Anda di halaman 1dari 0

www.invasao.com.

br













Segurana

Tecnologias
Anti-Hacker





















www .ProjetodeRedes .com.br
Mais apostilas em:
www.invasao.com.br

1. Apresentao do Curso


O Objetivo do curso levar aos alunos o conhecimento sobre invases
de computadores, desde o motivo at a soluo, passando por vulnerabilidades
e como torn-las sem efeito. Inclui tambm conceitos bsicos de rede e de
comunicao de dados.

O Curso

Durante o curso ser apresentado material sobre hackers, como agem e
o que querem, como se proteger e como detectar um invasor. Sero mostrados
alguns fatos acontecidos no mundo da segurana, algumas histrias de hackers
famosos e o que lhes aconteceram, bem como algumas histrias dos
bastidores.

Opinio

Sobre os Hackers

Conhea seu inimigo como a si prprio, e
elabore sua estratgia de defesa e ataque
baseadas em suas vulnerabilidades.


O perfil tpico do hacker : jovem entre 15 ~ 25 anos, com amplo
conhecimento de redes, conhecimento de programao (geralmente em
linguagens como C, C++, Java e Assembler). Contudo, existem diversos tipos
de hackers, dos que possuem mais experincia para os que apenas copiam
furos de segurana explorados por outros hackers.

Temos:


White-Hats

Os white-hats so os hackers que explorarm problemas de segurana
para divulg-los abertamente, de forma que toda a comunidade tenha acesso
informaes sobre como se proteger. Desejam abolir a segurana por
obscuridade, que nada mais do que tentar proteger ou manter a segurana
pelo segredo de informaes sobre o funcionamento de uma rede, sistema
operacional ou programa em geral. Seu lema o full disclosure, ou
conhecimento aberto, acessvel a todos.



Black-Hats

Ao contrrio dos white-hats, apesar de movidos tambm pela
curiosidade, usam suas descobertas e habilidades em favor prprio, em
esquemas de extorso, chantagem de algum tipo, ou qualquer esquema que
venha a trazer algum benefcio, geralmente, e obviamente, ilcito. Estes so
extremamente perigosos e difceis de identificar, pois nunca tentaro chamar a
ateno. Agem da forma mais furtiva possvel.


Crackers

As denominaes para os crackers so muitas. Alguns classificam de
crackers, aqueles que tem por objetivo invadir sistemas em rede ou
computadores apenas pelo desafio. Contudo, historicamente, o nome cracker
tem uma relao com a modificao de cdigo, para obter funcionalidades que
no existem, ou de certa forma, limitadas. Um exemplo clssico so os diversos
grupos existentes na Internet que tem por finalidade criar patches ou mesmo
cracks que modificam programas comerciais (limitados por mecanismos de
tempo por exemplo, como shareware), permitindo seu uso irrestrito, sem
limitao alguma.


Phreakers

Apesar de muitos considerarem um cientista russo chamado Nicola Tesla
(que na virada do sculo realizava experincias assutadoras at para os dias
de hoje com eletricidade) como o primeiro hacker da histria, os primeiros
hackers da era digital (ou seria analgica ?) lidavam com telefonia. Sua
especialidade interferir com o curso normal de funcionamento das centrais
telefnicas, mudar rotas, nmeros, realizar chamadas sem tarifao, bem como
realizar chamadas sem ser detectado (origem). Com a informatizao das
centrais telefnicas, ficou inclusive mais fcil e acessvel o comprometimento de
tais informaes. Kevin Mitnick, considerado o maior hacker de todos os tempos
(veremos que nem tanto a mdia excerceu uma influncia decisiva), era um
timo phreaker. Na fase final de sua captura, quando os agentes de governo
ajudados pelo Tsutomu Shimomura estavam chegando a um nome, ele
conseguia enganar as investigaes atravs do controle que tinha da rede de
telefonia da GTE (consessionria telefnica dos EUA).


Wannabes

Os wannabes ou script-kiddies so aqueles que acham que sabem, dizem
para todos que sabem, se anunciam, ou divulgam abertamente suas
faanhas, e usam em 99% dos casos scripts ou exploits conhecidos, j
divulgados, denominados receitas de bolo, facilmente encontradas em sites
como www.rootshell.com, ou xforce.iss.net. Estes possuem relao direta

com a maioria dos usurios da Internet Brasileira. So facilmente encontrados
em frums de discusso sobre o tema, e principalmente no IRC. A maioria no
possui escrpulo algum, portanto, tomar medidas de cautela aconselhvel. Os
wannabes geralmente atacam sem uma razo ou objetivo, apenas para testar
ou treinar suas descobertas, o que nos torna, usurios Internet, potenciais
alvos.


Exemplo / Estudo de Caso: TakeDown

Para entender melhor o que pensa um tpico black-hat, um phreaker, e
um white-hat, analisemos o caso de Kevin Mitnick e Tsutomu Shimomura.

Kevin Mitnick a um bom tempo (meados dos anos 80) j havia sido
investigado pela polcia, por atividades ilcitas ligadas a segurana de
computadores, sempre relacionadas a sua atuao como hacker. Por volta de
1992 ~ 1994, Tsutomu Shimomura e outro hacker conhecido, chamado Mark
Lotto, desassemblaram o cdigo do sistema operacional de um celular da OKI.
Tsutomu em si trabalhava como consultor para a Motorola. Ningum sabe ao
certo o que fez o Kevin tentar invadir as mquinas de Tsutomu, contudo, a
comunidade tem uma certeza: no foi uma ataque simples, foi algo planejado.
Tudo indica que o objetivo de Kevin era conseguir obter os cdigos fonte dos
celulares que Tsutomu possua, para posteriormente vend-los.

Tudo comeou quando ele conseguiu controlar as centrais telefnicas da
GTE. Kevin discava de um celular, e raramente de casa, de uma cidade
chamada Raleigh, na Carolina do Norte, USA. Assim, invadiu as mquinas de
um provedor chamado The Well, que usava para ter acesso a Internet. Ele usou
como ponto de partida os servidores do The Well para o ataque. Enquanto
isso, aproveitou seu acesso invisvel atravs do The Well para invadir um
outro provedor, chamado NetCom, de onde roubou milhares de cartes de
crdito. Aps isso, invadiu uma mquina em toad.com. De l, iniciou o ataque
rede de Tsutomu Shimomura. Atravs de um antigo exploit do finger, e usando
um pouco de port scanning, ele conseguiu descobrir que uma mquina de
Tsutomu, chamada Ariel, tinha uma relao de confiana com outra mquina na
rede de Tsutomu. Ele tirou esta mquina do ar (atravs de um ataque do tipo
DoS), utilizou uma tcnica chamada IP Spoofing, para a mquina Ariel pensar
que estava sendo acessada pela mquina na qual confiava. Da pra frente, ficou
fcil. Observe que Kevin usou de uma srie de artifcios para no ser detectado,
desde a sua ligao telefnica at seu acesso aos computadores de Tsutomu, e
que sua motivao tambm era financeira.

Tsutomu conseguiu chegar a Kevin devido a um rastro deixado em Ariel.
Nela, algumas informaes apontavam para a mquina em quem confiava,
contudo, como isso poderia ocorrer, uma vez que a mesma estava fora do ar ?
Descobriu ento, que as conexes tinham partido de toad.com. Assim, iniciou
uma caada que vrios meses depois, chegou em Raleigh, e culminou com a

captura do Kevin (com ajuda do FBI) em fevereiro de 1995, atravs do sinal de
seu celular, que usava para se conectar.

O mais interessante de tudo que Kevin no era especialista em UNIX
(sistema usado por Tsutomu, pelo toad.com, pela Well). Ele era na verdade
especialista em VMS / VAX, um sistema da Digital. Ele parecia ter profundos
conhecimentos sobre sistemas da Digital. Tudo indica que Kevin seguiu vrias
dicas de algum em Israel, que at hoje, ningum coseguiu identificar. Kevin
forneceu vrias informaes sobre como invadir sistemas VMS / VAX, e recebeu
as dicas de como usar o IP spoofing, que, na poca, era uma tcnica recente,
nunca testada, apenas discutida academicamente.

Existe um site na Internet que possui um log demonstrando at a sesso
de telnet que Kevin usou, algumas chamadas que ele teria realizado para o
Mark Lotto, demonstrando seu interesse pelo cdigo fonte dos celulares, e
algumas gravaes da secretria telefnica do Tsutomu, que supostamente,
teriam sido feitas pelo Kevin . O site pode ser acessado em:
http://www.takedown.com

Existem tambm dois livros que contam a histria. Um, com a viso e Kevin,
escrito pelo Jonattan Littman, e outro, com a viso de Tsutomu, escrito pelo
John Markoff em conjunto com ele. Este ltimo possui uma edio nacional,
pela Companhia das Letras. Chama-se Contra-Ataque. O livro escrito pelo
Littman chama-se The Fugitive Game: online with Kevin Mitnick. Ambos os
livros podem ser encontrados online, em livrarias como Amazon.com, por
menos de 20 dlares cada.

Kevin Mitnick foi solto em 21 de janeiro de 2000, e est sobre condicional.
Boatos dizem que o governo Americano est usando Kevin Mitnick como
consultor de segurana.

Ningum sabe o paradeiro de Tsutomu Shimomura.



