Teste a vulnerabilidade de seu PC

Que tipo simples de teste um usuário comum pode usar para verificar a vulnerabilidade de seu PC na Internet? Veja como fazer neste artigo.

[ Hits: 55.086 ]

Por: j g meinhardt em 13/05/2009


Introdução



Usando o Linux passamos a ter uma sensação de segurança nunca antes experimentada quando era usado o outro SO. Esta sensação pode ser totalmente falsa, pois embora estejamos de alguma maneira mais imunes às contaminações por vírus, tão comuns no outro sistema, podemos entretanto ainda assim estar com as defesas abertas e perfeitamente sinalizadas como tal.

Para verificar esta vulnerabilidade existe uma ferramenta muito útil e simples de usar. Trata-se do teste da situação (status) das portas reais e virtuais de acesso ao seu sistema, o aplicativo ShieldsUp, do site www.grc.com.

Embora por padrão a maioria das distros Linux, senão todas, carreguem em seu sistema a partir da inicialização as tabelas de IP padrão (iptables), que não deixam de ser um firewall básico, convém sempre fazer um teste para verificar a situação real e caso necessário partir para a instalação de um firewall específico ou para a reconfiguração daquele eventualmente já instalado ou fazer "na unha", via terminal, a configuração da iptables com as restrições necessárias.

Pessoalmente já uso há bastante tempo o teste de autoria do Steve Gibson, disponível em www.grc.com.

Sem dúvida isto ainda é um dos vícios e paranóias herdadas daqueles tempos em que usava apenas o outro sistema operacional (SO). Esta entretanto é uma boa prática.

Apenas como ilustração, principalmente para a avaliação do autor do aplicativo, Steve Gibson é o autor do programa que foi muito popular desde o tempo em que os HDs para PCs usavam tecnologia de codificação MFM e tinham apenas algumas dezenas de MB, como em 1989/90 quando os maiores disponíveis para computadores pessoais (PCs) tinham apenas 43MB.

Conheci, comprei e usei por bastante tempo uma das primeiras versões do programa Spinrite do Steve Gibson, cuja versão II datada de 1988 ainda tenho os originais em minha biblioteca. A novidade do Spinrite naquela época era o fato de permitir a otimização da configuração dos HDs, bem como a reparação de muitos dos defeitos comuns, a recalibragem das cabeças de leitura dos mesmos quando passavam a apresentar erros por desgaste interno e a recuperação de dados, usando para isto formatação de baixo nível (Low-level Format) em modo não destrutível dos dados.

Como ainda é costume, os fabricantes de hardware como HDs nem sempre disponibilizam seus produtos para o melhor rendimento possível, porém para a maior vida-útil apenas para evitar dores de cabeça e minimizar reposições em garantia. Isto significa não otimizar as características de leitura de setores e trilhas (sector interleave) a cada rotação completa do HD. O Spinrite, depois de testar este parâmetro crítico para o desempenho, permitia alterar a configuração interna do HD alcançando em alguns casos ganhos de performance de até de 500% comparados com a configuração entregue de fábrica.

O Spinrite existe até hoje, agora atualizado em sua versão 6 e ainda permite fazer o mesmo, de forma mais abrangente, cobrindo distintos sistemas de arquivamento (file systems - fs), incluindo os sistemas usados pelo Linux, além obviamente de NTFS, Novell e Macintosh.

Pois bem, o Steve Gibson, que além de tudo isto detém alta reputação junto a agências de segurança, sendo consultor de algumas delas, também tem uma ampla produção de outros aplicativos, principalmente para para os SOs da Microsoft. Para aqueles que tem boa compreensão do inglês vale uma leitura nas diversas áreas do site www.grc.com, onde também existe um relato de um caso interessante de ataque maciço ao site com quebra de serviço (DOS - Denial of Service) após a emissão de uma opinião por parte dele em algum site a respeito de autores de vírus.

Em função desta ocorrência ele passou a desenvolver outros aplicativos focados na segurança, principalmente para sistemas baseados nos SOs da Microsoft.

No caso do Shields-Up, que é o aplicativo alvo deste artigo entretanto, o mesmo pode ser aplicado a qualquer configuração que tenha acesso a Internet.

