A quest\u00e3o da seguran\u00e7a tem se tornado cada vez mais importante \u00e0 medida que a Internet torna-se um ambiente cada vez mais hostil e as ferramentas para capturar tr\u00e1fego, quebrar sistemas de encripta\u00e7\u00e3o, capturar senhas e explorar vulnerabilidades diversas tornam-se cada vez mais sofisticadas.<\/p>\n
Outra quest\u00e3o importante \u00e9 que usamos cada vez mais tecnologias diferentes de acesso e transmiss\u00e3o de dados, o que torna manter sua rede segura uma tarefa mais complicada. Por exemplo, sua rede pode ser bastante segura contra invas\u00f5es \"diretas\", via Internet, gra\u00e7as ao firewall ativo no gateway da rede, mas ser ao mesmo tempo muito f\u00e1cil de invadir atrav\u00e9s da rede wireless, caso voc\u00ea utilize o WEP ou simplesmente deixe a rede aberta, sem encripta\u00e7\u00e3o.<\/p>\n
Ao usar clientes Windows, existe ainda o problema dos v\u00edrus, trojans e worms. Os v\u00edrus se espalham atrav\u00e9s de arquivos infectados, p\u00e1ginas que exploram vulnerabilidades no navegador, e-mails e assim por diante, geralmente utilizando alguma t\u00e9cnica de engenharia social que leve o usu\u00e1rio a clicar em um link ou executar um arquivo. Assim como na vida real, os v\u00edrus variam muito em termos de potencial nocivo. Existem desde v\u00edrus extremamente perigosos, que destroem os dados do HD, subscrevendo os arquivos com dados aleat\u00f3rios (de forma que seja imposs\u00edvel recuper\u00e1-los), algumas vezes at\u00e9 mesmo danificando o BIOS da placa m\u00e3e; at\u00e9 v\u00edrus relativamente inofensivos, que n\u00e3o fazem muita coisa al\u00e9m de se replicarem por diversos meios, tentando infectar o maior n\u00famero de PCs poss\u00edveis. <\/p>\n
Os v\u00edrus moderadamente inofensivos s\u00e3o normalmente os que conseguem se espalhar mais r\u00e1pido e se manter ativos durante mais tempo, j\u00e1 que s\u00e3o os menos notados e os menos combatidos. Com isso, os criadores de v\u00edrus lentamente foram mudando de foco, deixando de produzir v\u00edrus espetaculares, que apagam todos os dados do HD, para produzirem v\u00edrus mais discretos, capazes de se replicarem rapidamente, usando t\u00e9cnicas criativas, como enviar mensagens para a lista de contatos do MSN ou postar mensagens usando seu login em redes sociais. Como resultado disso, os v\u00edrus passaram a atingir cada vez mais m\u00e1quinas, embora com danos menores.<\/p>\n
Os trojans s\u00e3o, de certa forma, similares aos v\u00edrus, mas o objetivo principal \u00e9 abrir portas e oferecer alguma forma de acesso remoto \u00e0 m\u00e1quina infectada. Eles s\u00e3o quase sempre muito discretos, desenvolvidos com o objetivo de fazer com que o usu\u00e1rio n\u00e3o perceba que sua m\u00e1quina est\u00e1 infectada. Isso permite que o invasor roube senhas, use a conex\u00e3o para enviar spam, procure por informa\u00e7\u00f5es valiosas nos arquivos do HD, ou mesmo use as m\u00e1quinas sob seu controle para lan\u00e7ar ataques diversos contra outras m\u00e1quinas.<\/p>\n
Os worms se diferenciam dos v\u00edrus e dos trojans pela forma como infectam as m\u00e1quinas. Em vez de dependerem do usu\u00e1rio para executar o arquivo infectado, os worms se replicam diretamente, explorando vulnerabilidades de seguran\u00e7a nas m\u00e1quinas da rede. Os mais complexos s\u00e3o capazes de explorar diversas brechas diferentes, de acordo com a situa\u00e7\u00e3o. Um worm poderia come\u00e7ar invadindo um servidor web com uma vers\u00e3o vulner\u00e1vel do IIS, infectar outras m\u00e1quinas da rede local a partir dele, acessando compartilhamentos de rede com permiss\u00e3o de escrita e, a partir delas, se replicar via e-mail, enviando mensagens infectadas para e-mails encontrados no cat\u00e1logo de endere\u00e7os; tudo isso sem interven\u00e7\u00e3o humana.<\/p>\n