2. Entendendo Redes e a Internet


Introduo em Redes


Conceito de Redes

As redes de computadores foram criadas a partir da necessidade de se
compartilhar dados e dispositivos. Com a distribuio do dado, valioso ou no,
tal ambiente passou a ser alvo de um estudo de vulnerabilidades, tanto por
parte dos administradores conscientes, quanto por potenciais ameaas
(sabotagem ou espionagem industrial por exemplo).

Contudo, para que a comunicao de dados ocorra entre computadores,
necessrio que uma srie de etapas e requisitos sejam cumpridos. Podemos
dividir a comunicao em rede, didaticamente, em 4 camadas: a parte fsica
(meio de transmisso placas de rede, cabeamento...), a camada de
endereamento / roteamento (responsvel pelo endereamento e pela escolha
do melhor caminho para entrega dos dados), a parte de transporte (protocolo
de comunicao responsvel pelo transporte com integridade dos dados), e a
camada de aplicao (que faz interface com o usurio). Se algum elemento de
alguma destas camandas falhar, provavelmente no haver comunicao.




TCP/IP

O TCP/IP (Transmission Control Protocol / Internet Protocol), uma
pilha de protocolos que vem sendo modelada a dcadas, desde a criao de
uma rede chamada ARPANET, em meados dos anos 60, nos EUA. Ao contrrio
do que muitos acham, no apenas um protocolo de comunicao, mas uma
pilha deles. Essa pilha de linguagens de comunicao permite que todas as
camadas de comunicao em rede sejam atendidas e a comunicao seja
possvel. Todas as pilhas de protocolo, de uma forma ou de outra, tem de
atender a todas as camadas, para permitir que os computadores consigam
trocar informaes.

Podemos fazer uma analogia de uma pilha de protocolos com a
comunicao verbal. Se algum fala com outra pessoa, e esta o entende,
porque todas as camadas para que a fala seja entendida foram atendidas.
Imagine que, para que duas pessoas se comuniquem verbalmente, ser
necessrio:


1. que ambas saibam o mesmo idioma
2. que ambas tenham toda a estrutura fisiolgica para que emitam som
(voz cordas vocais, lngua, garganta, pulmes, etc.)
3. que ambas possuam toda a estrutura fisiolgica para que ouam o som
(orelha, ouvido interno, tmpanos, etc.)

Nesta pilha de protocolos, temos como mais importantes:



ARP (Address Resolution Protocol)

O ARP o protocolo responsvel pelo mapeamento ou associao do
endereo fsico ao endereo lgico, de computadores numa mesma rede. Ele
faz isso atravs do processo exemplificado no tpico anterior.


IP

O Internet protocol o responsvel pelo endereamento lgico de
pacotes TCPIP. Alm disso, responsvel pelo roteamento destes pacotes, e
sua fragmentao, caso a rede seguinte no possa interpretar pacotes do
mesmo tamanho. O mais importante para entendermos o funcionamento do IP
entender como feito seu endereamento lgico.

Um endereo IP algo parecido com isto:

200.241.236.94

Apesar de aparentemente no ter muita lgica, este endereo contm
uma srie de informaes. A primeira delas que, neste nmero esto
presentes a identificao da rede na qual o computador est ligado, e o seu
nmero, em relao a esta rede. Detalhe: o computador NO interpreta este
nmero acima como 4 cadeias decimais separadas por pontos (esta
representao apenas para tornar nossas vidas mais fceis). Ele entende
como 4 octetos, ou 4 campos de 8 bits:

11001000.11110001.11101100.01011110

Algumas concluses e fatos sobre endereos IP:

1. QUALQUER endereo iniciado por 127, considerado endereo de
diagnstico, e representa sua prpria interface (tambm chamado de
loopback);
2. O endereamento IP usado hoje chamado de IP verso 4. O nmero
de endereos IP em uso preocupa vrios especialistas. Um dos
projetistas da pilha, Vincent Cerf, previu que at 2008, todos os
endereos estaro em uso. Para isso, j existe em funcionamento uma

nova verso, chamada de IP verso 6, que ter como endereamento
128 bits, ao invs dos 32 bits do IP verso 4;
3. Para entender as vulnerabilidades e como funciona a maioria dos
mecanismos de ataque e defesa, necessrio enteder o conceito bsico
do endereamento IP;
4. A pilha TCP/IP vem sendo modificada desde a dcada de 60. Como seu
design bastante antigo, existem diversas vulnerabilidades inerentes ao
protocolo, que so bastante usadas por hackers;
5. cada octeto no pode ter um valor decimal acima de 255 afinal, 8 bits
somente conseguem assumir 256 combinaes diferentes, o que d, em
decimal, a contagem de 0 a 255.

Problemas comuns de configurao IP:

1. mscara errada;
2. endereo do gateway (roteador) errado;
3. poro rede errada, ou endereo IP duplicado.


ICMP (Internet Control Message Protocol)

A funo do ICMP basicamente de diagnstico e tratamento de
mensagens. Atravs dele, possvel determinar por exemplo, quanto tempo um
pacote est demorando para ir a uma mquina remota e voltar (round trip),
bem como determinar se houve perda de pacotes durante a transmisso. Com
ele, tambm possvel determinar qual o caminho que um pacote est
seguindo a partir de uma mquina. O ICMP tambm possui outras funes
como o SOURCE_SQUENCH. Esta funo permite ao protocolo IP saber se a
taxa de transmisso est muito rpida entre redes. Quando um roteador recebe
um pacote ICMP SOURCE_SQUENCH, ele sabe que ter de diminuir a
velocidade para no saturar o prximo roteador. Existem outros tipos de
pacotes ICMP, como o perigoso SOURCE_ROUTING, que possibilita a troca
temporria de uma rota.


TCP (Transmission Control Protocol)

O protocolo TCP um protocolo de transporte, responsvel pela entrega
correta dos pacotes. Sua principal caracterstica a confiabilidade. Para cada
pacote ou conjunto de pacotes que envia, espera do destinatrio uma
confirmao da chegada dos mesmos. Caso isso no ocorra, ou o pacote
chegue corrompido, ele tratar de efetuar a restransmisso. Ele tambm coloca
nos pacotes um nmero de sequncia, para que o destino possa remontar o
dado original, caso os pacotes sigam por caminhos diferentes ou cheguem
atrasados (fora de ordem). Este nmero de sequncia tambm usado como
recurso de segurana.



UDP (User Datagram Protocol)

O UDP assim como o TCP, tambm um protocolo de transporte.
Contudo, no possui nenhuma checagem de erros, confirmao de entrega ou
sequenciamento. Ele muito utilizado em aplicaes que necessitem de trfego
urgente, e no sejam to sensveis a algumas perdas de pacotes. Exemplos de
aplicaes que usam UDP como transporte: transmisso de udio e video pela
rede (RealPlayer, Realvideo ou Media Player), jogos online (como Quake, Half-
Life). Pela falta do nmero de sequncia ou confirmao de conexo, trfego
UDP muito mais vulnervel em termos de segurana.


DNS (Domain Name System)

No final da dcada de 70, comearam a pensar numa forma mais fcil de
tratar computadores ligados a uma rede TCPIP. Imagine que para estabelecer
uma conexo, voc deve fornecer o endereo IP do destino, e o servio que
deseja usar (e a porta), e o transporte. Decorar dezenas de endereos IP no
uma tarefa fcil, to pouco prtica. O DNS foi concebido para evitar este
transtorno. Atravs dele, cada host recebe um nome, mais fcil de aprender,
dentro de uma hierarquia, o que ajuda ainda mais na hora de identific-lo. Um
exemplo seria www.invasao.com.br. Este caso uma referncia ao servidor
www, dentro do domnio invasao.com.br. No Brasil, a entidade que controla o
registro de nomes (de forma a impedir fraudes e utilizao indevida / registro
indevido) a FAPESP Fundao de Fomento a Pesquisa do Estado de So
Paulo.


Protocolos de Aplicao

Em cima da infra-estrutura fornecida pelos protocolos descritos at
agora, funcionam os protocolos de aplicao. Estes fazem a interface com o
usurio, ou com a aplicao do usurio. Exemplos de protocolos de aplicao:
HTTP (HyperText Transfer Protocol), FTP (File Transfer Protocol), SMTP (Simple
Mail Transfer Protocol), SNMP (Simple Network Management Protocol), POP3
(Post Office Protocol v.3), TELNET, e assim por diante. Cada protocolo de
aplicao se comunica com a camada de transporta atravs de portas de
comunicao. Existem 65536 portas possveis, e por conveno, as portas de 1
a 1023 so conhecidas como Well Known Port Numbers, portas privilegiadas
ou portas baixas, que possuem servios mais comuns previamente associados.

Cada protocolo de aplicao precisa de uma porta, TCP ou UDP, para
funcionar. Os mais antigos possuem suas portas padro j determinadas.
Exemplo:




Protocolo / Aplicao Porta Padro Transporte
FTP 21 TCP
TELNET 23 TCP
SMTP 25 TCP
WINS NameServer 42 UDP
HTTP 80 TCP
POP3 110 TCP
SNMP 161 UDP
SNMP trap 162 UDP

As portas acima de 1023 so denominadas portas altas, e so usadas
como end points, ou pontos de devoluo de uma conexo. Imagine uma
conexo como um cano de gua conectando duas casas. A diferena que
neste cano, a gua pode ir em qualquer sentido. Portanto, ao tentar ler seu
correio eletrnico, provavelmente usar um protocolo chamado POP3, que
funciona na porta 110. Seu computador estabelecer uma conexo com o
servidor de correio, na porta 110 remota, e 1026 (por exemplo) localmente. A
porta local na maioria dos protocolos, uma porta acima de 1023, desde que
no esteja sendo usada.


