Drive-by-download, esse tipo de ataque como o nome já diz "movido por download" tem o objetivo de fazer download de vírus e malwares e infectar a máquina, lembra o vídeo que eu mostrei no começo falando do ataque a servidores Linux?

Então aquele vídeo para mim é pura propaganda anti-Linux, o narrador diz "... como a maioria dos servidores Linux é desprotegido, ele se torna um alvo fácil...", como se a culpa fosse do Linux, se o servidor é mal configurado é culpa de quem o configurou... bom deixa o meu sangue parar de ferver...

O ataque de drive-by-download visa invadir servidores e colocar o vírus em uma página e assim que alguém usando o Windows ou Mac entrar nesta página eles são infectados. Se os hackers acham um site muito visitado eles não vão esperar muito até as vítimas começarem a cair na armadilha. Agora se o site é fraquinho e quase ninguém cai na falcatrua, eles dão um empurrãozinho através de e-mail.

Eu fui "vítima" de um ataque desses, só que não foi em uma página que eu visitei e sim um e-mail que eu recebi, nesse e-mail uma seguradora disse que haveria uma inspeção no estúdio onde eu trabalho e no anexo estava o dia marcado para essa inspeção. O problema é... eu sou o diretor da rádio e se tem alguém que lida com a seguradora sou eu.... a suposta companhia de seguros não tem nada a ver com a nossa seguradora. Sabendo que era uma farsa eu decidi jogar o jogo deles, usando o Linux claro, eu baixei o anexo. O documento do Word abriu, só que não havia texto nenhum... então o problema é... macro (macros são como scripts que rodam dentro do documento do Word para fazer processos dinâmicos). As empresas de antivírus querem convencer que porque macros são embutidos em aplicações multiplataforma, nesse caso LibreOffice, o perigo que eles apresentam no Windows seria o mesmo para o Linux e Mac. Que não é o caso, porque mesmo que as funções sejam interpretadas do mesmo jeito o programa em si não interage com o sistema operacional de forma igual.

No LibreOffice eu fui em Ferramentas/Macros/Organizar caixa de diálogo: Depois eu fui em módulos, nome do documento, projeto, objetos do documento, esse documento.

Olha só para deixar claro eu estou traduzindo ao pé da letra, eu não sei o que aparece na interface em Português é isso mesmo que eu estou traduzindo, qualquer coisa se estiver errado segue o visual dos screenshots: E aqui esta o código maligno, com certeza se eu rodar um antivírus nesse documento do Word não ia dar nada, porque? Primeiro que o vírus não está nesse documento e segundo que se você analisar esse código o mal está escondido, percebeu que existe parte do código que está em hexadecimal? Para ser mais claro essa seção selecionada é onde o mal se esconde, se você copia esse texto e vai em qualquer website que decodifica hexadecimal você vai ver o mal ali... Como no caso desse documento, aqui você vê instruções de download usando uma espécie de AJAX "XML HTTP-get" e o download é renomeado (5C333233342... vira 324234234.exe) e é jogado na pasta temporária do Windows (54454D59 vira TEMP?), só que como estamos no Linux a pasta temporária está em local diferente, o que acontece quando o comando é executado para fazer um download? Assim como quando você usa um comando para fazer um download e instrui o programa para salvar em um local que não existe o programa retorna erro e não faz download nenhum, só que mais adiante nesse código as caixas de diálogo são desabilitadas, assim não há retorno de erro algum, para não chamar a atenção do usuário.

Mas digamos que existe a possibilidade do hacker escrever esse macro com o Linux em mente, o que acontece se o local para fazer o download existir?

Para testar essa hipótese eu fiz o download do arquivo (hoje você não vai conseguir fazer o download porque o servidor já está desativado) e tentei rodar ele no Wine, não é de surpresa que ele falhou já que o vírus invoca partes internas do sistema da MS. Partes que o Wine não tem em si já que o Wine não é um Windows e sim um emulador... Mas quando eu coloquei esse arquivo dentro de um USB e só espetei no computador com o Windows: Por favor não tente isso no seu computador, eu sei o que eu estava fazendo e o meu antivírus estava atualizado e rodando a proteção em tempo real.

Resultado desse ataque? Inofensivo no Linux, mesmo porque se o hacker colocar um script ou um programa em ELF 100% compatível com Linux, esse ataque não daria certo porque você tem que encontrar o vírus, dar permissão de execução e então executar. E quando eu digo executar, lembre-se que tem 2 maneiras de fazer isso, uma com sua conta normal onde o único afetado é você ou com o root onde todo o sistema fica comprometido.

Na última pagina desse artigo eu vou mostrar um código que poderia destruir um computador, não podemos chamar de vírus porque como já foi explicado esse código não vai ter as características principais de um vírus. Porém esse código pode representar um perigo para uma máquina que o cracker queira destruir. Mas antes de mostrar o código deixa eu esclarecer uma coisa: o método que pode ser eficaz para esse tipo de código não foi discutido aqui ainda, continue lendo para entender como esse código pode ser efetivo.

Segurança extra em servidores

Se você roda um servidor, é sua responsabilidade instalar um antivírus e manter ele atualizado, já que os seus clientes estão rodando o Windows.

Eu recomendo o ClamAV, e no caso de servidor não e só o sistema que pode ser invadido por um hacker e comprometido mas tem uma vasta lista de vulnerabilidades que não são do Linux mas do software rodando nele. Por exemplo se você tem PHP e MySQL pesquise sobre SQL injection, se você usa Drupal ou WordPress cuidado na hora de usar plugins e mantenha o seu site com a versão mais atual do WordPress, Drupal e cia.

Se o seu site permite os usuários fazer uploads mantenha o antivírus em monitoramento constante da pasta onde os downloads serão enviados, escolha senhas que sejam difíceis a um ataque de brute force, limite as tentativas de login para dificultar ainda mais o brute force, não deixe o root conectar direto ao SSH, entre como usuário normal e lá dentro do sistema execute o sudo se necessário.

Eu sei que nesse último parágrafo eu vomitei um monte de informações que cada uma delas já dá um artigo separado, portanto pesquise... quem mandou você trabalhar com T.I.? :)