Olá comunidade :)

Nesse artigo falarei um pouco sobre a prevenção e rastreamento de um ataque. Como todos nós sabemos, poucas empresas gastam o que deveriam com segurança digital. E quando ocorre uma invasão qual é o maior culpado? O administrador de sistemas? Não, o maior culpado de tudo isto é que esta acima do administrador, que na maioria das vezes prefere não investir em segurança no seu servidor e espera que o administrador faça o resto.

Em grande parte dos casos, o administrador não tem a responsabilidade de manter um sistema seguro, mas sim de mantê-lo funcionando e bem configurado, É claro que um sistema bem configurado é um sistema seguro. Muitas vezes o administrador tem um grande conhecimento em sistemas operacionais, pois sabe configurá-lo e mantê-lo funcionando, mas não tem conhecimento sobre ferramentas de ataques, como exploits, scans e novos bugs, e quando ocorre um ataque de qualquer tipo, o primeiro a ser crucificado é ele próprio.

*/ Os ataques */

Os ataques de 'deface' são e sempre foram modas por serem fáceis de executar, com um grande número de ferramentas se espalhando na internet. Tudo se torna mais fácil para os kids executar o ataque.

Como os ataques deste tipo são muitos usados hoje na internet, vou descrever como rastrear um ataque de um defacer. Eu posso dizer que não é complicado, porque muitas vezes o defacer não tem o conhecimento que um administrador de sistema tem e por isto acaba deixando algumas ' pistas' para trás. Agora vamos para o que interessa! :)

*/ Prevenção */

Antes de pensar em rastrear um ataque, tente se previnir do mesmo. A prevenção ainda é o melhor remédio. Mas como se previnir de um ataque? Veja abaixo alguns ítens que são obrigatórios em todo o servidor e que devem ser executados pelo administradores:

• Backups diários;
• Um firewall instalado e bem configurado;
• Atualizações de daemons e patchs de segurança;
• Bloqueio de daemons que não estão sendo usados;
• Escolher boas senhas;
• Utilizar scan para encontrar possíveis bugs;
• Utilizar um IDS;
• Utilizar analisadores de tráfegos;
• Manter-se sempre informado sobre novas vulnerabilidades;

Se o servidor não tiver pessoas aptas a fazer este tipo de serviço, contrate uma empresa de segurança. Se tiver disposto a pagar pelo serviço, é uma ótima opção. Você gasta em segurança aquilo que quer proteger. Tente modelar o risco e defini-los de forma que você tenha controle sobre ele, tendo um indicador.

*/ Tá funcionando? Deixa! */

Este é o pensamento de muitos administradores e donos de servidores na internet. Exatamente por isso, a segurança não existe neste caso. Tente pensar da seguinte maneira, não basta somente ter um produto funcionando se a qualquer momento ele pode parar de funcionar - por mais que o produto seja bom, ele sempre terá um risco que poderá ser minimizado :P

*/ Patchs de segurança */

Instalar patch significa corrigir ou melhorar um serviço ou programa. Quando detectamos um novo bug em algum programa, a empresa que desenvolveu o mesmo gerará um patch de segurança para ser instalado no sistema, corrigindo o bug. Ficar atento a novas ocorrências e instalar os mais recentes patches é uma ótima prevenção.

No caso do Linux, para kernel 2.4.x, use o patch da GRSECURITY, um dos melhores. Para baixá-la acesse o link:

• http://www.grsecurity.net