Resumo de redes

2. Entendendo Redes e a Internet

Conceito de Redes

As redes de computadores foram criadas a partir da necessidade de se

compartilhar dados e dispositivos. Com a distribuio do dado, valioso
ou no,
tal ambiente passou a ser alvo de um estudo de vulnerabilidades, tanto
por
parte dos administradores conscientes, quanto por potenciais ameaas
(sabotagem ou espionagem industrial por exemplo).
Contudo, para que a comunicao de dados ocorra entre computadores,
necessrio que uma srie de etapas e requisitos sejam cumpridos.
Podemos
dividir a comunicao em rede, didaticamente, em 4 camadas: a parte
fsica
(meio de transmisso placas de rede, cabeamento...), a camada de
endereamento / roteamento (responsvel pelo endereamento e pela
escolha
do melhor caminho para entrega dos dados), a parte de transporte
(protocolo
de comunicao responsvel pelo transporte com integridade dos
dados), e a
camada de aplicao (que faz interface com o usurio). Se algum
elemento de
alguma destas camandas falhar, provavelmente no haver
comunicao.

TCP/IP

O TCP/IP (Transmission Control Protocol / Internet Protocol), uma

pilha de protocolos que vem sendo modelada a dcadas, desde a criao
de
uma rede chamada ARPANET, em meados dos anos 60, nos EUA. Ao
contrrio
do que muitos acham, no apenas um protocolo de comunicao, mas
uma
pilha deles. Essa pilha de linguagens de comunicao permite que todas
as
camadas de comunicao em rede sejam atendidas e a comunicao
seja
possvel. Todas as pilhas de protocolo, de uma forma ou de outra, tem de
atender a todas as camadas, para permitir que os computadores
consigam
trocar informaes.
Podemos fazer uma analogia de uma pilha de protocolos com a

comunicao verbal. Se algum fala com outra pessoa, e esta o

entende,
porque todas as camadas para que a fala seja entendida foram
atendidas.
Imagine que, para que duas pessoas se comuniquem verbalmente, ser
necessrio:
1. que ambas saibam o mesmo idioma
2. que ambas tenham toda a estrutura fisiolgica para que emitam som
(voz cordas vocais, lngua, garganta, pulmes, etc.)
3. que ambas possuam toda a estrutura fisiolgica para que ouam o
som
(orelha, ouvido interno, tmpanos, etc.)
Nesta pilha de protocolos, temos como mais importantes:

ARP (Address Resolution Protocol)

O ARP o protocolo responsvel pelo mapeamento ou associao do
endereo fsico ao endereo lgico, de computadores numa mesma
rede. Ele
faz isso atravs do processo exemplificado no tpico anterior.

IP
O Internet protocol o responsvel pelo endereamento lgico de
pacotes TCPIP. Alm disso, responsvel pelo roteamento destes
pacotes, e
sua fragmentao, caso a rede seguinte no possa interpretar pacotes
do
mesmo tamanho. O mais importante para entendermos o funcionamento
do IP
entender como feito seu endereamento lgico.
Um endereo IP algo parecido com isto:
200.241.236.94
Apesar de aparentemente no ter muita lgica, este endereo contm
uma srie de informaes. A primeira delas que, neste nmero esto
presentes a identificao da rede na qual o computador est ligado, e o
seu
nmero, em relao a esta rede. Detalhe: o computador NO interpreta
este
nmero acima como 4 cadeias decimais separadas por pontos (esta
representao apenas para tornar nossas vidas mais fceis). Ele
entende
como 4 octetos, ou 4 campos de 8 bits:
11001000.11110001.11101100.01011110
Algumas concluses e fatos sobre endereos IP:
1. QUALQUER endereo iniciado por 127, considerado endereo de
diagnstico, e representa sua prpria interface (tambm chamado de
loopback);
2. O endereamento IP usado hoje chamado de IP verso 4. O nmero
de endereos IP em uso preocupa vrios especialistas. Um dos

projetistas da pilha, Vincent Cerf, previu que at 2008, todos os

endereos estaro em uso. Para isso, j existe em funcionamento uma
nova verso, chamada de IP verso 6, que ter como endereamento
128 bits, ao invs dos 32 bits do IP verso 4;
3. Para entender as vulnerabilidades e como funciona a maioria dos
mecanismos de ataque e defesa, necessrio enteder o conceito bsico
do endereamento IP;
4. A pilha TCP/IP vem sendo modificada desde a dcada de 60. Como
seu
design bastante antigo, existem diversas vulnerabilidades inerentes ao
protocolo, que so bastante usadas por hackers;
5. cada octeto no pode ter um valor decimal acima de 255 afinal, 8 bits
somente conseguem assumir 256 combinaes diferentes, o que d, em
decimal, a contagem de 0 a 255.
Problemas comuns de configurao IP:
1. mscara errada;
2. endereo do gateway (roteador) errado;
3. poro rede errada, ou endereo IP duplicado.