    Próxima página

Páginas do artigo
   1. Introdução
   2. Um teste simples
   3. Teste passo a passo
   4. Comentários finais
Outros artigos deste autor

Instalando Linux em notebooks - uso de cheatcodes

Kernel 3.0-0 já disponível no aptosid e operando de forma estável

Linux também pode ser bom para a terceira idade - "Ginástica" mental pode ajudar a prevenir Alzheimer

Librix 4.0 - Uma distro que não é para inglês ver - primeiras impressões

Sugestões sobre distros Linux e particionamento de HD

Leitura recomendada

BOINC - Computação distribuída e aplicações científicas

Flash 9 com som OSS

Alcatel SpeedTouch USB no Slackware 10.1

Instalando o MSN-Proxy 0.7 no OpenSuSE 11.1 Linux

Acesso remoto pela Internet de forma simples usando TeamViewer

  
Comentários
[1] Comentário enviado por C.Joseph em 13/05/2009 - 11:26h



Olá caro meinhardt. Minhas congratulações por este texto muito bem explicado e de grande utilidade. Acabei de ler e vejo que mais uma pessoa conhece essa ferramente tão útil que auxilia na identificação de possíveis problemas na grande rede.


A princípio eu tinha o costume de volta e meia dar uma olhada pelo menos umas duas vezes por mês no site, pois sempre fazia testes em várias distros para averiguar com esse site se a instalação estava satisfatória no sentido de segurança.


A distro que uso e que é meu xodó é a Slackware, já estou na versão 12.2 e não a largo para nada. Porém como gosto de fazer testes, resolvi usar um servidor ftp aqui e liberei no firewall do roteador a porta necessária, a 21. Entretanto, pela vida corrida que levo acabei esquecendo de deixar essa porta novamente no estado normal, e ao executar os testes no Shields Up! enquanto li seu artigo, identifiquei a porta aberta e o recebimento de pings. Resolvi o problema e meu Slackware passou lindo nos testes.


Espero que muitas pessoas vejam seu artigo para saberem como identificar de uma maneira simples e efetiva uma possível falha na segurança. Ainda mais se a pessoa utilizar o sistema Windows, cujo sistema apresenta um índice de segurança baixa.

Sem mais, meus cumprimentos, até a próxima!


[2] Comentário enviado por brunomacagnani em 13/05/2009 - 16:46h

Artigo Interessante..

Vlw

[3] Comentário enviado por vicentedeandrade em 13/05/2009 - 19:57h

Artigo muito interessante e útil! Muito bom mesmo!!!

Flw

[4] Comentário enviado por riesdra em 14/05/2009 - 21:44h

Artigo interessante;
olha eu verifiquei aqui, o teste aqui na parte onde ele teria que estar como aprovado dos dois lados, ele não aprova, no outro teste onde as portas tem que estar na cor verde ele esta a grande maioria na cor azul que pelo que vi é bloqueada e só algumas em verde.
e eu geralmente uso aqui o nmap, para fazer as minha verificações.

[5] Comentário enviado por meinhardt_jgbr em 15/05/2009 - 00:20h

Riesdra,

O ShieldsUP, justamente não marca como aprovado (Passed) no teste de estado invisível real, exatamente porque as portas que aparecem em azul respondem à tentativa de invasão devolvendo a informação de que estão fechadas. Se estivessem na condição invisível, não só estariam fechadas como também ignorariam a tentativa do invasor, não dando a menor satisfação e portanto não mostrando / confirmando sua existência ou a existência de um computador no seu endereço IP.

Não se assuste se todas as portas não aparecerem em cor verde, pois esta não seria a pior situação.

A coisa estará perigosa se você tiver portas abertas, que não deveriam estar em função dos serviços e / ou compartilhamentos que você eventualmente tenha habilitados propositalmente.

Ao passar o mouse sobre a grade onde aparecem as primeiras 1056 portas, você terá a informação referente ao número da porta e ao tipo de serviço que é usada, como por exemplo a porta 25 vai aparecer como SMTP ou seja o serviço usado para transmissões de eMail, já a 110 mostrará que é a porta usada pelo servidor de recepção de eMail, o POP3 e assim por diante. Com isto você pode facilmente identificar a localização dos eventuais pontos débeis / vulneráveis a invasão.

