Avançar para a área de conteúdo

ir para o conteúdo principal

developerWorks Brasil  >  Linux  >

Protegendo o Desktop do Linux

Uma seleção de ferramentas fáceis de usar para manter seus sistemas seguros

developerWorks
Ir para a página anteriorPágina 3 de 11 Ir para a próxima página

Opções de documento

Classificar este tutorial

Ajude-nos a melhorar este conteúdo


Protegendo contra Malware

Malware é a abreviação de software mal-intencionado. Qualquer programa ou arquivo cujo propósito seja danificar ou interromper um sistema de computador ou rede é um malware. Esta seção do tutorial primeiro fornece a você uma visão geral de como o malware pode atacar o GNU/Linux e quais fundamentos de design no sistema operacional ajudam a evitar infecções de malware. Acompanhando a visão geral, estão as instruções sobre como implementar proteção antivírus e como proteger seu sistema contra rootkits.

Para o malware espalhar-se entre sistemas e para causar danos, o programa ou arquivo precisa ser executado. O GNU/Linux foi projetado de forma que os usuários não estejam executando sob a conta root (administrador); portanto, os programas e arquivos não têm a capacidade de executarem sem permissão explícita. Sem a habilidade de executar programa neste estado de login, o malware não consegue instalar-se ou propagar-se através de um sistema GNU/Linux devido às permissões do usuário. O recurso de segurança de permissões do usuário está integrado no GNU/Linux e é uma ferramentas mais efetivas contra a propagação do malware.

O malware criado para Windows não executará em um computador GNU/Linux. Da mesma forma que o Microsoft Office não pode executar diretamente a partir de um sistema GNU/Linux, os programas e arquivos mal-intencionados não executam porque os executáveis binários são criados para Windows. Se você tentar ativar um programa mal-intencionado criado para o Windows em um ambiente GNU/Linux, o programa não saberá o que fazer porque suas instruções são criadas para ler, gravar e executar de acordo com a arquitetura Windows. Isto também evita que o malware seja criado para GNU/Linux, porque as várias distribuições do sistema operacional sejam suficientes para tornar alguns tipos de malware inúteis.

Embora alguns aspectos do malware sejam irrelevantes para o desktop GNU/Linux, ainda há vários motivos porque você deveria se preocupar com ele. Executar varreduras ativamente para verificar se há malware ajuda a evitar a sua propagação. Mesmo se você não executar um programa mal-intencionado no GNU/Linux, ainda pode transmitir o programa para outro computador. Por exemplo, se você estiver utilizando vários ambientes, pode ser fácil transmitir um arquivo infectado do seu sistema GNU/Linux para um sistema Windows através de e-mail, através de uma unidade USB ou através de um compartilhamento Samba.

Outro exemplo é proveniente do malware para várias plataformas que é codificado para responder diferentemente, dependendo do sistema operacional do host. Se o malware detectar o Windows, ele ataca como tal. Se o Red Hat for detectado, diferentes comandos são executados.

Você também precisa considerar o aumento da popularidade dos ambientes independentes de plataforma, tais como OpenOffice.org, Perl e Firefox. O malware pode ser construído para atacar vulnerabilidades específicas que são independentes de plataforma. Por exemplo, o worm MSIL.Yakizake envia um e-mail para cada pessoa no catálogo de endereços Thunderbird do host. As mensagens eram customizadas com o sufixo DNS de forma que a linguagem do correio ficava correta.

Finalmente, você deve observar atentamente os pacotes de malware criados especificamente para GNU/Linux. Há muito tempo, os rootkits têm sido o calcanhar de Aquiles dos administradores do GNU/Linux. Eles fazem parte da mesma família de software que os cavalos de Tróia. Um método rootkit é um conjunto de ferramentas que possibilita que um hacker tenha acesso à conta root (de administrador) em seu computador. Estes pacotes de malware têm diferentes nomes, tais como tOrn e ARK, mas o resultado final é o mesmo: seu computador ou rede não fica mais sob seu controle.

Instalar proteção antivírus: ClamAV

Ao instalar o ClamAV, você pode especificar se deseja executar o programa manualmente ou executá-lo continuamente ao conectá-lo a um daemon. Para um desktop, o ideal é executar o programa como um daemon (isto ainda lhe dá a opção de executar varreduras manuais).

Para instalar o ClamAV como um daemon de execução contínua, siga estas etapas:

  1. Ligue o seu computador e efetue login.
  2. Na barra de menus, selecione Aplicativos > Acessórios > Terminal.
  3. Assim que o terminal for ativado, insira: sudo apt-get install clamav-daemon
  4. Quando solicitado, insira sua senha. Isto instala um pacote denominado clamav-freshclam, que é o pacote atualizador para o aplicativo ClamAV.
  5. Agora você visualiza uma mensagem indicando quanto espaço em disco será utilizado ao instalar o software. Insira Y no prompt para iniciar a instalação.

O processo de instalação deve levar apenas alguns minutos. Quando ele é concluído, você visualiza um alerta indicando que seu banco de dados de vírus é mais antigo do que x dias e que é necessário atualizá-lo o quanto antes.



Voltar para parte superior


Atualize suas definições de vírus

As definições de vírus são padrões de código que são exclusivos a diferentes programas de malware. Scanners antivírus comparam os conteúdos dos seus arquivos com os padrões de código em um banco de dados de definições de vírus. Se uma correspondência for localizada, o programa o alerta que há um arquivo infectado em seu computador e impede que o código em tal arquivo seja executado.

Os criadores de malware continuamente estão criando e tentando propagar novos arquivos infecciosos, portanto, à parte da instalação do software antivírus, manter suas definições de vírus atualizadas é a tarefa mais importante em manter seus arquivos protegidos do malware. Se a definição para uma parte específica do malware não estiver em seu banco de dados de definições de vírus, o scanner antivírus não reconhecerá seu código mal-intencionado e possibilitará que ele seja executado e cause qualquer dano para o qual foi programado.

Como você instalou o freshclam com o ClamAV, pode atualizar suas definições de vírus imediatamente a partir do terminal, seguindo estas etapas:

  1. No prompt, insira: sudo freshclam
  2. Quando solicitado, insira sua senha. Executar este comando atualiza suas definições com o banco de dados mais recente.
  3. O comando freshclam não causa nenhuma atualização automática subsequente em suas definições de vírus. A cada vez que você obtém as definições mais recentes, deve executar o freshclam novamente. Após realizar a atualização inicial, você pode julgá-la conveniente para utilizar o argumento -v no comando para primeiro verificar se suas definições estão ou não atualizadas: sudo freshclam -v


Voltar para parte superior


Iniciar o ClamAV

Agora que você atualizou suas definições de vírus, está pronto para iniciar o ClamAV.

Para executar uma varredura manual da sua pasta inicial, acesse o prompt do terminal e insira clamscan. Quando o comando clamscan for concluído, você visualizará um relatório de quantos diretórios e arquivos foram varridos e quantos arquivos infectados foram localizados.

Para iniciar a execução do ClamAV como um daemon, vá para o prompt de terminal e insira clamdscan. O comando clamdscan cria um usuário denominado ClamAV. Você pode então incluir este usuário no grupo que possui os arquivos que deseja varrer.



Voltar para parte superior


Instalar a GUI ClamTk para ClamAV

Como este tutorial é destinado a iniciantes, esta seção explica como configurar o ClamAV utilizando uma interface gráfica com o usuário (GUI) denominada ClamTk. Para instalá-la, siga estas etapas:

  1. Feche o terminal.
  2. Na barra de menus, selecione Aplicativos > Adicionar/Remover.
  3. Na parte superior da janela Adicionar/Remover Aplicativos, selecione Todos os aplicativos de Software Livre no menu suspenso Mostrar .
  4. Insira Clam na caixa de procura e pressione Enter.
  5. Quando Adicionar/Remover Aplicativos localiza o ClamTk, ele é listado como um Scanner de Vírus na seção principal da janela (consulte a Figura 1). Selecione a caixa de opção Scanner de Vírus . Se você for solicitado a ativar a instalação do software mantido pela comunidade, clique no botão Ativar .

    Figura 1. Instalando o ClamTk utilizando a ferramenta Adicionar/Remover
    Figure showing the Add/Remove tool

  6. Clique em Aplicar Alterações na parte inferior direita da janela.
  7. Clique em Aplicar.
  8. Quando a senha for solicitada, insira-a e clique em OK.
  9. Quando você visualizar a janela pop-up informando que a instalação foi concluída, clique em Fechar.