I CMP (Internet Control Message Protocol)

A funo do ICMP basicamente de diagnstico e tratamento de
mensagens. Atravs dele, possvel determinar por exemplo, quanto
tempo um
pacote est demorando para ir a uma mquina remota e voltar (round
trip),
bem como determinar se houve perda de pacotes durante a
transmisso. Com
ele, tambm possvel determinar qual o caminho que um pacote est
seguindo a partir de uma mquina. O ICMP tambm possui outras
funes
como o SOURCE_SQUENCH. Esta funo permite ao protocolo IP saber se
a
taxa de transmisso est muito rpida entre redes. Quando um roteador
recebe
um pacote ICMP SOURCE_SQUENCH, ele sabe que ter de diminuir a
velocidade para no saturar o prximo roteador. Existem outros tipos de
pacotes ICMP, como o perigoso SOURCE_ROUTING, que possibilita a
troca
temporria de uma rota.

TCP (Transmission Control Protocol)

O protocolo TCP um protocolo de transporte, responsvel pela entrega
correta dos pacotes. Sua principal caracterstica a confiabilidade. Para
cada
pacote ou conjunto de pacotes que envia, espera do destinatrio uma
confirmao da chegada dos mesmos. Caso isso no ocorra, ou o pacote
chegue corrompido, ele tratar de efetuar a restransmisso. Ele tambm
coloca

nos pacotes um nmero de sequncia, para que o destino possa

remontar o
dado original, caso os pacotes sigam por caminhos diferentes ou
cheguem
atrasados (fora de ordem). Este nmero de sequncia tambm usado
como
recurso de segurana.

UDP (User Datagram Protocol)

O UDP assim como o TCP, tambm um protocolo de transporte.
Contudo, no possui nenhuma checagem de erros, confirmao de
entrega ou
sequenciamento. Ele muito utilizado em aplicaes que necessitem de
trfego
urgente, e no sejam to sensveis a algumas perdas de pacotes.
Exemplos de
aplicaes que usam UDP como transporte: transmisso de udio e
video pela
rede (RealPlayer, Realvideo ou Media Player), jogos online (como Quake,
HalfLife). Pela falta do nmero de sequncia ou confirmao de conexo,
trfego
UDP muito mais vulnervel em termos de segurana.

DNS (Domain Name System)

No final da dcada de 70, comearam a pensar numa forma mais fcil
de
tratar computadores ligados a uma rede TCPIP. Imagine que para
estabelecer
uma conexo, voc deve fornecer o endereo IP do destino, e o servio
que
deseja usar (e a porta), e o transporte. Decorar dezenas de endereos IP
no
uma tarefa fcil, to pouco prtica. O DNS foi concebido para evitar este
transtorno. Atravs dele, cada host recebe um nome, mais fcil de
aprender,
dentro de uma hierarquia, o que ajuda ainda mais na hora de identificlo. Um
exemplo seria www.invasao.com.br. Este caso uma referncia ao
servidor
www, dentro do domnio invasao.com.br. No Brasil, a entidade que
controla o
registro de nomes (de forma a impedir fraudes e utilizao indevida /
registro
indevido) a FAPESP Fundao de Fomento a Pesquisa do Estado de
So
Paulo.