Os worms podem ser bloqueados por um firewall bem configurado, que bloqueie as portas de entrada (e, se poss\u00edvel, tamb\u00e9m portas de sa\u00edda) usadas por ele. \u00c9 poss\u00edvel tamb\u00e9m bloquear parte dos v\u00edrus e trojans adicionando restri\u00e7\u00f5es com base em extens\u00e3o de arquivos no servidor proxy, ou adicionando um antiv\u00edrus como o Clamav no servidor de e-mails, por exemplo, mas a principal linha de defesa acaba sempre sendo o antiv\u00edrus ativo em cada m\u00e1quina Windows.<\/p>\n
No Linux, as coisas s\u00e3o um pouco mais tranq\u00fcilas neste ponto. Os v\u00edrus s\u00e3o quase que inexistentes e as vulnerabilidades em servidores muito utilizados, como o Apache, SSH, etc. s\u00e3o muito menos comuns. O problema \u00e9 que todos estes progn\u00f3sticos favor\u00e1veis d\u00e3o uma falsa sensa\u00e7\u00e3o de seguran\u00e7a, que acabam levando muitos usu\u00e1rios a assumirem um comportamento de risco, deixando v\u00e1rios servi\u00e7os ativados, usando senhas fracas ou usando a conta de root no dia-a-dia.<\/p>\n
Tamb\u00e9m \u00e9 muito comum que os novos usu\u00e1rios fiquem impressionados com os recursos de conectividade dispon\u00edveis no Linux e acabem abrindo brechas de seguran\u00e7a ao deixar servidores XDMCP, NFS, Squid, etc. abertos para a Internet. Muitos usu\u00e1rios do Windows sequer sabem que \u00e9 poss\u00edvel manter um servidor FTP aberto no micro de casa, enquanto muitas distribui\u00e7\u00f5es Linux instalam servidores Apache ou SSH por default. Muitos usu\u00e1rios Linux mant\u00e9m servidores diversos habilitados em suas m\u00e1quinas, algo muito menos comum no mundo Windows.<\/p>\n
Em um servidor, uma boa pol\u00edtica de seguran\u00e7a inclui reduzir o n\u00famero de servi\u00e7os ativos, mantendo apenas os servi\u00e7os realmente necess\u00e1rios \u00e0 opera\u00e7\u00e3o do servidor, fechar todas as portas n\u00e3o utilizadas no firewall, restringir as permiss\u00f5es de acesso dos usu\u00e1rios que tem acesso ao servidor ao m\u00ednimo necess\u00e1rio para que executem suas tarefas e manter as atualiza\u00e7\u00f5es de seguran\u00e7a em dia, sobretudo nos servi\u00e7os diretamente expostos a conex\u00f5es externas.<\/p>\n
Um servidor web, por exemplo, poderia ter abertas apenas as portas 22 TCP (SSH, para acesso remoto), 53 UDP (DNS), 80 TCP (HTTP) e 443 TCP (HTTPS), o que deixaria apenas tr\u00eas pontos de ataque: o servidor web propriamente dito, o servidor DNS e o servidor SSH. N\u00e3o \u00e9 poss\u00edvel fechar todas as portas (j\u00e1 que, por defini\u00e7\u00e3o, o servidor precisa receber conex\u00f5es dos clientes e desempenhar suas fun\u00e7\u00f5es), de forma que \u00e9 importante manter os servi\u00e7os dispon\u00edveis religiosamente atualizados com rela\u00e7\u00e3o a brechas de seguran\u00e7a.<\/p>\n
Em um desktop dom\u00e9stico \u00e9 poss\u00edvel manter todas as portas de entrada fechadas no firewall (ou no gateway da rede), permitindo apenas tr\u00e1fego de sa\u00edda e tr\u00e1fego de respostas a conex\u00f5es iniciadas por voc\u00ea, o que praticamente eliminaria o problema dos ataques diretos. Entretanto, \u00e9 comum que voc\u00ea precise manter algumas portas abertas (como as usadas por jogos e por programas P2P), o que cria pontos de ataque, tornando necess\u00e1rio manter os programas atualizados, assim como no caso dos servidores.<\/p>\n
A quest\u00e3o das senhas \u00e9 outro tema importante, j\u00e1 que elas s\u00e3o o ponto fraco de qualquer sistema. Utilize sempre boas senhas, misturando letras e n\u00fameros e com pelo menos 8 (de prefer\u00eancia 12) caracteres, jamais utilize palavras como senha e troque-as freq\u00fcentemente.<\/p>\n