Sockets (soquetes de comunicao)

Os sockets so a base para o estabelecimento da comunicao numa rede
TCP/IP. Atravs dele que a transferncia de dados se torna possvel. Cada
conexo montada por um socket, que composto de 3 informaes:

1. endereamento (origem e destino)
2. porta origem / destino
3. transporte

Portanto, no caso acima, ao tentar ler seu correio, um socket ser
estabelecido entre sua mquina e o servidor de correio. Para mont-lo,
precisamos:

1. do seu endereo IP e do endereo IP destino
2. porta origem / destino (neste caso, porta destino 110, origem 1026)
3. transporte (TCP)


Gerenciando Erros de Comunicao

Por padro, existem alguns utilitrios presentes na pilha TCPIP que
possibilitam ao usurio diagnosticar problemas. Alguns dos utilitrios mais
usados so:



PING (Packet INternet Grouper)

Este utilitrio utiliza o protocolo ICMP para diagnosticar o tempo de
reposta entre dois computadores ligados numa rede TCP/IP. A partir da, pode-
se ter uma estimativa do trfego (se o canal de comunicao est ou no
saturado) bem como o tempo de latencia do canal. Ao contrrio do que muitos
pensam, a latencia de um link est tambm diretamente ligada a velocidade do
roteador (em termos de processamento) e no somente a velocidade do canal
de comunicao.



...Ento, O que a Internet

Uma vez explicados os conceitos da pilha de protocolos usada na
Internet, e seu funcionamento, fica mais fcil entend-la. A Internet nada mais
do que uma rede enorme, a nvel mundial, que usa como linguagem de
comunicao, a pilha de protocolos TCP/IP. Como tal, herda uma srie de
vulnerabilidades inerentes prpria pilha TCP/IP, alm de problemas e bugs
que possam existir nas aplicaes que usam esta infra-estrutura de rede.

Muitos perguntam naturalmente como a Internet pode funcionar. Seu
conceito bastante simples. Na dcada de 60, criou-se na Universidade de
Berkeley, em Chicago, uma rede experimental, para utilizao militar. Esta rede
cresceu muito, dada a necessidade das prprias universidades de trocarem
informaes. Ela se chamava ARPANET. No incio da dcada de 80, esta rede
passou a utilizar apenas uma pilha de protocolos padro, que na poca passou
a se chamar TCP/IP. Pouco tempo depois, ocorreu a abertura desta rede para
fins comerciais, o que, ao longo de pouco mais de 10 anos, a transformou no
que conhecemos hoje.

A comunicao na Internet provida atravs de backbones, ou espinhas
dorsais de comunicao (link de altssima velocidade) mantidos por provedores,
pontos de presena, governos, entidades de ensino, e empresas privadas.
Contudo, para participar dela, uma srie de requisitos precisam ser obedecidos.
O primeiro deles relativo ao endereamento.

Vimos que o endereo IP, numa rede, precisa ser distinto. Portanto, em
toda a Internet, no pode haver dois endereos IP iguais. Assim sendo, para
uma mquina se comunicar com outras na Internet, ela deve possuir um
endereo vlido. Cada provedor de backbone possui um lote, ou intervalo de
endereos IP que pode fornecer aos seus clientes. Aqui no Brasil, podemos citar
a Embratel como provedora de backbone. Ao requisitar um link com a Internet
Embratel, receber juntamente com o link, um intervalo de endereos para
ser usado por seus computadores, ligados ao backbone da Embratel. A nvel
mundial, o rgo que gerencia os endereos IP vlidos chama-se IANA
(Internet Assigned Numbers Authority).


Para que a comunicao seja possvel a nvel mundial, cada detentor de
uma rede (ou espao de endereamento) responsvel por estabelecer a
comunicao com seu provedor de backbone, bem como configurar seu
roteador ou roteadores com as rotas necessrias ao funcionamento de sua sub
rede. Se levarmos isso a uma escala mundial, cada detentor de uma sub rede
fazendo com que ela seja acessvel atravs de um roteador corretamente
configurado, entendemos como funciona a Internet a nvel administrativo (por
mais incrvel que parea).



3. Entendendo a Invaso


Na Internet Brasileira, a quantidade de vtimas, sejam
corporativas ou o usurio final, s no maior pela falta
de conhecimento que nossos hackers wannabe
possuem, no pela quantidade de investimentos ou
medidas de contra-ataque adotadas, que so
desprezveis.


O Porqu da Invaso

Os motivos so diversos. Variam desde a pura curiosidade pela
curiosidade, passando pela curiosade em aprender, pelo teste de capacidade
(vamos ver se eu sou capaz), at o extremo, relativo a ganhos financeiros,
extorso, chantagem de algum tipo, espionagem industrial, venda de
informaes confidenciais e, o que est muito na moda, ferir a imagem de uma
determinada empresa ou servio (geralmente, a notcia de que uma empresa
foi invadida proporcional a sua fama e normalmente um desastre em
termos de RP).

As empresas hoje em dia investem quantias fantsticas em segurana,
mas no no Brasil. O retrato do descaso segurana de informaes no Brasil
claramente traduzido na falta de leis neste sentido. Alm disso, existe um fator
agravante: quando existir o interesse em elaborar tais leis, sero por indivduos
que no tem por objetivo principal a segurana em si. O resultado sero leis
absurdas, que iro atrapalhar mais do que ajudar. Um exemplo disso o que
vem ocorrendo em alguns estados nos EUA. Nestes estados, a lei chega a ser
to restritiva que at testes de vulnerabilidade so considerados ilegais, mesmo
com o conscentimento da empresa contratante do servio.

Isto no aspecto empresarial.

No caso do usurio final, esse est entregue sorte. No existe nenhum
servio de segurana gratuito, que possa ser utilizado pelo usurio. De qualquer
forma, existem diversas ferramentas e procedimentos que podem ser usados
para aumentar o nvel de segurana de seu computador, digamos, em casa,
que acessa a Internet por um link discado. justamente neste nicho de
mercado em que esto as principais vtimas, que inclusive, no so notcia no
dia seguinte a uma invaso. A quantidade de wannabes enorme, e a
tendncia aumentar. Os wannabes esto sempre procura de um novo
desafio, e o usurio final na maioria das vezes a vtima preferida,
JUSTAMENTE pela taxa de sucesso que os Wannabes tem em relao ao
nmero de ataques realizados.



Ponto de Vista do White-hat

O white-hat geralmente um programador bem sucedido, que, na
grande maioria das vezes, contratado como consultor de segurana. Nestes
casos, ele tambm recebe o nome de Samurai. Ao descobrir uma falha ou
vulnerabilidade, envia um how-to, ou procedimento para que o problema
seja recriado, para amigos ou pessoas de convvio prximo, que tambm
estejam envolvidas com segurana ou desenvolvimento. Uma vez confirmada a
falha, ela reportada em listas de discusso que debatem o tema, onde os
maiores especialistas se encontram. Exemplos de listas:


NTBugtraq

A lista NTBugtraq uma lista moderada por um canadense chamado Russ
Cooper. Ela discute segurana em ambiente Windows NT e 2000. O nvel de
barulho ou de informaes que no dizem respeito ao assunto muito baixo
(Russ bem rigoroso na moderao do grupo) portanto, a grande maioria das
informaes de nvel alto. Para assin-la, basta enviar uma mensagem para:

listserv@listserv.ntbugtraq.com

e no corpo da mensagem:

subscribe ntbugtraq Primeiro_nome Sobrenome

Contudo, antes de assinar esta lista, aconselhvel ler a FAQ da mesma
em:

http://ntbugtraq.ntadvice.com/default.asp?pid=31&sid=1


NT Security

A lista NT Security uma lista NO moderada (espere por dezenas de
mensagens diariamente), mantida por uma empresa chamada ISS (Internet
Security Systems). Para assin-la, a forma mais fcil ir no seguinte endereo:

http://xforce.iss.net/maillists/


Os white-hats (os black-hats e crackers tambm) se mantm muito bem
atualizados. Ser inscrito em diversas lista de discusso, ler muito sobre o tema
e visitar sites de segurana essencial. Alguns sites muito bons sobre o tema:

http://www.securityfocus.com/
http://www.hackers.com.br



Ponto de Vista do Black-Hat




O black-hat possui tanta habilidade quanto o white-hat. Porm, ao
descobrir uma nova vulnerabilidade, no publicar esta na Internet: usar para
fins geralmente ilegais, em proveito prprio. Possui tambm profundos
conhecimentos de programao, e geralmente est empregado em alguma
empresa de desenvolvimento de sistemas, ou como programador-analista, ou
como responsvel pelo suporte. Hoje em dia, podemos encontrar black-hats em
empresas de comunicao, assim como em provedores de acesso Internet
(ISPs).