Protocolos de Aplicao
Em cima da infra-estrutura fornecida pelos protocolos descritos at
agora, funcionam os protocolos de aplicao. Estes fazem a interface
com o
usurio, ou com a aplicao do usurio. Exemplos de protocolos de
aplicao:
HTTP (HyperText Transfer Protocol), FTP (File Transfer Protocol), SMTP
(Simple
Mail Transfer Protocol), SNMP (Simple Network Management Protocol),
POP3
(Post Office Protocol v.3), TELNET, e assim por diante. Cada protocolo de
aplicao se comunica com a camada de transporta atravs de portas
de
comunicao. Existem 65536 portas possveis, e por conveno, as
portas de 1
a 1023 so conhecidas como Well Known Port Numbers, portas
privilegiadas
ou portas baixas, que possuem servios mais comuns previamente
associados.
Cada protocolo de aplicao precisa de uma porta, TCP ou UDP, para
funcionar. Os mais antigos possuem suas portas padro j determinadas.
Exemplo:
Protocolo / Aplicao Porta Padro Transporte
FTP 21 TCP
TELNET 23 TCP
SMTP 25 TCP
WINS NameServer 42 UDP
HTTP 80 TCP
POP3 110 TCP
SNMP 161 UDP
SNMP trap 162 UDP
As portas acima de 1023 so denominadas portas altas, e so usadas
como end points, ou pontos de devoluo de uma conexo. Imagine
uma
conexo como um cano de gua conectando duas casas. A diferena
que
neste cano, a gua pode ir em qualquer sentido. Portanto, ao tentar ler
seu
correio eletrnico, provavelmente usar um protocolo chamado POP3,
que
funciona na porta 110. Seu computador estabelecer uma conexo com
o
servidor de correio, na porta 110 remota, e 1026 (por exemplo)
localmente. A
porta local na maioria dos protocolos, uma porta acima de 1023, desde
que

no esteja sendo usada.

Sockets (soquetes de comunicao)

Os sockets so a base para o estabelecimento da comunicao numa

rede
TCP/IP. Atravs dele que a transferncia de dados se torna possvel.
Cada
conexo montada por um socket, que composto de 3 informaes:
1. endereamento (origem e destino)
2. porta origem / destino
3. transporte
Portanto, no caso acima, ao tentar ler seu correio, um socket ser
estabelecido entre sua mquina e o servidor de correio. Para mont-lo,
precisamos:
1. do seu endereo IP e do endereo IP destino
2. porta origem / destino (neste caso, porta destino 110, origem 1026)
3. transporte (TCP)

Gerenciando Erros de Comunicao

Por padro, existem alguns utilitrios presentes na pilha TCPIP que

possibilitam ao usurio diagnosticar problemas. Alguns dos utilitrios
mais
usados so:

PING (Packet INternet Grouper)

Este utilitrio utiliza o protocolo ICMP para diagnosticar o tempo de
reposta entre dois computadores ligados numa rede TCP/IP. A partir da,
podese
ter uma estimativa do trfego (se o canal de comunicao est ou no
saturado) bem como o tempo de latencia do canal. Ao contrrio do que
muitos
pensam, a latencia de um link est tambm diretamente ligada a
velocidade do
roteador (em termos de processamento) e no somente a velocidade do
canal
de comunicao.

...Ento, O que a Internet

Uma vez explicados os conceitos da pilha de protocolos usada na

Internet, e seu funcionamento, fica mais fcil entend-la. A Internet nada
mais
do que uma rede enorme, a nvel mundial, que usa como linguagem
de
comunicao, a pilha de protocolos TCP/IP. Como tal, herda uma srie de
vulnerabilidades inerentes prpria pilha TCP/IP, alm de problemas e
bugs
que possam existir nas aplicaes que usam esta infra-estrutura de
rede.
Muitos perguntam naturalmente como a Internet pode funcionar. Seu

conceito bastante simples. Na dcada de 60, criou-se na Universidade

de
Berkeley, em Chicago, uma rede experimental, para utilizao militar.
Esta rede
cresceu muito, dada a necessidade das prprias universidades de
trocarem
informaes. Ela se chamava ARPANET. No incio da dcada de 80, esta
rede
passou a utilizar apenas uma pilha de protocolos padro, que na poca
passou
a se chamar TCP/IP. Pouco tempo depois, ocorreu a abertura desta rede
para
fins comerciais, o que, ao longo de pouco mais de 10 anos, a
transformou no
que conhecemos hoje.
A comunicao na Internet provida atravs de backbones, ou espinhas
dorsais de comunicao (link de altssima velocidade) mantidos por
provedores,
pontos de presena, governos, entidades de ensino, e empresas
privadas.
Contudo, para participar dela, uma srie de requisitos precisam ser
obedecidos.
O primeiro deles relativo ao endereamento.
Vimos que o endereo IP, numa rede, precisa ser distinto. Portanto, em
toda a Internet, no pode haver dois endereos IP iguais. Assim sendo,
para
uma mquina se comunicar com outras na Internet, ela deve possuir um
endereo vlido. Cada provedor de backbone possui um lote, ou
intervalo de
endereos IP que pode fornecer aos seus clientes. Aqui no Brasil,
podemos citar
a Embratel como provedora de backbone. Ao requisitar um link com a
Internet
Embratel, receber juntamente com o link, um intervalo de endereos
para
ser usado por seus computadores, ligados ao backbone da Embratel. A
nvel
mundial, o rgo que gerencia os endereos IP vlidos chama-se IANA
(Internet Assigned Numbers Authority).
Para que a comunicao seja possvel a nvel mundial, cada detentor de
uma rede (ou espao de endereamento) responsvel por estabelecer
a
comunicao com seu provedor de backbone, bem como configurar seu
roteador ou roteadores com as rotas necessrias ao funcionamento de
sua sub

