acronym) é uma das ferramentas mais essenciais para a pesquisa e detecção de programas maliciosos. Ele utiliza padrões textuais ou binários para simplificar e agilizar o processo de detecção, tornando-o rápido e eficiente.
O YARA possui alguns recursos adicionais, que exigem a biblioteca OpenSSL. Mesmo sem essa biblioteca, é possível utilizar o YARA para realizar pesquisas básicas de malware através de um mecanismo baseado em regras. Ele também pode ser usado no Cuckoo Sandbox, um ambiente sandbox baseado em Python, ideal para pesquisas seguras de software malicioso.
Como escolher a melhor ferramenta?
Todas as ferramentas mencionadas funcionam muito bem e, quando uma ferramenta é popular em ambientes Linux, é seguro dizer que milhares de usuários experientes a estão utilizando. É importante que os administradores de sistema se lembrem que cada aplicativo costuma depender de outros programas. Este é o caso, por exemplo, do ClamAV e do OpenVAS.
É fundamental entender as necessidades do seu sistema e em quais áreas ele pode estar vulnerável. Inicialmente, utilize uma ferramenta leve para identificar a seção que precisa de atenção. Em seguida, aplique a ferramenta mais adequada para resolver o problema.