Contudo, ao contrrio do white-hat, wannabe ou cracker, o black-hat
far de tudo para manter sua identidade secreta, bem como suas atividades
ilegais. A prpria natureza ilegal de suas realizaes o mantm afastado de
qualquer publicidade. A maioria dos black-hats possui algum tipo de identidade
digital, ou pseudnimo na Internet, que afasta qualquer possibilidade de
identificao, como um email free (contas free de correio eletrnico, com
cadastro errado), e acessa a Internet por servidores de Proxy alheios (uma lista
de servidores proxy pode ser encontrada no anexo 6). Possui contas de acesso
a Internet em diversos provedores, de preferncia em provedores muito
pequenos ou do interior, que no possuem um sistema exato para identificao
de chamadas ou conexes. Hoje em dia, provedores gratuitos fornecem este
acesso de forma bastante satisfatria, principalmente em grandes cidades.
Provedores gratuitos que no possuem senhas individualizadas, s podem
identificar um usurio pelo nmero da chamada. a onde entra o Phreaker.
Contudo, no Brasil, em grandes cidades, as companhias telefnicas NO
utilizam o sistema BINA (B Identifica Nmero de A), por motivos de carga
imposta s centrais telefnicas. A troca das informaes de caller ID
necessrias identificao do nmero origem de uma chamada gera uma
utilizao maior das centrais. Muitas centrais que j esto em sua capacidade
mxima no conseguiriam operar com as informaes de Caller ID
habilitadas. Assim sendo, se torna praticamente impossvel identificar a origem
de uma chamada, por parte de um provedor de acesso.

Mesmo assim, teramos o sistema de tarifao da companhia telefnica,
que, judicialmente, poderia comprovar a origem de uma ligao. Contudo,
existem vrias formas de se burlar a tarifao. Uma delas discar de um
telefone pblico isolado, em um horrio de nenhum movimento (madrugada).
Outra opo roubar uma linha telefnica diretamente em um quadro de
conexes de um quarteiro, ou at mesmo no prprio poste de iluminao
pblica, ou em quadros de telefonia de um condomnio, por exemplo. A terceira
opo seria usar conhecimentos de phreaking para evitar que a companhia
telefnica consiga obter a identificao da chamada.


Independente do mtodo utilizado, o esforo empregado na identificao
ser proporcional ao efeito das aes de um hacker. Um black-hat pode
perfeitamente usar os mtodos descritos acima, de conexo atravs de um
provedor gratuito, apenas para identificar ou obter informaes necessrias ao
seu trabalho. Uma vez determinada uma abordagem ou traada uma
metodologia para se realizar uma invaso, a sim, mtodos mais avanados
podem ser usados, como roubo de linha (conhecido no Brasil como papagaio)
ou at phreaking, impedindo sua identificao.

Alm do black-hat, temos os crackers e os wannabes, que de certa
forma, poderiam ser enquadrados como black-hats, mesmo no tendo
conhecimento para tal.

Os crackers faro ou tentaro fazer uma invaso apenas pelo desafio, ou
para enaltecer seu ego, junto ao espelho, ou junto comunidade da qual
participa. Neste aspecto, o wannabe possui mais ou menos o mesmo ponto de
vista. Contudo, o wannabe usa mais suas histrias para se afirmar dentro do
seu grupo social do que o cracker. Um exemplo clssico do comportamento de
um cracker foi o demonstrado pelo Kevin Poulsen, hacker bastante conhecido,
que foi preso nos EUA por ter invadido a rede de defesa (ARPANET). Um
resumo sobre ele pode ser encontrado em:

http://www.zdnet.com/zdtv/thesite/0797w4/iview/iview747_072497.html

Como demonstrado, esta uma diferena bsica: o cracker possui algum
conhecimento e mais objetivo em suas realizaes. O wannabe geralmente
no organizado, e tenta testar em tudo e em todos as novidades que
conseguir obter. Este mais perigoso, pois pelo fato de atirar em todas as
direes, pode atingir qualquer um, eu, voc, ou algum conhecido / famoso.
tambm o mais fcil de cair nas mos da justia, pela enorme trilha de pistas
que deixa no caminho por onde passa.


Vulnerabilidades em meu sistema

Todo e qualquer sistema, cdigo, script ou programa, vulnervel a
bugs. Todos estes so escritos por mos (dedos) humanas, e concebidos por
mentes humanas, sujeitas a falhas. Por consequncia, tambm esto sujeitos
falhas.

A grande maioria dos furos de segurana surgem de bugs no cdigo
original. Contudo, nem todos os bugs so furos de segurana. Obviamente, se
um bug surge em uma aplicao de editorao de imagens ou texto, no
necessariamente estar relacionada a segurana. Porm, se este bug
descoberto e existe no software do firewall que sua empresa usa, ou voc
possui instalado em seu computador, a sim, estar relacionado diretamente
com segurana. inclusive importante observar que muitos destes bugs

surgem pela interao de programas. Digamos, que o programa original,
instalado em um contexto onde realiza suas tarefas sozinho, no apresente
falhas. Mas, a partir do momento que posto para trabalhar em conjunto com
outro programa, expe algum bug ou falha operacional. Estas por sinal so as
mais difceis de diagnosticar, pois geralmente apresentam caractersticas
intermitentes.


Que Componentes So Vulnerveis

Qualquer um.

Principalmente se este est ligado diretamente a algum servio de rede.

Existem diversos tratados, estudos e documentos discutindo estatsticas
de produo de bugs. Contudo, uma regra bsica que sempre trar um bom
aproveitamento com relao segurana a seguinte: menos cdigo no ar,
menos bugs, menos problemas de segurana.

Axioma 1 (Murphy) Todos os programas tm bugs.

Teorema 1 (Lei dos Programas Grandes) Programas grandes possuem ainda mais bugs do que o seu
tamanho pode indicar.

Prova: por inspeo

Corolrio 1.1 Um programa relativo a segurana possui bugs de segurana.

Teorema 2 Se voc no executar um programa, no importar se ele possui ou no bugs.

Prova: como em todos os sistemas lgicos, (falso verdadeiro) = verdadeiro.

Corolrio 2.1 Se voc no executar um programa, no importar se ele possui ou no bugs de
segurana.

Teorema 3 Mquinas expostas devem rodar to poucos programas quanto possvel; os que rodarem,
devem ser to pequenos quanto o possvel.

Prova: corolrios 1.1 e 2.1

Corolrio 3.1 (Teorema Fundamental dos Firewalls) A maioria dos hosts no consegue atender s
nossas necessidades: eles rodam programas demais que so grandes demais. Desta forma, a nica
soluo isolar atrs de um firewall se voc deseja rodar qualquer programa que seja.

(Firewalls and Internet Security: Repelling the Wily Hacker
William Cheswick / Steven Bellovin)


Concluso: quanto menos servios no ar, menor a possibilidade do
computador apresentar uma falha de segurana.




Plataforma Windows: Windows 9x

O Windows 9x (95 ou 98) no foi concebido com segurana em mente.
Contudo, a Microsoft esqueceu que, com o advento da Internet, alguma
segurana deveria existir por padro no sistema para evitar ataques pela
Internet, para usurios deste sistema. De qualquer forma, existem alguns
procedimentos que qualquer um pode adotar para tornar seu computador
windows 9x mais seguro. Obviamente, praticamente impossvel ter uma
funcionalidade de servidor de algum tipo, exposto Internet, aliada
segurana, com este sistema operacional.

A principal medida que deve ser adotada a remoo do
compartilhamento de arquivos e impressoras para redes Microsoft, no painel de
controle. Caso seu computador participe de uma rede, dentro de uma empresa
por exemplo, consulte o administrador da rede ANTES de realizar qualquer
alterao. As empresas geralmente possuem polticas internas para tais
configuraes.

Veja:

Atravs do cone Rede no painel de controle, se tem acesso caixa de dilogo
ao lado. L, voc poder encontrar o componente Compartilhamento de
arquivos e impressoras para redes Microsoft. Este componete transforma o
Windows 9x em uma espcie de servidor de rede que, se configurado de forma
incorreta, poder abrir seu computador para qualquer invasor. Se no for

possvel remover o componente, pea proprie-dades do adaptador dial-up
(como na imagem acima), v em Ligaes e desmarque a opo
Compartilhamento de arquivos e impressoras para redes Microsoft. Isso far
com que o componente servidor do Windows 9x no esteja ativo atravs de sua
conexo via modem / dial-up.
Alm da configurao de rede de um computador Windows 9x, existem
outros aspectos que devem ser observados. O primeiro deles em relao
atualizaes. O Windows 9x possui um servio bastante interessante, chamado
Windows Update. Atravs dele, quando conectado na Internet, voc poder
atualizar seu sistema automaticamente. Basta clicar o cone Windows Update
no menu iniciar. Manter o seu sistema sempre atualizado primordial para
manter a segurana.

O segundo aspecto em relao a que servios seu computador est
iniciando automaticamente ao ser ligado / inicializado. Olhe dentro do grupo
Iniciar por programas estranhos, e nas seguintes chaves no registro:

H HK KE EY Y_ _L LO OC CA AL L_ _M MA AC CH HI IN NE E\ \S So of ft tw wa ar re e\ \M Mi ic cr ro os so of ft t\ \W Wi in nd do ow ws s\ \C Cu ur rr re en nt tV Ve er rs si io on n\ \R Ru un nS Se er rv vi ic ce es sH HK KE EY Y_ _L LO OC CA AL L
_ _M MA AC CH HI IN NE E\ \S So of ft tw wa ar re e\ \M Mi ic cr ro os so of ft t\ \W Wi in nd do ow ws s\ \C Cu ur rr re en nt tV Ve er rs si io on n\ \R Ru un n Por padro, apenas o
systray e algum programa anti-virus devem estar listados. Se em algumas
destas linhas est aparecendo algum programa que voc tenha pego da

Internet recentemente, aconselhvel instalar um anti-virus atualizado o mais
rpido possvel. Provavelmente um cavalo-de-tria.