rede. Se levarmos isso a uma escala mundial, cada detentor de uma sub
rede
fazendo com que ela seja acessvel atravs de um roteador
corretamente
configurado, entendemos como funciona a Internet a nvel
administrativo (por
mais incrvel que parea).

O Porqu da Invaso

Os motivos so diversos. Variam desde a pura curiosidade pela

curiosidade, passando pela curiosade em aprender, pelo teste de
capacidade
(vamos ver se eu sou capaz), at o extremo, relativo a ganhos
financeiros,
extorso, chantagem de algum tipo, espionagem industrial, venda de
informaes confidenciais e, o que est muito na moda, ferir a imagem
de uma
determinada empresa ou servio (geralmente, a notcia de que uma
empresa
foi invadida proporcional a sua fama e normalmente um desastre em
termos de RP).
As empresas hoje em dia investem quantias fantsticas em segurana,
mas no no Brasil. O retrato do descaso segurana de informaes no
Brasil
claramente traduzido na falta de leis neste sentido. Alm disso, existe
um fator
agravante: quando existir o interesse em elaborar tais leis, sero por
indivduos
que no tem por objetivo principal a segurana em si. O resultado sero
leis
absurdas, que iro atrapalhar mais do que ajudar. Um exemplo disso o
que
vem ocorrendo em alguns estados nos EUA. Nestes estados, a lei chega
a ser
to restritiva que at testes de vulnerabilidade so considerados ilegais,
mesmo
com o conscentimento da empresa contratante do servio.
Isto no aspecto empresarial.
No caso do usurio final, esse est entregue sorte. No existe nenhum
servio de segurana gratuito, que possa ser utilizado pelo usurio. De
qualquer
forma, existem diversas ferramentas e procedimentos que podem ser
usados
para aumentar o nvel de segurana de seu computador, digamos, em
casa,
que acessa a Internet por um link discado. justamente neste nicho de

mercado em que esto as principais vtimas, que inclusive, no so

notcia no
dia seguinte a uma invaso. A quantidade de wannabes enorme, e a
tendncia aumentar. Os wannabes esto sempre procura de um
novo
desafio, e o usurio final na maioria das vezes a vtima preferida,
JUSTAMENTE pela taxa de sucesso que os Wannabes tem em relao ao
nmero de ataques realizados.

Ponto de Vista do White-hat

O white-hat geralmente um programador bem sucedido, que, na
grande maioria das vezes, contratado como consultor de segurana.
Nestes
casos, ele tambm recebe o nome de Samurai. Ao descobrir uma
falha ou
vulnerabilidade, envia um how-to, ou procedimento para que o
problema
seja recriado, para amigos ou pessoas de convvio prximo, que tambm
estejam envolvidas com segurana ou desenvolvimento. Uma vez
confirmada a
falha, ela reportada em listas de discusso que debatem o tema, onde
os
maiores especialistas se encontram. Exemplos de listas:
NTBugtraq
A lista NTBugtraq uma lista moderada por um canadense chamado
Russ
Cooper. Ela discute segurana em ambiente Windows NT e 2000. O nvel
de
barulho ou de informaes que no dizem respeito ao assunto muito
baixo
(Russ bem rigoroso na moderao do grupo) portanto, a grande
maioria das
informaes de nvel alto. Para assin-la, basta enviar uma mensagem
para:
e no corpo da mensagem:
subscribe ntbugtraq Primeiro_nome Sobrenome
Contudo, antes de assinar esta lista, aconselhvel ler a FAQ da mesma
em:
NT Security
A lista NT Security uma lista NO moderada (espere por dezenas de
mensagens diariamente), mantida por uma empresa chamada ISS
(Internet
Security Systems). Para assin-la, a forma mais fcil ir no seguinte
endereo:
Os white-hats (os black-hats e crackers tambm) se mantm muito bem
atualizados. Ser inscrito em diversas lista de discusso, ler muito sobre o
tema

e visitar sites de segurana essencial. Alguns sites muito bons sobre o

tema:

Ponto de Vista do Black-Hat

O black-hat possui tanta habilidade quanto o white-hat. Porm, ao
descobrir uma nova vulnerabilidade, no publicar esta na Internet:
usar para
fins geralmente ilegais, em proveito prprio. Possui tambm profundos
conhecimentos de programao, e geralmente est empregado em
alguma
empresa de desenvolvimento de sistemas, ou como programadoranalista, ou
como responsvel pelo suporte. Hoje em dia, podemos encontrar blackhats em
empresas de comunicao, assim como em provedores de acesso
Internet
(ISPs).
Contudo, ao contrrio do white-hat, wannabe ou cracker, o black-hat
far de tudo para manter sua identidade secreta, bem como suas
atividades
ilegais. A prpria natureza ilegal de suas realizaes o mantm afastado
de
qualquer publicidade. A maioria dos black-hats possui algum tipo de
identidade
digital, ou pseudnimo na Internet, que afasta qualquer possibilidade
de
identificao, como um email free (contas free de correio eletrnico, com
cadastro errado), e acessa a Internet por servidores de Proxy alheios
(uma lista
de servidores proxy pode ser encontrada no anexo 6). Possui contas de
acesso
a Internet em diversos provedores, de preferncia em provedores muito
pequenos ou do interior, que no possuem um sistema exato para
identificao
de chamadas ou conexes. Hoje em dia, provedores gratuitos fornecem
este
acesso de forma bastante satisfatria, principalmente em grandes
cidades.
Provedores gratuitos que no possuem senhas individualizadas, s
podem
identificar um usurio pelo nmero da chamada. a onde entra o
Phreaker.
Contudo, no Brasil, em grandes cidades, as companhias telefnicas NO
utilizam o sistema BINA (B Identifica Nmero de A), por motivos de
carga
imposta s centrais telefnicas. A troca das informaes de caller ID

necessrias identificao do nmero origem de uma chamada gera

uma
utilizao maior das centrais. Muitas centrais que j esto em sua
capacidade
mxima no conseguiriam operar com as informaes de Caller ID
habilitadas. Assim sendo, se torna praticamente impossvel identificar a
origem
de uma chamada, por parte de um provedor de acesso.
Mesmo assim, teramos o sistema de tarifao da companhia telefnica,
que, judicialmente, poderia comprovar a origem de uma ligao.
Contudo,
existem vrias formas de se burlar a tarifao. Uma delas discar de
um
telefone pblico isolado, em um horrio de nenhum movimento
(madrugada).
Outra opo roubar uma linha telefnica diretamente em um quadro
de
conexes de um quarteiro, ou at mesmo no prprio poste de
iluminao
pblica, ou em quadros de telefonia de um condomnio, por exemplo. A
terceira
opo seria usar conhecimentos de phreaking para evitar que a
companhia
telefnica consiga obter a identificao da chamada.
Independente do mtodo utilizado, o esforo empregado na identificao
ser proporcional ao efeito das aes de um hacker. Um black-hat pode
perfeitamente usar os mtodos descritos acima, de conexo atravs de
um
provedor gratuito, apenas para identificar ou obter informaes
necessrias ao
seu trabalho. Uma vez determinada uma abordagem ou traada uma
metodologia para se realizar uma invaso, a sim, mtodos mais
avanados
podem ser usados, como roubo de linha (conhecido no Brasil como
papagaio)
ou at phreaking, impedindo sua identificao.
Alm do black-hat, temos os crackers e os wannabes, que de certa
forma, poderiam ser enquadrados como black-hats, mesmo no tendo
conhecimento para tal.
Os crackers faro ou tentaro fazer uma invaso apenas pelo desafio, ou
para enaltecer seu ego, junto ao espelho, ou junto comunidade da qual
participa. Neste aspecto, o wannabe possui mais ou menos o mesmo
ponto de
vista. Contudo, o wannabe usa mais suas histrias para se afirmar
dentro do

seu grupo social do que o cracker. Um exemplo clssico do

comportamento de
um cracker foi o demonstrado pelo Kevin Poulsen, hacker bastante
conhecido,
que foi preso nos EUA por ter invadido a rede de defesa (ARPANET). Um
resumo sobre ele pode ser encontrado em:
http://www.zdnet.com/zdtv/thesite/0797w4/iview/iview747_072497.html
Como demonstrado, esta uma diferena bsica: o cracker possui
algum
conhecimento e mais objetivo em suas realizaes. O wannabe
geralmente
no organizado, e tenta testar em tudo e em todos as novidades que
conseguir obter. Este mais perigoso, pois pelo fato de atirar em todas
as
direes, pode atingir qualquer um, eu, voc, ou algum conhecido /
famoso.
tambm o mais fcil de cair nas mos da justia, pela enorme trilha de
pistas
que deixa no caminho por onde passa.