Você tem algum firewall instalado ou não?

Apenas como exemplo prático, na distro Debian 5 (Lenny) que instalei ontem a noite, mesmo sem haver feito qualquer reajuste ou instalação de firewall, me apresenta resultados como aprovado em estado real de invisibilidade. É preciso considerar entretanto que estou por trás de um roteador / firewall Linux dedicado com seu iptables carregado, portanto estou tranquilo. Em ligação direta à rede cabeada ou usando wifi, talvez não conseguisse os mesmos resultado.

[6] Comentário enviado por nick em 15/05/2009 - 19:46h

Isso ai ta mais pra uma biografia do Steve Gibson que pra um artigo. Leva a mal nao fi.

[7] Comentário enviado por riesdra em 15/05/2009 - 20:20h

sim eu tenho o iptables carregados, com algumas regras que eu copiei do Gdh.

[8] Comentário enviado por pinduvoz em 17/05/2009 - 22:57h

Bom artigo.

Testei minhas máquinas no ShieldsUp, todas sob um gateway/roteador Dlink cujo firewall está habilitado e todas passaram, até mesmo a com Windows XP.

Acho que dá para confiar no resultado.

[9] Comentário enviado por meinhardt_jgbr em 18/05/2009 - 09:24h

Riesdra,

Não sou nenhum especialista em firewall nem tampouco em configurações de iptables. Entretanto com base na minha experiência anterior, tentaria confirmar alguns pontos para definir a linha de conduta.

1- Verificaria uma a uma as portas que eventualmente apareçam abertas (em vermelho) e a que tipo de serviço ou aplicativo se referem.
2- Confirmaria a necessidade de que as mesmas estejam abertas para que estes serviços / aplicativos funcionem.
3- Partiria para a desativação de todas aquelas que não sejam estritamente necessárias.

4- Quanto às portas fechadas (que aparecem em azul), não me preocuparia tanto por enquanto, pois de qualquer maneira estão fechadas.

Alem disto trataria de fazer um teste com algum dos firewalls disponíveis na sua distro, instalando-o e partindo para a configuração do mesmo, especificamente para a desabilitação das portas que apareceram abertas e que não seja necessário que permaneçam nesta situação.

Apenas como exemplo, ha algum tempo eu tinha em uma distro derivada do Debian, o firewall Firestarter apenas instalado, em sua configuração padrão, sem aplicar nenhum filtro adicional especifico. Ao fazer o teste de vulnerabilidade usando o ShieldsUP, apareciam algumas portas como fechadas outras como ping e ssh abertas e não havia obviamente passado no teste de estado "invisível / fantasma" real.

Apenas por curiosidade, resolvi experimentar outro firewall e seguindo Dicas de outros usuários, instalei o aplicativo Guarddog, tendo o cuidado de antes desinstalar o firewall anterior e re-iniciar o PC.

Instalado o novo firewall, vários serviços deixaram de responder, oque significa que por padrão (default) o Guarddog tinha regras mais restritivas do que o Firestarter. Para que todos os serviços que usava voltassem a funcionar tive que partir para a configuração do Guarddog, liberando acesso a vários dos aplicativos que usava.

[10] Comentário enviado por riesdra em 18/05/2009 - 13:02h

mas nehum porta apareceu em vermelho, somente em azul e algumas verdes, e mesmo assim o teste não retorna como aprovado.

[11] Comentário enviado por meinhardt_jgbr em 18/05/2009 - 13:29h

Riesdra,

O teste que apresenta o resultado Passed - TrueStealth Analysis - Passed, indica apenas que o PC passou no teste de estado real como Invisivel / Fantasma, portanto se no seu PC, ele passa de volta a qualquer tentativa de invasão a informação de que as portas numero 1,2,3,4,5,6, etc estão fechadas (no caso daquelas sinalizadas em azul) ou simplesmente deixa de responder nas portas x,y,z, etc (aquelas em verde) não dando sinal de vida na rede, ele não está totalmente Invisível na rede, podendo algum invasor insistente continuar tentando desbloquear o seu sistema, pois de posse do resultado da varredura sabe exatamente quais portas tentar quebrar.