Voltar para parte superior


Utilizar o ClamTk

É possível ativar o ClamTk a partir do desktop selecionando Aplicativos > Ferramentas do Sistema > Scanner de Vírus, mas utilizar o programa desta maneira pode exibir que você efetue login como root, o que não é desejável. Ao invés disso, utilize as seguintes etapas para abrir o ClamTk com os direitos apropriados:

  1. Pressione Alt-F2.
  2. Digite: gksu clamtk
  3. Clique em Executar.

A Figura 2 mostra a janela do Scanner de Vírus ClamTk. Você pode utilizar o menu e a barra de ferramentas para emitir comandos. A seção de Informações lista arquivos e seus status. Se um arquivo estiver infectado, isto será indicado aqui (os arquivos na Figura 2 estão aguardando para serem varridos). Na parte superior da janela, a seção Status indica quantos arquivos foram varridos e quantos arquivos infectados foram localizados.


Figura 2. Varrendo para verificar malware utilizando a GUI do ClamTk
Figure showing ClamTk scanning a computer for Malware

Se você descobrir que um malware infectou algum arquivo, certifique-se de que o arquivo não seja um arquivo essencial para o sistema antes de excluí-lo. Isto é especialmente seguro se você estiver utilizando um computador com inicialização dupla, porque você pode varrer diretórios do Microsoft Windows utilizando o GNU/Linux e o ClamAV.



Voltar para parte superior


Proteger contra rootkits

Provavelmente, o malware mais perigoso que os usuários do GNU/Linux enfrentam é o rootkit. Para lutar contra rootkits e outras possíveis explorações, esta seção mostra como instalar e utilizar o rkhunter e o chkrootkit. Estes programas varrem seu desktop para verificar arquivos suspeitos que podem ter sido instalados por um hacker para obter controle do seu computador.

Instale e utilize o rkhunter

Para instalar o rkhunter, siga estas etapas:

  1. Para navegar de volta para o terminal, selecione Aplicativos > Acessórios > Terminal.
  2. No shell do terminal, insira o seguinte comando: sudo aptitude install rkhunter
  3. Quando você receber uma mensagem informando quanto espaço o software utilizará, insira Y para iniciar a instalação.

Assim que o rkhunter tiver sido instalado com êxito, você pode executá-lo para verificar várias explorações em seu desktop. Para iniciar o programa, vá para o prompt de terminal e insira: sudo rkhunter --check

Se o rkhunter estiver executando apropriadamente, você começa a visualizar uma lista de diretórios com a palavra OK ou Aviso próxima a eles. Quando iniciado, o rkhunter executa vários tipos de varreduras. Após a conclusão de uma varredura, você começa a próxima pressionando Enter. Os diferentes tipos de varreduras são:

  • Diretórios
  • Exploram no desktop (resultados de amostra mostrados na Figura 3)
  • Portas que são comumente utilizadas para acesso à porta dos fundos
  • Arquivos de inicialização, grupos e contas, arquivos de configuração do sistema e o sistema de arquivos
  • Aplicativos

Após todas as varreduras serem concluídas, o rkhunter fornece um relatório e cria um arquivo de log com os resultados.


Figura 3. Rkhunter varrendo rootkits
Rkhunter scanning for rootkits

Assim como com o ClamAV, você precisa atualizar o rkhunter regularmente de forma que ele possa detectar as vulnerabilidades e explorações mais recentes:

  1. A partir do terminal, insira: sudo rkhunter --update
  2. Quando solicitado, insira sua senha.

Instalar e utilizar o chkrootkit

Embora a maioria do software antivírus não execute apropriadamente junto com um programa antivírus de outra empresa, os caçadores de rootkit executarão simbioticamente com outro. Portanto, para uma proteção mais abrangente, você pode instalar o chkrootkit e executá-lo junto com o rkhunter.

Para instalar o chkroot, simplesmente acesse o prompt de terminal e insira: sudo aptitude install chkrootkit

Assim que o chkroot for instalado, você o executará assim como o rkhunter. No prompt do terminal, insira: sudo chkrootkit

Quando o chkroot concluir sua varredura, você será levado de volta ao prompt do terminal.

Se o rkhunter ou o chkrootkit descobrir algo fora do normal, eles simplesmente o informam sobre o possível problema. Nenhum destes programas realmente exclui arquivos do seu computador. Se você for alertado a algo por qualquer um dos programas, pesquise a exploração ou vulnerabilidade que foi relatada e certifique-se de que o que foi localizado não é um positivo falso. Em seguida, determine as etapas necessárias para eliminar a ameaça. Algumas vezes, você só precisa atualizar o sistema operacional ou outro software. Outras vezes, pode ser necessário localizar um programa enganador e erradicá-lo do seu sistema.



Voltar para parte superior



Ir para a página anteriorPágina 3 de 11 Ir para a próxima página