Vulnerabilidades em meu sistema

Todo e qualquer sistema, cdigo, script ou programa, vulnervel a

bugs. Todos estes so escritos por mos (dedos) humanas, e concebidos
por
mentes humanas, sujeitas a falhas. Por consequncia, tambm esto
sujeitos
falhas.
A grande maioria dos furos de segurana surgem de bugs no cdigo
original. Contudo, nem todos os bugs so furos de segurana.
Obviamente, se
um bug surge em uma aplicao de editorao de imagens ou texto, no
necessariamente estar relacionada a segurana. Porm, se este bug
descoberto e existe no software do firewall que sua empresa usa, ou
voc
possui instalado em seu computador, a sim, estar relacionado
diretamente
com segurana. inclusive importante observar que muitos destes bugs
surgem pela interao de programas. Digamos, que o programa original,
instalado em um contexto onde realiza suas tarefas sozinho, no
apresente
falhas. Mas, a partir do momento que posto para trabalhar em
conjunto com
outro programa, expe algum bug ou falha operacional. Estas por sinal
so as
mais difceis de diagnosticar, pois geralmente apresentam
caractersticas
intermitentes.

Que Componentes So Vulnerveis

Qualquer um.
Principalmente se este est ligado diretamente a algum servio de rede.
Existem diversos tratados, estudos e documentos discutindo estatsticas
de produo de bugs. Contudo, uma regra bsica que sempre trar um
bom
aproveitamento com relao segurana a seguinte: menos cdigo no
ar,
menos bugs, menos problemas de segurana.
Axioma 1 (Murphy) Todos os programas tm bugs.
Teorema 1 (Lei dos Programas Grandes) Programas grandes possuem ainda mais
bugs do que o seu
tamanho pode indicar.
Prova: por inspeo
Corolrio 1.1 Um programa relativo a segurana possui bugs de segurana.
Teorema 2 Se voc no executar um programa, no importar se ele possui ou no
bugs.
Prova: como em todos os sistemas lgicos, (falso verdadeiro) = verdadeiro.
Corolrio 2.1 Se voc no executar um programa, no importar se ele possui ou no
bugs de
segurana.
Teorema 3 Mquinas expostas devem rodar to poucos programas quanto possvel;
os que rodarem,
devem ser to pequenos quanto o possvel.
Prova: corolrios 1.1 e 2.1
Corolrio 3.1 (Teorema Fundamental dos Firewalls) A maioria dos hosts no
consegue atender s
nossas necessidades: eles rodam programas demais que so grandes demais. Desta
forma, a nica
soluo isolar atrs de um firewall se voc deseja rodar qualquer programa que seja.
(Firewalls and Internet Security: Repelling the Wily Hacker
William Cheswick / Steven Bellovin)

Concluso: quanto menos servios no ar, menor a possibilidade do

computador apresentar uma falha de segurana.
Plataforma Windows: Windows 9x
O Windows 9x (95 ou 98) no foi concebido com segurana em mente.
Contudo, a Microsoft esqueceu que, com o advento da Internet, alguma
segurana deveria existir por padro no sistema para evitar ataques
pela
Internet, para usurios deste sistema. De qualquer forma, existem
alguns
procedimentos que qualquer um pode adotar para tornar seu
computador
windows 9x mais seguro. Obviamente, praticamente impossvel ter
uma
funcionalidade de servidor de algum tipo, exposto Internet, aliada
segurana, com este sistema operacional.
A principal medida que deve ser adotada a remoo do

