Lembro-me muito bem dos papers e guias quanto à configuração e desconfiguração de dezenas de serviços, que eram tidos como desnecessários e inseguros em servidores Linux/Unix e até mesmo Windows. Estes mesmos guias não continham mais do que 20 páginas – e no final da execução de cada um deles, o serviço estaria quase invulnerável. Era o que pensávamos há 10 ou 15 anos.

Alguns simples parâmetros eram configurados em um servidor para assegurar que um ping ou comando de rede não tivesse o poder de derrubar todo um ambiente. Claro que depois surgiu aquela incrível gama de patches, soluções/scripts de hardening para Sun Solaris (tento a todo o tempo me lembrar do nome, mas no final, eu sempre me esqueço) e tantas outra soluções que tinham como objetivo “impedir o sucesso de quaisquer ataques aos servidores conectados à internet”.

Fora, é claro, a criação de estruturas de arquivos e diretórios de forma organizada e com os seus privilégios configurados de acordo com a necessidade de cada servidor ou ambiente.

Isso mudou, e muito, nos últimos anos e foi graças à crescente demanda do mercado pelas aplicações web. Não é novidade para ninguém dizer que boa parte das vulnerabilidades encontradas e exploradas nos últimos anos está associada ao mau desenvolvimento de um código e, principalmente, um código que era base para alguma aplicação web.

O resultado disso é a crescente proliferação de aplicações desenvolvidas única e exclusivamente para varrer códigos, sejam eles PHP, Ruby ou qualquer outro que seja base para alguma aplicação web, atrás de alguma falha de segurança. Só no início deste ano já foram lançadas atualizações para mais de 3 aplicações deste tipo.

Uma coisa que vejo e que acho muito interessante é a quantidade de configurações, e até mesmo de cursos, que focam em configurar e ensinar a você e  ao seu ambiente para que ele não saia na rua, quer dizer, na internet, sem proteção. Você deve executar, no mínimo, uma atualização de todo o seu ambiente, desabilitar dezenas de serviços, parametrizar uma série de pontos de seu ambiente e rezar. Rezar para que não haja um novo 0-day que possa afetar o seu ambiente e que possa derrubar todo o seu trabalho.

Outro ponto interessante que vejo muito por aí é a falta da seguinte frase “Irei proteger o seu ambiente e mais, irei configurá-lo para minimizar os estragos casados por uma invasão “.  Vocês já viram algum produto ou empresa falar isso,  de forma franca, para os seus clientes ? O fato é que, algum dia, um servidor estará vulnerável e este carinha estará suscetível a um ataque.

Um bom administrador pode, sim, configurar um servidor para se proteger de um ataque e, principalmente, para minimizar um estrago. Hoje, mais do que nunca, ambientes web precisam deste tipo de abordagem, já que são responsáveis por quase todo o faturamento das maiores empresas de tecnologia do planeta.

 

Compartilhar:

Este post tem um comentário

  1. Até essa hora colocando artigo… Saquei dando uma “navegada” pelo submundo noturno da internet…. hehehe

Deixe uma resposta

Fechar Menu