Indo um pouco mais alm, voc pode executar o comando netstat
an para verificar se seu computador est configurado para escutar em
alguma porta suspeita. Isto tambm pode indicar algum cavalo-de-tria.

Ao digitar o netstat an voc ter como resposta algo assim:

Microsoft(R) Windows 98
(C)Copyright Microsoft Corp 1981-1999.

C:\WINDOWS\Desktop>netstat -an

Conexes ativas

Proto Endereo local Endereo externo Estado
TCP 200.249.213.241:137 0.0.0.0:0 LISTENING
TCP 200.249.213.241:138 0.0.0.0:0 LISTENING
TCP 200.249.213.241:139 0.0.0.0:0 LISTENING
UDP 200.249.213.241:137 *:*
UDP 200.249.213.241:138 *:*

C:\WINDOWS\Desktop>


Essa a tpica resposta de um computador com uma placa de rede, que
no est conectado Internet, e que acabou de ser iniciado. Note que ele est
escutando nas portas 137, 138 e 139. Para um computador Windows 9x, isso
normal. Contudo, se voc no realizou a instalao de nenhum programa de
rede em seu computador que o transforme em algum tipo de servidor, e ainda
assim portas estranhas aparecerem listadas, isto quer dizer que algo est
errado. Uma lista de portas que indicam cavalos-de-tria pode ser encontrada
no anexo 3. Porm, alguns destes cavalos-de-tria usam portas que por
padro, so usadas por servios conhecidos, como FTP File Transfer Protocol
(porta 20 e 21), HTTP Hypertext Transfer Protocol (porta 80) e assim por
diante. Portanto, antes de imaginar que est infectado, certifique-se de que tais
servios no estejam rodando em seu computador. Uma lista com as portas
privilegiadas (conhecidas como Well known port numbers) pode ser
encontrada no anexo 4, bem como uma lista de portas no privilegiadas, acima
de 1024, podem ser encontradas no anexo 5. Caso o material no esteja mo
e uma consulta seja necessria, dentro da pasta \WINDOWS\ (Windows 9x)
ou \WINNT\SYSTEM32\DRIVERS\ETC (Windows NT/2000) existe um arquivo
chamado services que contm as principais portas.


Plataforma Windows NT / 2000

O Windows NT/2000 foi concebido para suportar e operar sobre padres
de segurana, ao contrrio do Windows 9x. A inteno deste material no
escrever um tutorial de segurana no Windows NT/2000, pois isso foraria a
escrita de um material inteiramente novo. Porm, existem alguns tpicos que
podem e devem ser abordados, que contm conceitos bsicos de proteo
usando este sistema operacional.


A principal diferena em termos de segurana do Windows NT/2000 para
o 9x, ns podemos reconhecer logo no incio: apenas um usurio vlido pode
usar o computador localmente, bem como via rede, de acordo com as
permisses configuradas. Voc precisa ser autenticado para ter acesso
console. Portanto, manter um cadastro de usurios necessrio. Este cadastro
deve forar os usurios a trocar de senha priodicamente, bem como exigir que
senhas de um determinado tamanho mnimo sejam usadas (em sistemas
seguros, recomendado usar o mximo de caracteres suportados pelo NT: 14.
No caso do 2000, tambm podemos usar 14, pois um bom valor. Contudo, o
Windows 2000 permite senhas de at 256 caracteres).

A primeira coisa que se deve fazer ao usar NT/2000 escolher que
sistemas de arquivos voc usar. Se segurana um requisito, o sistema NTFS
deve ser usado. Contudo, o sistema NTFS no ser visvel por outro sistema
operacional, apenas pelo NT/2000 (O Linux pode enxergar parties NTFS para
leitura).

Em segundo lugar, logo aps a instalao, o ltimo service pack deve
ser instalado. Service packs so atualizaes do Windows NT, disponveis no
site da Microsoft. Estas atualizaes so acumulativas, portanto, caso o ltimo
service pack seja o 7, no ser necessrio instalar os anteriores. Apenas a
ltima verso. Observao: no Windows 2000, o mtodo de atualizaes foi
alterado. Ele est muito parecido com o do Windows 9x (atravs do Windows
Update). Portanto, para atualizar um sistema Windows 2000, basta escolher a
opo Windows Update no menu iniciar. Caso deseje baixar manualmente as
atualizaes, poder proceder pelo seguinte endereo:

http://www.microsoft.com/windows2000/downloads/

Uma vez instalado e atualizado, precisamos ento realizar algumas
alteraes no sistema para torn-lo mais seguro. Existem 4 alteraes
essenciais: auditoria, remover servios desnecessrios, alterar as permisses
padro do sistema de arquivos, e alterar as configuraes de rede.


1. Auditoria

Em um sistema seguro, primordial que exista algum tipo de auditoria,
onde certos erros de permisso sejam armazenados para anlise.
recomendado que no NT/2000, todos os objetos sejam auditados quanto
falha de acesso. No caso do objeto Logon/Logoff, tambm recomendado
que o sucesso seja auditado, para que uma anlise de quem efetuou ou no
logon no computador, localmente ou via rede, seja possvel. No acione a
auditoria em processos ou em arquivos, a no ser que seja para depurao de
um problema de segurana eminente. Estes dois objetos causam muita
atividade de log, deixando o computador / servidor mais lento.



2. Removendo servios desnecessrios

Alguns servios que so instalados por padro so considerados ou
vulnerveis a ataque, ou servios que podem divulgar informaes reservadas
do sistema, via rede. recomendado parar tais servios para impedir que isto
ocorra.

Os seguintes servios precisam ser parados, e configurados para inicializao
Manual:

Alerter
permite que um suposto hacker envie mensagens de alerta para a console

Messenger
permite que um suposto hacker via rede visualize o nome do usurio
atualmente logado na console, atravs do comando nbtstat

Clipbook Server
permite que um usurio via rede visualize o contedo da rea de trabalho


SNMP Service / SNMP Trap Service
So dois servios que pemitem a utilizao do Simple Network Management
Protocol. Se no possurem uma inteno especfica (como instalado pelo
administrador para monitorao do computador) ou se no estiver
corretamente configurado, pode revelar muitas informaes sobre o
computador em si, como interfaces de rede, rotas padro, entre outros dados.
recomendado ter cautela com tais servios

Scheduler
um servio que permite o agendamento de tarefas no sistema. Voc pode
programar para que tarefas sejam executadas numa determinada hora.
Cuidado: por padro, qualquer pograma iniciado pelo sistema de agendamento,
possuir o contexto de segurana do prprio sistema, tendo acesso a
praticamente qualquer informao. Caso seja realmente necessrio, crie um
usurio sem direitos (com direito apenas de executar a tarefa desejada) e
programe este servio para ser inciado no contexto de segurana deste usurio
criado (no Windows 2000, o servio se chama Task Scheduler)


Em computadores que so usados exclusivamente em casa, e que no
participam de nenhuma rede, apenas acessam a Internet atravs de um
modem, recomendado tambm parar os seguintes servios:

Computer Browser
Servio excencial a uma rede Microsoft. Permite que este computador seja
eleito um Browser Master, ou controlador de lista de recursos de um grupo de

trabalho ou domnio. Numa configurao de apenas uma mquina, no
necessrio estar no ar

Server
O Server Service o equivalente no Windows NT/2000, ao
Compartilhamento de arquivos e impressoras para redes Microsoft, do
Windows 9x. Da mesma forma, se seu computador no participa de nenhuma
rede, e apenas acessa a Internet via modem, este servio pode ser parado, e
configurado para no iniciar automaticamente, assim como os demais.



Correio Eletrnico

O correio eletrnico, hoje em dia, claramente o meio mais usado para
disseminao de vrus e cavalos-de-tria. O email de certa forma uma
aplicao bastante invasiva, e, por este motivo, todo cuidado pouco ao
receber qualquer mensagem que seja, com um arquivo anexo. A maioria dos
usurios de rede e Internet hoje no mundo todo, acessam suas contas de
correio atravs de um protocolo de recepo de mensagens chamado POP3
(Post Office Protocol v. 3). Este protocolo, aliado configurao padro da
maioria dos programas clientes de correio, faz com que, ao checar sua caixa
postal, todas as mensagens sejam baixadas de forma no interativa. Caso
algum dos correios esteja infectado com um script ou cavalo-de-tria, o usurio
somente saber quando o correio j estiver dentro de sua caixa postal local.

Assim sendo, muito comum o usurio, movido pela curiosidade, tentar
abrir qualquer documento anexo mensagem. Boa parte dos cavalos-de-tria
so programinhas grficos apelativos, com mensagens que alimentam a
curiosidade do usurio, como pequenas animaes, desenhos, ou coisas do
gnero. Ao executar algum programa destes, o usurio tem a impresso de que
nada ocorreu. Contudo, o cavalo-de-tria tem uma segunda funo, que
geralmente abre o computador para um ataque via Internet. Os cavalos-de-
tria sero discutidos mais a frente.