compartilhamento de arquivos e impressoras para redes Microsoft, no

painel de
controle. Caso seu computador participe de uma rede, dentro de uma
empresa
por exemplo, consulte o administrador da rede ANTES de realizar
qualquer
alterao. As empresas geralmente possuem polticas internas para tais
configuraes.
Veja:
Atravs do cone Rede no painel de controle, se tem acesso caixa de
dilogo
ao lado. L, voc poder encontrar o componente Compartilhamento de
arquivos e impressoras para redes Microsoft. Este componete
transforma o
Windows 9x em uma espcie de servidor de rede que, se configurado de
forma
incorreta, poder abrir seu computador para qualquer invasor. Se no for
possvel remover o componente, pea proprie-dades do adaptador dialup
(como na imagem acima), v em Ligaes e desmarque a opo
Compartilhamento de arquivos e impressoras para redes Microsoft.
Isso far
com que o componente servidor do Windows 9x no esteja ativo atravs
de sua
conexo via modem / dial-up.
Alm da configurao de rede de um computador Windows 9x, existem
outros aspectos que devem ser observados. O primeiro deles em
relao
atualizaes. O Windows 9x possui um servio bastante interessante,
chamado
Windows Update. Atravs dele, quando conectado na Internet, voc
poder
atualizar seu sistema automaticamente. Basta clicar o cone Windows
Update
no menu iniciar. Manter o seu sistema sempre atualizado primordial
para
manter a segurana.
O segundo aspecto em relao a que servios seu computador est
iniciando automaticamente ao ser ligado / inicializado. Olhe dentro do
grupo
Iniciar por programas estranhos, e nas seguintes chaves no registro:
HKEY_LOCAL_MACHINE\Software\Miicrosoft\Wiindows\CurrentVersiion\RunServiicesHKEY
_LOCAL
_MACHINE\Software\Miicrosoft\Wiindows\CurrentVersiion\Run Por padro, apenas o

systray e algum programa anti-virus devem estar listados. Se em

algumas

destas linhas est aparecendo algum programa que voc tenha pego da
Internet recentemente, aconselhvel instalar um anti-virus atualizado
o mais
rpido possvel. Provavelmente um cavalo-de-tria.
Indo um pouco mais alm, voc pode executar o comando netstat
an para verificar se seu computador est configurado para escutar
em
alguma porta suspeita. Isto tambm pode indicar algum cavalo-de-tria.
Ao digitar o netstat an voc ter como resposta algo assim:
Microsoft(R) Windows 98
(C)Copyright Microsoft Corp 1981-1999.
C:\WINDOWS\Desktop>netstat -an
Conexes ativas
Proto Endereo local Endereo externo Estado
TCP 200.249.213.241:137 0.0.0.0:0 LISTENING
TCP 200.249.213.241:138 0.0.0.0:0 LISTENING

Essa a tpica resposta de um computador com uma placa de rede, que

no est conectado Internet, e que acabou de ser iniciado. Note que
ele est
escutando nas portas 137, 138 e 139. Para um computador Windows 9x,
isso
normal. Contudo, se voc no realizou a instalao de nenhum programa
de
rede em seu computador que o transforme em algum tipo de servidor, e
ainda
assim portas estranhas aparecerem listadas, isto quer dizer que algo
est
errado. Uma lista de portas que indicam cavalos-de-tria pode ser
encontrada
no anexo 3. Porm, alguns destes cavalos-de-tria usam portas que por
padro, so usadas por servios conhecidos, como FTP File Transfer
Protocol
(porta 20 e 21), HTTP Hypertext Transfer Protocol (porta 80) e assim
por
diante. Portanto, antes de imaginar que est infectado, certifique-se de
que tais
servios no estejam rodando em seu computador. Uma lista com as
portas
privilegiadas (conhecidas como Well known port numbers) pode ser
encontrada no anexo 4, bem como uma lista de portas no privilegiadas,
acima
de 1024, podem ser encontradas no anexo 5. Caso o material no esteja
mo
e uma consulta seja necessria, dentro da pasta \WINDOWS\ (Windows
9x)
ou \WINNT\SYSTEM32\DRIVERS\ETC (Windows NT/2000) existe um
arquivo

chamado services que contm as principais portas.

