Muito bom para todos, antes de entrar no endurecimento de sua equipe, quero dizer a vocês que o instalador que estou desenvolvendo para o Gentoo já está em sua fase pré-alfa 😀 isso significa que o protótipo é robusto o suficiente para ser testado por outros usuários, mas ao mesmo tempo ainda há um longo caminho a percorrer, e o feedback dessas etapas (pré-alfa, alfa, beta) ajudará a definir características importantes do processo 🙂 Para os interessados ...
https://github.com/ChrisADR/installer
. Eu ainda tenho a versão somente em inglês, mas espero que para a versão beta ela já tenha sua tradução em espanhol também (estou aprendendo isso com as traduções em tempo de execução em python, então ainda há muito para descobrir)
Índice
Endurecimento
Quando falamos sobre endurecimento, nos referimos a uma grande variedade de ações ou procedimentos que dificultam o acesso a um sistema de computador, ou rede de sistemas. É justamente por isso que se trata de um assunto vasto, cheio de nuances e detalhes. Neste artigo, vou listar algumas das coisas mais importantes ou recomendadas a serem levadas em consideração ao proteger um sistema, tentarei ir do mais crítico ao menos crítico, mas sem me aprofundar muito no assunto, pois cada um desses pontos seria motivo para um artigo próprio
Acesso físico
Este é sem dúvida o primeiro e mais importante problema das equipas, visto que se o atacante tiver fácil acesso físico à equipa, já pode ser contabilizado como equipa perdida. Isso é verdadeiro tanto para grandes data centers quanto para laptops em uma empresa. Uma das principais medidas de proteção para este problema são as chaves ao nível da BIOS, para todos aqueles para quem isto soa novidade, é possível colocar uma chave para o acesso físico da BIOS, desta forma se alguém quiser modificar os parâmetros de faça o login e inicie o equipamento a partir de um sistema ativo, não será um trabalho fácil.
Ora isto é algo básico e com certeza funciona se for mesmo obrigatório, já estive em várias empresas onde isso não importa, pois acreditam que o "guarda" de segurança da porta é mais do que suficiente para poder evitar o acesso físico . Mas vamos chegar a um ponto um pouco mais avançado.
LUXO
Suponha por um segundo que um "invasor" já tenha obtido acesso físico ao computador, a próxima etapa é criptografar todos os discos rígidos e partições existentes. LUKS (Configuração de chave unificada do Linux) É uma especificação de criptografia, entre outras coisas o LUKS permite que uma partição seja criptografada com uma chave, desta forma, quando o sistema é iniciado, se a chave não for conhecida, a partição não pode ser montada ou lida.
Paranóia
Certamente existem pessoas que precisam de um nível "máximo" de segurança, e isso leva a salvaguardar até o menor aspecto do sistema, enfim, esse aspecto atinge seu ápice no kernel. O kernel do linux é a maneira pela qual seu software irá interagir com o hardware, se você impedir que seu software "veja" o hardware, ele não poderá danificar o equipamento. Para dar um exemplo, todos nós sabemos o quão "perigoso" o USB com vírus é quando falamos de Windows, porque certamente o USB pode conter código no Linux que pode ou não ser prejudicial para um sistema, se fizermos com que o kernel apenas reconheça o tipo do usb (firmware) que quisermos, qualquer outro tipo de USB seria simplesmente ignorado pela nossa equipe, algo certamente um pouco extremo, mas poderia funcionar dependendo das circunstâncias.
Serviços
Quando falamos em serviços, a primeira palavra que vem à mente é "supervisão", e isso é algo bastante importante, já que uma das primeiras coisas que um invasor faz ao entrar no sistema é manter a conexão. A realização de análises periódicas de conexões de entrada e especialmente de saída é muito importante em um sistema.