FTP Voyager / FTP Explorer / WS_FTP

Estes 3 programas de FTP so bastante usados como clientes FTP. As
senhas de acesso a sites FTP so salvas ou no registro ou em arquivos dentro
da pasta do programa, e so criptografadas com um esquema bem fraco.
Existem tambm programas na Internet que podem ser usados para retirar
destes arquivos as senhas dos sites FTP. Recomendao: caso use um destes
programas para efetuar acesso FTP a algum site que tenha acesso diferente de
anonymous, NO escolha a opo de salvar a senha, ou lembr-la.



Microsoft SQL Enterprise Manager

O Microsoft SQL Enterprise Manager uma console de gerncia de
servidores Microsoft SQL 7.0, que utilizam como base o MMC (Microsoft
Management Console). Foi descoberta uma vulnerabilidade quando o usurio
registra um banco de dados para gerncia, e opta por salvar a senha para uso
posterior. A senha armazenada no registro do sistema com criptografia fraca,
sendo possvel descobrir qual a senha. recomendado NO salvar a senha, e,
ao registrar um novo banco de dados, marcar a opo de no salvar a senha e
perguntar pela informao de autenticao todas as vezes que entrar no
Enterprise Manager.


4. Tcnicas de Invaso


Vrias tcnicas bsicas de invaso ou de DoS exploram problemas
gerados pela m configurao de computadores e servidores em rede, que so
os alvos primrios caso algum hacker se interesse em invadir uma determinada
rede.

Existem diversas tcnicas de invaso, que poderamos tratar melhor se
chamssemos de abordagens. Existem diferentes abordagens para diferentes
ambientes de rede. A abordagem usada na invaso de uma rede corporativa
ser completamente diferente da abordagem usada em uma pequena rede que
talvez nem esteja conectada diretamente Internet, como tambm ser
diferente da abordagem usada para invadir um usurio apenas.

Desta forma, os seguintes passos podem ser adotados:

Probing
Hackers tentaro investigar sua rede para determinar: que servios
rodam em qu servidores; quais so as verses destes servios; quais
so os servidores, e onde esto localizados na rede; um esboo ou um
mapa da rede; relaes de confiana entre os servidores; sistemas
operacionais utilizados; possveis estaes de gerncia na rede; filtragem
de pacotes (se existir); sistema de deteco intruso IDS (se existir);
honeypots ou potes de mel (se existirem); portscanning (passivo e com
spoofing se possvel). Se for justificvel, utilizao de war dialing. Descobrir
qual a relao da rede interna da empresa, com a rede de gerncia
(entenda-se por rede interna, aquela usada pelos funcionrios).

Observao importante: dependendo da inteligncia do suposto
hacker, a fase de probing ser realizada atravs de algum mtodo que
impossibilite sua identificao, como atravs de provedores gratuitos ou atravs
de linhas telefnicas roubadas.



Engenharia Social (Social Engineering)
O prximo passo, ou realizado em paralelo, ser a utilizao de tcnicas
de engenharia social. Atravs destas tcnicas, informaes valiosas
podero ser obtidas. Descobrir informaes pessoais sobre o(s)
administrador(es) da rede; informaes sobre fornecedores de suprimentos
e manuteno; descobrir quem tem acesso privilegiado a qualquer servidor
ou estao; avaliar o grau de conhecimento desta pessoa (quanto menor,
melhor, se possuir acesso privilegiado); descobrir nmeros de telefone
importantes (o nmero de telefone do administrador, das pessoas envolvidas
com a administrao da infra-estrutura, telefones de departamentos como
comercial); tentar tambm obter uma lista de endereos de correio
eletrnico importantes. Tentar obter informaes do suporte telefnico da
empresa, caso possua. Obter acesso ao lixo da vtima, se possvel (sim, os
filmes que falam de hackers o fazem geralmente de forma bastante errada:
contudo, nisso eles acertaram: uma das maiores fontes de informao sobre a
vtima ser seu lixo).

A partir da, o prximo passo ser tentar relacionar as informaes
coletadas at agora. Baseado nas informaes levantadas no primeiro passo, o
hacker ir pesquisar na Internet e na sua comunidade sobre vulnerabilidades
existentes nas verses dos programas, servios e sistemas operacionais usados
pela rede.

Alm disso, caso a relao da rede interna com a rede de gerncia seja
direta, uma abordagem baseada em cavalos-de-tria ser interessante. O
objetivo passar a ser conseguir ter acesso ao trfego da rede interna. Isto
pode ser feito enviando trojans para departamentos administrativos,
comerciais, e financeiros. A maioria dos funcionrios destes departamentos so
leigos e no sabero a diferena entre um documento do Word e um
executvel anexo ao seu correio eletrnico. bem provvel que, com alguns
dias de investigao do trfego da rede interna, voc consiga alguma senha
com direitos de administrao. Como administradores de rede tem o hbito de
usar a mesma senha para diversas ferramentas, se na primeira fase alguma
ferramenta de gerncia remota foi achada, ento, mais do que provvel que
as senhas sero idnticas.

Independente da abordagem adotada, o hacker ter duas coisas em
mente: objetividade, e mxima dissimulao. Tudo ser feito sem pressa, para
no levantar suspeitas. Ele poder at tentar fazer amizade com algum que
tabalhe na empresa (isso mais fcil do que parece: basta visitar os mesmos
lugares que essa pessoa visita, principalmente se estes lugares forem escolas,
universidades ou clubes, pois nestes lugares existe um sentido maior de unio).
Obviamente, tudo isso depender da informao que se deseja obter: o hacker
avaliar se todo o esforo vale a pena. Contudo, lembre-se que muitos fazem
pelo desafio, e superaro enormes dificuldades somente para provar a si
mesmos que so capazes.



Programas Usados para Obter Informaes

Diversos programas podem ser usados para obter informaes sobre a
rede ou computadores / servidores remotos. Alguns deles so:


CA Unicenter TNG FrameWork
(http://www.cai.com)

Este um programa extramamente caro, da Computer Associates, que
tem por objetivo a gerncia completa da uma infra-estrutura de TI, desde
mdulos de anti-virus at backup. Porm, o mdulo bsico, chamado
Framework, gratuito, e pode ser baixado do site da CA para avaliao.
Porm, apesar de gratuito, o mdulo bsico possui o mapeamento de rede via
SNMP (Simple Network Management Protocol) incluido. Com esta aplicao,
usando o protocolo SNMP, que a grande maioria dos roteadores, switches, e
outros equipamentos de conectividade suportam, inclusive servidores,
possvel construir o mapa de uma rede com detalhes impressionantes. Portanto,
primordial numa rede, que o firewall filtre trfego SNMP (portas 161 e 162).

Existem outros programas que usam o SNMP prara construir o mapa de
uma rede. Podemos citar o Tivoli, o Lucent NavisAccess, e o SNMPc. Porm,
qualquer ferramenta SNMP pode ser usada.


Essential Net Tools

Programa fantstico que explora a m configurao de computadores Windows
conectados a Internet. Atravs dele, possivel, dado um intervalo de
endereos IP, visualizar quais destes esto com o compartilhamento de
arquivos e impressoas ativado, e com algo compartilhado. Voc ficaria surpreso
com a quantidade de computadores que possuem a raiz do drive C:
compartilhada, permitindo acesso a qualquer arquivo dentro do disco, inclusive
o .pwl, arquivo que possui a senha salva dos usurios deste computador. Para
evitar que o EssNetTools seja efetivo, necessrio filtrar no firewall as portas
usadas pelo NetBIOS (135, 136, 137, 139 e 445, tcp/udp).


CIS (Cerberus Internet Scanner)

O CIS um pequeno programa de anlise de vulnerabilidades. Apesar de
pequeno, impressionante. Ele roda sob Windows NT 4 / 2000 e, dado um
endereo IP, ele produzir uma pgina HTML com todos os testes realizados. O
CIS testa por vulnerabilidades conhecidas, como finger, VRFY (SMTP), DNS,
Web, entre outras. O mais impressionante quando ele consegue acessar as
informaes de contas de usurios de uma mquina Windows NT, m

configurada. Para evitar a efetividade do CIS, aconselhvel usar ele prprio,
analisar quais vulnerabilidades foram encontradas, e san-las uma a uma.


WhatsUp Gold

O WhatsUp um programa desenvolvido pela empresa IPSwitch, com a
inteno de ser uma ferramenta de monitorao de rede. Porm, ele possui
internamente uma funo usada para descobrir, dado um intervalo de
endereos, quais esto ou no ativos, bem como outras informaes, como o
nome das mquinas. Bastante eficiente em redes Microsoft, com ele voc
poder ter uma idia de quantas mquinas esto ativas numa determinada
classe, por exemplo. Para barrar o WhatsUp, basta filtrar as portas do NetBIOS
e trfego ICMP.


TELNET

O prprio telnet do Windows pode ser usado para descobrir que verso
um determinado servidor est rodando, por exemplo, de sendmail, servidor
web, POP3 ou FTP. Para isso, basta disparar um TELNET para a porta do
servio desejado.

Vejamos:

telnet invasao.com.br 25

220 dominus.elogica.com.br ESMTP Sendmail 8.9.3/8.9.3; Wed, 29 Mar 2000 20:38:40 0300

Agora, sabemos que o servidor um sendmail, versao 8.9.3. Aliado ao
nmap, descobrimos qual o sistema operacional.


Trojan Horses e Back Doors

Os trojan horses so programas que demonstram um determinado tipo
de comportamento, ou se propem a uma determinada tarefa, geralmente a
realizam, prom, sem que o usurio saiba, executam alguma outra tarefa. Esta
segunda funo na maioria das vezes abre o computador para invases ou
acesso remoto.