Plataforma Windows NT / 2000
O Windows NT/2000 foi concebido para suportar e operar sobre padres
de segurana, ao contrrio do Windows 9x. A inteno deste material
no
escrever um tutorial de segurana no Windows NT/2000, pois isso
foraria a
escrita de um material inteiramente novo. Porm, existem alguns
tpicos que
podem e devem ser abordados, que contm conceitos bsicos de
proteo
usando este sistema operacional.
A principal diferena em termos de segurana do Windows NT/2000 para
o 9x, ns podemos reconhecer logo no incio: apenas um usurio vlido
pode
usar o computador localmente, bem como via rede, de acordo com as
permisses configuradas. Voc precisa ser autenticado para ter acesso
console. Portanto, manter um cadastro de usurios necessrio. Este
cadastro
deve forar os usurios a trocar de senha priodicamente, bem como
exigir que
senhas de um determinado tamanho mnimo sejam usadas (em
sistemas
seguros, recomendado usar o mximo de caracteres suportados pelo
NT: 14.
No caso do 2000, tambm podemos usar 14, pois um bom valor.
Contudo, o
Windows 2000 permite senhas de at 256 caracteres).
A primeira coisa que se deve fazer ao usar NT/2000 escolher que
sistemas de arquivos voc usar. Se segurana um requisito, o
sistema NTFS
deve ser usado. Contudo, o sistema NTFS no ser visvel por outro
sistema
operacional, apenas pelo NT/2000 (O Linux pode enxergar parties
NTFS para
leitura).
Em segundo lugar, logo aps a instalao, o ltimo service pack deve
ser instalado. Service packs so atualizaes do Windows NT,
disponveis no
site da Microsoft. Estas atualizaes so acumulativas, portanto, caso o
ltimo
service pack seja o 7, no ser necessrio instalar os anteriores. Apenas
a
ltima verso. Observao: no Windows 2000, o mtodo de atualizaes
foi

alterado. Ele est muito parecido com o do Windows 9x (atravs do

Windows
Update). Portanto, para atualizar um sistema Windows 2000, basta
escolher a
opo Windows Update no menu iniciar. Caso deseje baixar
manualmente as
atualizaes, poder proceder pelo seguinte endereo:
http://www.microsoft.com/windows2000/downloads/
Uma vez instalado e atualizado, precisamos ento realizar algumas
alteraes no sistema para torn-lo mais seguro. Existem 4 alteraes
essenciais: auditoria, remover servios desnecessrios, alterar as
permisses
padro do sistema de arquivos, e alterar as configuraes de rede.
1. Auditoria
Em um sistema seguro, primordial que exista algum tipo de auditoria,
onde certos erros de permisso sejam armazenados para anlise.
recomendado que no NT/2000, todos os objetos sejam auditados quanto

falha de acesso. No caso do objeto Logon/Logoff, tambm

recomendado
que o sucesso seja auditado, para que uma anlise de quem efetuou ou
no
logon no computador, localmente ou via rede, seja possvel. No acione
a
auditoria em processos ou em arquivos, a no ser que seja para
depurao de
um problema de segurana eminente. Estes dois objetos causam muita
atividade de log, deixando o computador / servidor mais lento.
2. Removendo servios desnecessrios
Alguns servios que so instalados por padro so considerados ou
vulnerveis a ataque, ou servios que podem divulgar informaes
reservadas
do sistema, via rede. recomendado parar tais servios para impedir
que isto
ocorra.
Os seguintes servios precisam ser parados, e configurados para
inicializao
Manual:
Alerter
permite que um suposto hacker envie mensagens de alerta para a
console
Messenger
permite que um suposto hacker via rede visualize o nome do usurio
atualmente logado na console, atravs do comando nbtstat
Clipbook Server

permite que um usurio via rede visualize o contedo da rea de

trabalho
SNMP Service / SNMP Trap Service
So dois servios que pemitem a utilizao do Simple Network
Management
Protocol. Se no possurem uma inteno especfica (como instalado
pelo
administrador para monitorao do computador) ou se no estiver
corretamente configurado, pode revelar muitas informaes sobre o
computador em si, como interfaces de rede, rotas padro, entre outros
dados.
recomendado ter cautela com tais servios
Scheduler
um servio que permite o agendamento de tarefas no sistema. Voc
pode
programar para que tarefas sejam executadas numa determinada hora.
Cuidado: por padro, qualquer pograma iniciado pelo sistema de
agendamento,
possuir o contexto de segurana do prprio sistema, tendo acesso a
praticamente qualquer informao. Caso seja realmente necessrio, crie
um
usurio sem direitos (com direito apenas de executar a tarefa desejada)
e
programe este servio para ser inciado no contexto de segurana deste
usurio
criado (no Windows 2000, o servio se chama Task Scheduler)
Em computadores que so usados exclusivamente em casa, e que no
participam de nenhuma rede, apenas acessam a Internet atravs de um
modem, recomendado tambm isso.