O código malicioso não é nada que nos deva preocupar no Linux, certo? Na verdade, já não é bem assim…
Longe vão os dias em que a ideia de que vírus e outro malware constituía uma ameaça para sistemas Linux era quase universalmente olhada de lado, senão mesmo rejeitada em absoluto. Durante muito tempo vistos como o casamento perfeito entre a maravilha do código aberto e a forte segurança do Unix, os sistemas baseados em Linux são agora encarados como mais um alvo apetecível… e viável.
Esta mudança é, em parte, o resultado da tomada de consciência entre os adeptos do Linux e administradores de sistemas de que um sistema Linux comprometido, como um servidor web, oferece aos atacantes um excelente “retorno face ao investimento”. Mas, igualmente importante, a investigação referente ao malware em anos recentes[1] trouxe maior visibilidade às ameaças que os sistemas Linux enfrentam.
Admitimos que existe mais do que um pouco de verdade na ideia popular que associa o Linux com uma melhor segurança, ainda que imperfeita. Mas, esta ideia não faz distinção entre os diferentes “sabores” de Linux e inúmeros cenários de utilização do sistema operativo, ao mesmo tempo que também não tem em consideração a existência de um número crescente de ameaças que são agnósticas em termos de plataforma.
As distribuições de Linux para computadores pessoais continuam a ser uma minoria quando comparadas com sistemas Windows (e até com máquinas macOS, na verdade) e este estatuto de nicho representa certamente um papel na relativa raridade do malware específico para Linux. Mas, se olharmos para os servidores com acesso público (servidores Web, servidores de email…), torna-se rapidamente aparente que há muita atividade maliciosa a fervilhar para os lados do Linux. E o mesmo pode dizer-se relativamente a todo o tipo de dispositivos embedded, equipamentos de redes e smartphones Android que também nele são baseados.
Os servidores como alvo
Mas foquemo-nos nos servidores – até porque são eles os mais atingidos pelos principais ataques de malware contra sistemas Linux. As distribuições de Linux para servidores estão no centro da maioria dos datacenters e o sistema operativo é muito importante para empresas de diferentes tipos e dimensões. Na realidade, uma grande parte da Web – incluindo servidores usados pela Google, Facebook e Twitter – é suportada pelo Linux.
Por isso não deverá ser uma surpresa que a história recente tenha sido pródiga em exemplos de danos provocados por malware destinado a comprometer servidores baseados em Linux. Um servidor vulnerável é um alvo valioso para diversos tipos de ações nefastas, incluindo o roubo de dados pessoais e acesso a credenciais, redirecionamento de tráfego Web, ataques DDoS (Distributed Denial of Service) e “mineração” de cripto-moedas.
Mais importante ainda, a máquina comprometida pode depois ser usada para hospedar servidores de “comando & controlo” capazes de serem utilizados para outro código malicioso e para o lançamento de campanhas de spam destinadas a enviar mensagens que, por sua vez, se destinam a disseminar mais malware – e, neste caso, sobretudo tendo como alvo sistemas Windows.
Não precisamos de voltar muito atrás no tempo para encontrarmos exemplos de penetração na reputada armadura anti-malware do Linux. Há pouco mais de um ano, investigadores da ESET descobriram uma séria de “backdoors” OpenSSH[1], uma das armas de eleição dos atacantes que procuram roubar o controlo dos servidores aos seus administradores. Os investigadores descobriram um total de 21 famílias de malware especificamente desenvolvido para atacar sistemas Linux, incluindo uma dezena que nunca tinham sido documentadas até à data – e quase todas possuíam funcionalidades de backdoor e capacidades de obtenção de credenciais de acesso.
Esta investigação foi o resultado de três anos de trabalho que acabou por oferecer uma visão única do ecossistema de malware do Linux. Uma das vertentes da investigação desvendou um botnet de 25.000 servidores, a maioria dos quais baseados em Linux, que funcionou durante três anos antes de ter sido detetado.
Ao longo dos anos, investigadores da ESET de outras empresas de cibersegurança têm feito descobertas que demonstram que o malware capaz de atacar de forma bem-sucedida servidores de Linux não é algo raro – bem pelo contrário.
O que isto significa na prática é que estes sistemas não devem ser olhados como sendo (quase) invioláveis e que administradores de sistemas em todo o mundo devem dar aos seus servidores baseados em Linux a mesma atenção e cuidado que reservam normalmente para máquinas com outros sistemas operativos.
Até porque, como sabemos, no mundo da cibersegurança não há sistemas 100% seguros: apenas aqueles cuja segurança já foi violada e os que (ainda) não foram.