Hoje em dia, existem inmeros programas do tipo trojan horse, ou
cavalo-de-tria, mas o conceito aplicado a informtica existe a dcadas. O
primeiro programa usado como trojan horse que ganhou a comunidade foi o
NetBus. Aps o NetBus (que tido como um software de gerncia remota, e
no como um trojan horse), surgiram diversos outros, sendo o mais famoso
deles, o Back Orifice. Este, foi criado por um grupo de hackers que se entitulam
The Cult of the Dead Cow, ou cDc


Veja no anexo 7, uma coletnea de telas de trojans conhecidos. Cada um
destes programas pode ser removido atravs de um bom programa de anti-
virus, como o Norton anti-virus, o AVP, ou o TrendMicro. Todos estes anti-virus
possuem download para avaliao (30 dias) e podero salvar sua pele, mesmo
que voc no compre o programa (desisntale em seguida).

http://www.antivirus.com

J os backdoors podem ter mais ou menos a mesma funcionalidade de
um trojan, mas possuem outras intenes. Quando um hacker consegue acesso
a um sistema, uma de suas primeiras atitudes ser instalar backdoors no
sistema. Estas backdoors lhe permitiro voltar a ter acesso a este sistema se
por acaso o dono / usurio ou administrador descobrir que sua segurana foi
violada. Uma backdoor pode ser na forma de um programa (assim como os
trojans), como um script (principalmente em ambiente UNIX), ou at como uma
srie de procedimentos (criar uma conta com direitos de administrao , com
um nome comum).


Buffer Overflow

Buffer overflows so consequncia direta de pssimos hbitos de
programao. Consiste em enviar para um programa que espera por uma
entrada de dados qualquer, informaes inconsistentes ou que no esto de
acordo com o padro de entrada de dados. De forma resumida, seria mais ou
menos tentar encaixar uma bola de basquete em um buraco de golf.

Em programas que no tratam a consistncia dos dados de entrada,
pode haver uma desestruturao do cdigo em execuo, permitindo que
cdigo estranho seja enviado e executado. Imagine um buffer de entrada de
dados configurado para receber 32 bytes. Imagine agora que este mesmo
buffer no possui uma checagem da consistncia dos dados. Agora, tente
enviar mais do que 32 bytes. Isso normalmente estourar o buffer (buffer
overflow), e normalmente, o que passar de 32 bytes, invadir outras reas de
memria do sistema. Dependendo de que reas sejam estas, possvel fazer
com que esta carga extra tambm seja executada. exatamente a onde
mora o perigo.

No anexo 8, temos um exemplo de buffer overflow no Windows NT.

As formas mais comuns de buffer overflow so encontradas em
servidores web e de FTP. Ao se submeter uma URL muito grande (geralmente
acima de 150 caracteres) o servidor para de responder. Vrios softwares
servidores Web e FTP famosos j foram vtimas de tais vulnerabilidades, como
o Apache Web Server, o Internet Information Server, o Serv-U FTP Server, War
FTP d, entre outros. No ambiente UNIX, existem ou existiram diversas
vulnerabilidades deste tipo nos servidores de SMTP (envio de correio) e POP3
(recebimento de correio).



Exploits

Exploits so pequenos scripts ou programas que exploram uma
vulnerabilidade de segurana. Seria mais ou menos como encontrar um furo
numa cortina, enfiar os dois dedos, e arrebentar o furo. Geralmente so
cdigos locais (precisam ser executados no computador que se deseja
comprometer), apesar de existirem exploits remotos (via rede). O nome
exploit tambm atribuido as vulnerabilidades descobertas em softwares
(sistemas operacionais, servidores, programas em geral). Existem diversos sites
de segurana que falam sobre exploits mais recentes. Os mais famosos so:

RootShell

Internet Security Systems Xforce

PacketStorm Library

CIAC (Computer Incident Advisory Capability)

CERT (Computer Emergency Response Team)


5. Outros Tipos de Ataques


Existem outros tipos de ataque que, se no permitem uma quebra de
segurana direta, como o comprometimento das informaes armazenadas em
um servidor, ajudam nos ataques de invaso, muitas vezes at tornando-os
possveis.


DoS (Denial of Service)

Como o prprio nome sugere, ataques deste tipo geralmente no
compromentem a privacidade dos dados. A finalidade de um ataque DoS tirar
um servio, servidor, computador ou at mesmo uma rede do ar. Os ataques
do tipo DoS so usados muitas vezes em conjunto com invases, ou porque
alguns tipos de invases exigem que determinados computadores no estejam
funcionando (como no caso do spoofing) ou para despistar / desviar a ateno
da invaso em si. Ataques DoS tambm so usados simplesmente para
atrapalhar ou desacreditar um servio.

Os ataques DoS na sua grande maioria usam buffer overflows para
conseguir obter sucesso. Contudo, qualquer forma de tirar um computador,
ervio ou rede do ar considerado um ataque DoS. Por exemplo, a maioria dos

servidores que possuem alguma segurana possuem tambm logs de acesso
(arquivos de sistema onde so armazenadas informaes crticas, como acesso,
autenticao e etc). Imagine que o administrador coloque os logs no mesmo
espao em disco do sistema. Assim, se gerarmos milhares (talvez milhes) de
entradas no log, o arquivo ir crescer at ocupar todo o disco. Outro tipo de
ataque DoS comum: vrias redes possuem programadas uma ao, caso um
login tente por diversas efetuar logon e erre suas credenciais. Esta ao
geralmente o bloqueio indeterminado da conta (login), que apenas pode ser
restaurado com a interveno do administrador. Forar o travamento de uma
conta destas considerado um ataque DoS, principalmente quando esta conta
a usada por algum servio (se a conta for bloqueada, o servio sair do ar).

J ataques que visam tirar do ar uma rede, ou um servidor atravs de
trfego excessivo, ou enviando pacotes de rede invlidos tambm so
possveis. A cerca de 2 anos atrs, foi lanado na Internet uma vulnerabilidade
em pilhas TCPIP de computadores Windows. Consistia em enviar para um
determinado servio, pacotes TCP com uma sinalizao de urgncia. Contudo,
o contedo do pacote era composto de caracteres invlidos. Este ataque DoS
ficou conhecido como OOB (Out Of Band data). Hoje em dia, a grande maioria
das pilhas TCPIP so protegida contra este tipo de ataque, e variaes. Porm,
como no velho ditado gua mole em pedra dura tanto bate at que fura, se a
quantidade de informao invlida for realmente muito grande, ainda existe a
possibilidade de tirar do ar o computador. Para se obter a quantidade suficiente
de pacotes, o ataque do tipo DoS foi extendido, para o que conhecemos hoje
como DDoS (Distributed Denial of Service).


DDoS (Distributed Denial of Service)

Os ataques do tipo DDoS consistem geralmente em enviar para uma
nica mquina ou rede, milhes de pacotes de rede ou requisies de servio,
em um dado momento. Obviamente, no existe maneira de gerar este trfego
todo de um nico ponto. Da surgiu a idia do DDoS: vrias mquinas
espalhadas por toda a Internet, enviando trfego simultaneamente, para um
mesmo servidor, estao ou rede.

Os ataques do tipo DDoS ficaram conhecidos a partir dos ataques
recentes realizados contra sites na Internet populares, como yahoo.com,
amazon.com, zdnet.com, entre outros. Contudo, utilitrios que exploram ou
criam ataques DDoS, apesar de difceis de obter, j existiam desde meados de
1999.

A lgica de um ataque DDoS bem simples. Imagine um servidor de
pginas web, que normalmente recebe 100.000 acessos por dia. Agora,
imagine que 200 ou 300 computadores espalhados pela Internet, ao mesmo
tempo, e continuamente, enviem requisies de acesso pgina. Dependendo
do nmero de requisies, o servidor poder deixar de responder simplesmente
porque chegou ao seu limite de conexes.


Existem outros tipos de pacotes ou requisies de conexo que tem uma
eficcia muito maior do que uma simples requisio de acesso web. Contudo, o
segredo est em como gerar este trfego ou requisies, de vrias mquinas
espalhadas pela Internet. Isto feito atravs de 2 componentes de software: o
agente ou server (software, programa ou daemon que executado nas
mquinas espalhadas pela Internet), e o cliente (componente que controla a
ao dos agentes).

Os agentes ou servers so colocados para rodar em servidores
espalhados pela Internet por hackers, que invadem os sistemas. Existe uma
ferramenta de ataque DDoS chamada trin00 onde o agente um vrus para a
plataforma Windows ( colocado em execuo em computadores como um
trojan ou cavalo-de-tria). Uma vez disseminados os agentes, o hacker
atravs do cliente, envia um comando de ataque para os agentes, ao mesmo
tempo, atacarem uma determinada rede ou mquina.


Trin00, TFN (Tribe Flood Network, Schaft)

Estes so 3 exemplos clssicos de ferramentas de ataque DDoS. O trin00
j foi portado para a plataforma Windows, enquanto o TFN o mais usado. J
o Schaft, apesar de relativamente antigo, bem mais raro de ser achado.
Atualmente, existe uma forma do agente do trin00 que infecta computadores
como um cavalo-de-tria. J o TFN possui uma verso chamada TFN2K, com
vrias melhorias, incluindo at criptografia da conversao entre o cliente e os
agentes, de forma a burlar a deteco destas ferramentas.