O seu PC apenas receberá o Aprovado (Passed) no teste de invisibilidade, quando não deixar vazar nenhuma informação de volta ao potencial invasor. Se você mantiver mesmo apenas uma porta no estado Fechado, não vai receber esta aprovação.

O restante do teste, aquela grade das primeiras 1056 portas é na verdade oque pode te dar a confiança de que não existe nenhuma porta aberta. A aprovação está ai nas cores de cada porta testada. Se você não tem nada em vermelho sua máquina está aprovada, apenas não está na situação ideal.

Como comentei no artigo, a situação ideal é aquela em que você esteja invisível, porém aparecer com as portas fechadas não é nada tão catastrófico, já que você estará apenas mostrando a sua posição. O seu firewall funcionou e não deixou passar nada nas portas fechadas.

Pessoalmente entretanto eu sempre preferi buscar a condição de invisível.

Como você comentou em outro post que tem o iptables carregado, sugeriria que instale uma das alternativas de firewal de sua distro e altere a configuração das portas. Com isto seu PC deveria alcançar o estado de "invisível" e portanto mais seguro.

[12] Comentário enviado por meinhardt_jgbr em 20/05/2009 - 10:52h

nick,

Não houve nenhuma intenção em fazer qualquer biografia do Steve Gibson que além de tudo não precisaria disto, porém apenas mostrar a confiabilidade do teste, já que existe tanta porcaria e armadilhas disponíveis e rodando livremente na Internet.

Valeu a dica de qualquer maneira.

Obrigado.

[13] Comentário enviado por meinhardt_jgbr em 27/05/2009 - 09:32h

No GDH, existe um artigo do Morimoto, sobre um dos aplicativos firewall que citei no artigo, o Firestarter:

http://www.gdhpress.com.br/redes/leia/index.php?p=cap5-12

Nas explicações sobre a configuração do firewall, ele comenta especificamente o caso onde é mais interessante usar a opção "DROP" em vez de "REJECT", exatamente para evitar de mandar resposta a tentativa de invasão e apenas bloqueando a tentativa e ignorando de forma inteligente sem mostrar a posição. Isto é o modo Fantasma Real ou Invisivel Real (True Stealth).

Abaixo a citação deste exemplo mostrada no artigo do Morimoto:

"quote"

Uma vez aberto, o Firestarter bloqueia por padrão todas as portas e loga todas as tentativas de conexão, uma configuração bastante segura. A partir daí, você pode ir criando uma lista de exceções, permitindo conexões em determinadas portas e a partir de determinados endereços.

Ainda na janela de configurações, verifique se a opção "Método de rejeição de pacotes preferido" está configurada como "Descartar silenciosamente", em que é usada a política "DROP" do IPtables, ao invés de "REJECT", onde o emissor recebe resposta.

"unquote"


[14] Comentário enviado por jucaetico em 13/10/2009 - 16:15h

Muito bom! Depois dessa dica consegui melhorar a segurança do meu firewall. Obrigado.
Abraços

[15] Comentário enviado por meinhardt_jgbr em 14/01/2010 - 22:34h

Tenho usado com sucesso tanto o Firestarter como o Guarddog.
Configurando corretamente os mesmos se pode obter com relativa facilidade a condição de ideal de invisibilidade na rede ou "Fantasma Real" (True Stealth).

O segredo é usar o poder e confiabilidade dos testes do www.GRC.com e ir testando as várias configurações do firewall instalado até conseguir a condição ideal.

[16] Comentário enviado por meinhardt_jgbr em 15/04/2010 - 11:06h

O artigo abaixo, muito interessante e detalhado, apresenta as informações necessárias para configurar a sua tabela de endereços IP ( iptables ) que é o firewall nativo do linux, via terminal. Como comentei anteriormente isto também pode ser feito usando aplicativos Firewall, em modo gráfico sem precisar usar o terminal, para aqueles que assim preferirem.

Veja o artigo em:

http://www.vivaolinux.com.br/artigo/Desvendando-as-regras-de-Firewall-Linux-Iptables/


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts