|
 Há algum tempo atrás, noticiamos aqui na FUG o lançamento do livro "Designing BSD Rootkits - An Introduction to Kernel Hacking", livro este que gerou alguma discussão, e inclusive uma thread na lista principal da FUG, e com ela, algumas considerações importantes e relevantes (1, 2, ...). Agora, Frederick Biancuzzi para ONLamp entrevistou o autor do livro, em uma entrevista curta, porém, muito interessante, que pode ser acompanhada aqui (original em inglês):
A BSD Rootkit Primer
A entrevista reafirma algumas considerações feitas na lista, que o valor da obra vai muito além de tentativa de fazer ou ensinar o leitor a criar software com objetivos maléficos. Os trechos relevantes da entrevista são citados ao longo dessa notícia.
Por quê um livro sobre Rootkits BSD? Francamente, porquê eu quis preencher uma lacuna de informação. Existe muita documentação sobre programação em sistemas Windows e Linux (que são a base para rootkits em modo kernel), mas não tanta documentação sobre tal programação em sistemas *BSD. E também porquê ao escrever o livro, haviam quatro livros distintos sobre rootkits em Windows e um em Linux. Contudo, se você quer uma resposta simples, é porquê gosto de rootkits (em qualquer S.O.) e gosto de FreeBSD. ... O livro é focado apenas em FreeBSD, porém, os métodos cobertos se aplicam a qualquer outro sistema. ... Na minha opinião, hoje em dia, a melhor medida para evitar rootkit é a prevenção. Isso é, se você puder prevenir um usuário não autorizado de conseguir acesso root ao sistema, nenhum rootkit no mundo vai ajudar o intrusor. Tenham em mente que, embora eu exaute as virtudes da prevenção, tal como outros profissionais de segurança da informação (como Richard Bejtlich) já disseram, a prevenção eventualmente pode falhar, e detecção torna-se tão importante quanto prevenção. O problema é que detecção de rootkit é difícil. Joanna Rutkowska apresentou uma idéia interessante (aqui) para detectar/verificar a presença de rootkits em sistemas operacionais, em Dezembro de 2006. ... As extensões de segurança do TrustedBSD ajudam-nos na defesa de nosso sistema? É claro!. Afinal de contas, esse é o propósito da engenharia este. Acho que a extensão de auditoria de eventos (que é parte do FreeBSD a partir do 6.2) é muito útil. Permite que você logue uma variedade de eventos que podem ser analisados para detecção de intrusão. E também, o Controle de Acesso Imperativo (Mandatory Access Control - MAC) tem uma política que permite que você assine as aplicações executáveis e previna a execussão de programas não assinados. ... Administradores de sistemas FreeBSD que não precisam de suporte a KLD (módulos de kernel) devem desabilitar o recurso, elevando o nível de segurança para 1 ou acima disso. Pode-se ainda impor segurança em aplicações, com Jails. ...
As outras considerações na segunda parte da entrevista são úteis para os leitores que desejam aprender desenvolvimento de código de kernel no FreeBSD ou rootkits, e é de leitura altamente recomendável em sua íntegra.
|