Em ambientes corporativos ligados Intenret, a forma mais comum de
deteco atravs da quantidade de trfego. Na maioria das redes que
possuem monitorao de trfego, a caracterstica ser uma srie de tentativas
de conexo, ou trfego, gerado de diversas mquinas da rede interna, paraum
nico endereo na Internet.


A regra bsica impedir trfego no autorizado, no s entrando na
rede, mas tambm, a partir dela.

No anexo 9, existem 2 documentos bastante interessantes sobre ataques
DDoS.


IP Spoofing

A tcnica de spoofing possui uma lgica bastante simples. Muitos
servios antigos que so executados em hosts UNIX dependem de uma relao
de confiana, baseada no endereo de rede de um determinado host. Digamos

que um servio determinado, s aceite comandos ou conexes de um
computador que esteja em um determinado endereo IP pr configurado. A
tcnica de spoofing consiste em personificar este computador na qual a vtima
confia. Basicamente, precisa-se ter o endereo IP da vtima, o endereo IP do
computador confiado, ter algum modo de tirar o computador confiado do
ar, saber como quebrar o nmero de sequncia TCP da vtima. Teoricamente,
quaquer servio que tenha sua segurana dependente apenas da confirmao
de um endereo origem de rede, vulnervel a este tipo de ataque. uma
tcnica bastante apurada, e que requer geralmente uma certa dedicao. No
anexo 10, a tcnica e descrita em detalhes em um timo whitepaper.





6. Seu Computador Foi Invadido ?


A primeira reao natural desligar o computador imediatamente.
Contudo, apesar de parecer ser algo lgico para um usurio final, em uma
empresa definitivamente no a melhor abordagem.


O Que Fazer ?


Usurio final

O usurio ter muita dificuldade de detectar que foi invadido. A no ser
que o hacker wannabe deixe sua assinatura dentro do computador, o tpico
usurio na grande maioria das vezes sequer saber que algum mexeu em seus
arquivos, a no ser qe possua algum utilitrio para detectar uma invaso. Em
todo caso, se isto for verdade, o usurio acabou de provar que o programa no
funciona (...).

A primeira coisa que deve ser feita instalar um bom anti-virus e
execut-lo fazendo uma varredura em todo o sistema. Isso eliminar a
possibilidade de cavalos-de-tria. Caso no ache nada, ento muito provvel
que, se o seu computador Windows, ele foi invadido pelo compartilhamento
de arquivos e impressoras para redes Microsoft, ou por algum servio que
esteja sendo executado, como FTP ou HTTP.


Usurio Corporativo

Neste caso, o administrador da rede deve ser notificado
IMEDIATAMENTE. NO DESLIGUE, ou desconecte o computador! Parte da

anlise que ser feita depende inteiramente do fato de que o hacker ainda no
sabe que foi descoberto. Simplesmente chame o administrador. Ele tomar
alguma abordagem.


Precaues

Jamais fale com estranhos na rua, ou aceite qualquer
coisa de um estranho.


Mais uma vez, lembre-se que segurana um hbito. Se seguir os
procedimentos relacionados aqui, dificilmente algum invadir seu computador.
Contudo, mesmo que voc siga estes procedimentos, lembre-se tambm da
segurana local. No adianta tomar nenhuma precauo e deixar algum mexer
no seu computador inadvertidamente, ou sem acompanhamento. Da mesma
forma, jamais use um computador compartilhado para digitar senhas ou
informaes sensveis, MESMO QUE lhe dem todas as seguranas possveis e
imaginveis.


Anlise Forense

Assim como em qualquer estudo criminalstico, o estudo srio da
criminalidade envolvendo informtica tambm tem seu ramo de anlise forense.
Contudo, pela prpria informalidade do ambiente de informtica nas empresas,
e pela ausncia de um corpo de estudo criminalstico na polcia, o assunto
tratado como conto de fadas.

Grandes empresas que possuam uma infra-estrutura de TI proporcional,
tero provavelmente sua prpria equipe de TI, de segurana, e,
consequentemente, de anlise forense. Estudos mostram que a maioria dos
ataques partem de dentro da empresa. Levando isso em considerao, faz-se
necessria a presena de uma equipe que estude casos como por exemplo,
proliferao de vrus. Porm, o objetivo principal da anlise a investigao de
uma falha, com a inteno de colher evidncias, que ajudem no processo de
responsabilizao, bem como no reparo dos danos e da prpria falha.

O trabalho do investigador forense baseado em provas digitais, dados
armazenados em sistemas de informtica. A caracterstica destes dados sua
fcil volatibilidade. Dados podem ser alterados com muita facilidade,
estragando uma prova crucial, ou incriminando quem no tem nada a ver com
a histria.


O especialista em segurana deve:


Colocar na mesma rede do computador / sistema comprometido um
outro computador, geralmente um notebook, e analisar o trfego

Desconectar o computador da rede

Analisar cada processo que o computador possui no ar

Tentar recuperar cada log possvel, retir-lo do computador e guard-lo
em um local seguro

S ento o computador poder ser desligado.

Firewall (Incluindo Personal Firewall)

Como o nome sugere (do ingls, parede ou porta corta fogo), os
firewalls so esquemas de hardware, software, ou os dois juntos, capazes de,
baseados em caractersticas do trfego, permitir ou no a passagem deste
trfego. Basicamente, o firewall analisa informaes como endereo de origem,
endereo de destino, transporte, protocolo, e servio ou porta. Para cada
pacote que passar pelo firewall, ele consultar uma ACL (Access Control List, ou
lista de controle de acessos), que uma espcie de tabela de regras, que
contm informaes sobre que tipo de pacote pode ou no passar. Baseado
nesta informao, rejeita ou repassa o dado. Contudo, ao contrrio do que
muitos pensam, um firewall no apenas UM produto, seja hardware ou
software. O firewall um CONJUNTO de componentes, geralmente compostos
por hardware e software.

Para que um esquema de firewall seja eficiente, algumas regras devem
ser observadas:

1. todo trfego entre as redes PRECISA passar pelo firewall ou filtragem
2. deve existir alguma forma de reporting ou log, para se ter uma idia de
que tipo de trfego est sendo rejeitado
3. O firewall em si deve ser imune penetrao / invaso (deve rodar o
cdigo mais simples possvel, e a menor quantidade de cdigo possvel)



A seguir, vemos um esquema simples de firewall:

Existem outros modelos para uso com firewalls. O modelo mais eficiente
o de zona desmilitarizada. Nele, servidores e computadores crticos so
protegidos tanto da rede interna quanto da rede externa. Veja:

Existem alguns produtos, ou solues de software bastante
interessantes, que tentam implementar o mesmo princpio de um firewall em
seu computador. Estes programas so chamados de Personal Firewalls, e so
bem baratos, ou de graa. Alguns deles:

ZoneAlarm

Muito bom produto, um dos melhores, e gratuito. Ainda est em beta,
mas bem estvel. No recomendo a sua instalao em um computador
Windows 2000 com mais de um processador.

Norton Internet Security 2000
http://www.symantec.com/sabu/nis/

Fantstico produto da Symantec, aclamado por diversas revistas e
publicaes especializadas. O ncleo do componente de filtragem veio de outro
produto, o atGuard, da WRQ, que era vendido at o final do ano passado. A
Symantec licenciou o produto e construiu essa suite de proteo. Inclui at
anti-virus.

Para quem usa Linux, por padro, o ncleo do sistema possui filtragem
de pacotes. Atualmente, a ferramenta usada (no caso do RedHat) o IPChains.

Firewalls: Filtragem
I
n
t
e
r
n
e
t
Rede Segura
Firewall Firewall
Invasor Invasor
Invasor Invasor
Permitido Permitido


IDS (Intrusion Detection Systems)

Os IDS so sistemas avanados capazes de detectar, em tempo real,
quando um ataque est sendo realizado e, baseado nas caractersticas do
ataque, alterar sua configurao ou remodel-la de acordo com as
necessidades, e at avisar o administrador do ambiente sobre o ataque.
Sistemas de IDS so geralmente caros, e exigem certas modificaes na rede.
Na maioria das vezes est acoplado a um sistema de firewall, ou possui este
embutido.

Os IDS so sistemas descentralizados, com a filosofia de agentes e
servidores. Componentes instalados nos equipamentos, estaes de trabalho e
/ ou servidores, monitoram as atividades da rede, e reportam a um servidor.
Este servidor, obedecendo a uma srie de regras de comportamento, toma a
atitude designada para cada tipo de ocorrncia.

Existem tambm computadores ou agentes autnomos, que possuem a
nica funo de analisar todo o trfego da rede e submeter os resultados para
o servidor central. Estes agentes funcionam porque numa rede ethernet
(apdro usado em 98% das redes locais) todo o trfeog compartilhado.
Portanto, este agente ter sua interface de rede em modo promscuo, apenas
para capturar todo o trfego, ou sniffar a rede, a procura de algum padro
suspeito.

Para maiores informaes, existe um timo documento sobre IDS que
pode ser acessado em:

http://www.sans.org/newlook/resources/IDFAQ/ID_FAQ.htm


-- x --
Trust no one. Be afraid, be very afraid.





(81) 3221-9116 / 3221-9124

www.fuctura.com.br



www .ProjetodeRedes .com.br
Mais apostilas em:

Anda mungkin juga menyukai