Iptables
Agora, todos nós já ouvimos falar do iptables, é uma ferramenta que permite gerar regras de entrada e saída de dados no nível do kernel, isso certamente é útil, mas também é uma faca de dois gumes. Muitas pessoas acreditam que por terem o “firewall” estão livres de qualquer tipo de entrada ou saída do sistema, mas nada mais longe da verdade, isso só pode servir como efeito placebo em muitos casos. É sabido que os firewalls funcionam com base em regras, e estas certamente podem ser contornadas ou enganadas para permitir que os dados sejam transportados através de portas e serviços para os quais as regras considerariam serem "permitidos", é apenas uma questão de criatividade
Estabilidade vs lançamento contínuo
Bem, este é um ponto bastante controverso em muitos lugares ou situações, mas deixe-me explicar meu ponto de vista. Como membro de uma equipe de segurança que cuida de muitos dos problemas no ramo estável de nossa distribuição, estou ciente de muitas, quase todas as vulnerabilidades que existem nas máquinas Gentoo de nossos usuários. Agora, distribuições como Debian, RedHat, SUSE, Ubuntu e muitas outras passam pela mesma coisa, e seus tempos de reação podem variar dependendo de muitas circunstâncias.
Vamos para um exemplo claro, certamente todo mundo já ouviu falar de Meltdown, Spectre e uma série de notícias que voaram pela internet nos dias de hoje, bem, o branch mais "roll-release" do kernel já está corrigido, o problema reside Ao trazer essas correções para kernels mais antigos, o backporting é certamente um trabalho árduo e difícil. Agora, depois disso, eles ainda precisam ser testados pelos desenvolvedores da distribuição e, uma vez que o teste for concluído, estará disponível apenas para usuários normais. O que eu quero obter com isso? Porque o modelo de lançamento contínuo exige que saibamos mais sobre o sistema e as maneiras de resgatá-lo se algo falhar, mas isso é bom, porque manter a passividade absoluta no sistema tem vários efeitos negativos para o administrador e para os usuários.
Conheça o seu software
Este é um acréscimo muito valioso na hora de gerenciar, coisas tão simples como assinar as novidades do software que você utiliza podem te ajudar a saber com antecedência os avisos de segurança, desta forma você pode gerar um plano de reação e ao mesmo tempo ver quanto Cada distribuição leva tempo para resolver os problemas, é sempre melhor ser proativo nessas questões porque mais de 70% dos ataques a empresas são realizados por softwares desatualizados.
Reflexão
Quando as pessoas falam em endurecimento, muitas vezes acredita-se que uma equipe "protegida" é à prova de tudo, e não há nada mais falso. Como sua tradução literal indica, endurecimento implica tornar as coisas mais difíceis, NÃO impossíveis ... mas muitas vezes muitas pessoas pensam que isso envolve magia negra e muitos truques como honeypots ... isto é um adicional, mas se você não pode fazer as coisas mais básicas como manter um software ou linguagem atualizado programação ... não há necessidade de criar redes fantasmas e equipes com contra-medidas ... Digo isso porque tenho visto várias empresas pedindo versões do PHP 4 a 5 (obviamente descontinuado) ... coisas que hoje são conhecidas por terem centenas, senão milhares de falhas segurança, mas se a empresa não consegue acompanhar a tecnologia, de nada adianta se ela fizer o resto.
Além disso, se todos estivermos usando software livre ou aberto, o tempo de reação para bugs de segurança geralmente é bastante curto, o problema surge quando estamos lidando com software proprietário, mas deixo isso para outro artigo que ainda espero escrever em breve.
Muito obrigado por vir aqui 🙂 saudações
12 comentários, deixe o seu
Excelente
Muito obrigado 🙂 saudações
O que mais gosto é a simplicidade ao lidar com esse problema, segurança nesses tempos. Obrigado, vou ficar no Ubuntu enquanto ele não estiver em extrema necessidade porque não ocupo a partição que tenho no windows 8.1 no momento. Saudações.