O ideal \u00e9 que ningu\u00e9m al\u00e9m de voc\u00ea tenha acesso f\u00edsico ao seu PC. Mesmo que voc\u00ea deixe o micro desligado, ou protegido por uma prote\u00e7\u00e3o de tela, \u00e9 poss\u00edvel instalar programas dando boot atrav\u00e9s de um CD-ROM ou disquete.<\/p>\n
Outra boa id\u00e9ia \u00e9 \"esconder\" seus servidores, alterando suas portas default. Por exemplo, um servidor de FTP escutando na porta 21 (a default) seria facilmente descoberto pelo atacante, que, a partir da\u00ed, poderia tentar explorar algum tipo de vulnerabilidade no programa para obter acesso. Mas, se voc\u00ea configur\u00e1-lo para operar na porta 44756, por exemplo, j\u00e1 seria muito mais complicado que algu\u00e9m o descobrisse. Seria preciso fazer uma varredura de portas completa, que demora v\u00e1rias horas para perceber que a porta 44756 est\u00e1 aberta e mais algum tempo para descobrir que ela est\u00e1 sendo usada por um servidor de FTP. Quanto mais dificuldade melhor, n\u00e3o \u00e9 mesmo?<\/p>\n
Caso voc\u00ea esteja usando um programa de detec\u00e7\u00e3o de intrus\u00f5es, como o Snort, a varredura de portas iria disparar o alarme, fazendo com que voc\u00ea tivesse conhecimento do ataque antes mesmo do atacante descobrir quais portas est\u00e3o abertas para tentar fazer qualquer coisa.<\/p>\n
Mais um erro comum \u00e9 deixar servidores de FTP, web, SSH, etc. dispon\u00edveis para toda a Internet enquanto voc\u00ea s\u00f3 precisa deles dentro da sua rede interna. Se voc\u00ea tem duas placas de rede, ou mesmo uma placa de rede e um modem, \u00e9 f\u00e1cil filtrar o tr\u00e1fego permitindo que apenas os acessos vindos dos clientes locais sejam aceitos. Isso pode tanto ser feito na configura\u00e7\u00e3o do servidor (como no caso do Samba e do Apache) quanto na configura\u00e7\u00e3o do firewall.<\/p>\n
O ideal em termos de seguran\u00e7a \u00e9 n\u00e3o acessar a web diretamente nos desktops. Sempre que poss\u00edvel, acesse por tr\u00e1s de uma conex\u00e3o compartilhada, atrav\u00e9s de um servidor Linux com o firewall ativo, ou atrav\u00e9s de um modem ADSL configurado como roteador. Direcione apenas as portas realmente necess\u00e1rias para os clientes.<\/p>\n","protected":false},"excerpt":{"rendered":"
A quest\u00e3o da seguran\u00e7a tem se tornado cada vez mais importante \u00e0 medida que a Internet torna-se um ambiente cada<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4],"tags":[],"class_list":["post-60","post","type-post","status-publish","format-standard","hentry","category-hardware"],"_links":{"self":[{"href":"https:\/\/marcomapa.com\/artigos\/wp-json\/wp\/v2\/posts\/60","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/marcomapa.com\/artigos\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/marcomapa.com\/artigos\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/marcomapa.com\/artigos\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/marcomapa.com\/artigos\/wp-json\/wp\/v2\/comments?post=60"}],"version-history":[{"count":1,"href":"https:\/\/marcomapa.com\/artigos\/wp-json\/wp\/v2\/posts\/60\/revisions"}],"predecessor-version":[{"id":113,"href":"https:\/\/marcomapa.com\/artigos\/wp-json\/wp\/v2\/posts\/60\/revisions\/113"}],"wp:attachment":[{"href":"https:\/\/marcomapa.com\/artigos\/wp-json\/wp\/v2\/media?parent=60"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/marcomapa.com\/artigos\/wp-json\/wp\/v2\/categories?post=60"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/marcomapa.com\/artigos\/wp-json\/wp\/v2\/tags?post=60"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}