Olá norma, certamente as equipes de segurança do Debian e do Ubuntu são bastante eficientes 🙂 Eu vi como eles lidam com os casos em uma velocidade incrível e certamente fazem seus usuários se sentirem seguros, pelo menos se eu estivesse no Ubuntu, me sentiria um pouco mais seguro 🙂
Saudações, e verdade, é uma questão simples ... a segurança, mais do que uma arte negra, é uma questão de critérios mínimos 🙂
Muito obrigado pela sua contribuição!
Muito interessante, especialmente a parte do lançamento do Rolling.
Eu não havia levado isso em consideração, agora tenho que gerenciar um servidor com o Gentoo para ver as diferenças que tenho com o Devuan.
Uma grande saudação e ps para compartilhar este post nas minhas redes sociais para que esta informação chegue a mais pessoas !!
Thanks!
De nada Alberto 🙂 Fiquei em dívida por ter sido o primeiro a responder ao pedido do blog anterior 🙂 então saudações e agora continuar com aquela lista pendente para escrever 🙂
Pois bem, aplicar hardening com specter por aí, seria como deixar o pc mais vulnerável no caso do uso do sanboxing por exemplo. Curiosamente, seu equipamento estará mais seguro contra espectro quanto menos camadas de segurança você aplicar ... engraçado, certo?
isso me lembra um exemplo que poderia apresentar um artigo inteiro ... usando -fsanitize = address no compilador poderia nos fazer pensar que o software compilado seria mais "seguro", mas nada poderia estar mais longe da verdade, eu conheço um desenvolvedor que tentou um Em vez de fazer isso com toda a equipe ... acabou sendo mais fácil atacar do que um sem usar ASAN ... o mesmo se aplica em vários aspectos, usar as camadas erradas quando você não sabe o que elas fazem, é mais prejudicial do que não usar nada 😛 Acho que isso é algo que todos devemos considerar ao tentar proteger um sistema ... o que nos traz de volta ao fato de que isso não é uma magia negra, mas mero bom senso 🙂 obrigado por sua contribuição
A meu ver, a vulnerabilidade mais séria, equiparada a acesso físico e erro humano, ainda é o hardware, deixando Meltdown e Spectre de lado, desde os tempos antigos se viu que variantes do worm LoveLetter escreviam código na BIOS do equipamento, como certas versões de firmware em SSD permitiam a execução remota de código e o pior do meu ponto de vista o Intel Management Engine, que é uma aberração completa para privacidade e segurança, pois não importa mais se o equipamento possui criptografia AES, ofuscação ou qualquer tipo de endurecimento, porque mesmo que o computador esteja desligado o IME vai te ferrar.
E também, paradoxalmente, um Tinkpad X200 2008 que usa LibreBoot é mais seguro do que qualquer computador atual.
O pior dessa situação é que ela não tem solução, porque nem Intel, AMD, Nvidia, Gygabite ou qualquer fabricante de hardware bastante conhecido vai lançar sob GPL ou qualquer outra licença livre, o design de hardware atual, porque por que investir milhões de dólares para outra pessoa copiar a ideia verdadeira.
Belo capitalismo.
Muito verdadeiro Kra 🙂 é evidente que você é bastante proficiente em questões de segurança 😀 porque na verdade software e hardware proprietários são uma questão de cuidado, mas infelizmente contra isso há pouco a ser feito em relação ao “reforço”, pois como você diz, isso é algo que escapa de quase todos os mortais, exceto aqueles que conhecem programação e eletrônica.
Saudações e obrigado por compartilhar 🙂
Muito interessante, agora um tutorial para cada seção seria bom xD
A propósito, quão perigoso é se eu colocar um Raspberry Pi e abrir as portas necessárias para usar o owncloud ou um servidor web de fora de casa?
É que estou bastante interessado, mas não sei se terei tempo para revisar os logs de acesso, verificar as configurações de segurança de vez em quando, etc etc ...
Excelente contribuição, obrigado por compartilhar seu conhecimento.