RA 0200142 – 8º Semestre
Jaguariúna, 2005.
1
RA 0200142 – 8º Semestre
Jaguariúna, 2005.
2
RESUMO
Este trabalho tem como objetivo demonstrar os principais problemas enfrentados pelos
usuários da internet com relação à segurança. Em primeira instância será apresentado o
conceito de Segurança na Internet. Logo após serão descritas as principais técnicas de
invasão, juntamente com as suas características. Dentre as técnicas de invasão que serão
aqui comentadas, pode-se citar as seguintes: Trojan Horse, Backdoor, Denial of Service,
Back Orifice, NetBus, Sniffing, Vírus e Spoofing. Depois disso serão comentadas as
principais técnicas de prevenção e também de proteção para esses ataques. Por fim, foi
elaborada uma lista de recomendações a serem seguidas com o intuito de se garantir maior
segurança na utilização da internet.
SUMÁRIO
1 INTRODUÇÃO....................................................................... 07
2 SEGURANÇA NA INTERNET............................................... 08
2.1 Vulnerabilidades na Internet................................................................... 08
2.2 Engenharia Social................................................................................... 08
3 TÉCNICAS DE INVASÃO...................................................... 10
3.1 Trojan Horse........................................................................................... 10
3.1.1 Características........................................................................................ 10
3.1.2 Ataque / Infecção.................................................................................... 10
3.1.3 Conseqüências....................................................................................... 10
3.2 Backdoor................................................................................................. 11
3.2.1 Características........................................................................................ 11
3.2.2 Ataque / Infecção.................................................................................... 11
3.3 DoS – Denial of Service.......................................................................... 11
3.3.1 Características........................................................................................ 11
3.3.2 Ataque / Infecção.................................................................................... 12
3.4 Back Orifice............................................................................................. 13
3.4.1 Características........................................................................................ 13
3.4.2 Ataque / Infecção.................................................................................... 13
3.5 NetBus.................................................................................................... 14
3.5.1 Características........................................................................................ 14
3.5.2 Ataque / Infecção.................................................................................... 14
3.6 Sniffing.................................................................................................... 15
3.6.1 Características........................................................................................ 15
3.6.2 Ataque / Infecção.................................................................................... 15
3.7 Vírus........................................................................................................ 15
3.7.1 Características........................................................................................ 15
3.7.2 Ataque / Infecção.................................................................................... 16
3.8 Spoofing.................................................................................................. 16
3.8.1 Características 16
3.8.2 Ataque / Infecção.................................................................................... 16
4 TÉCNICAS DE PROTEÇÃO................................................. 17
4.1 Técnicas de prevenção contra Cavalo de Tróia..................................... 17
4.2 Técnicas de prevenção contra Backdoors.............................................. 17
4.3 Como detectar um DoS.......................................................................... 17
4.4 Técnicas de prevenção contra o Back Orifice........................................ 19
4.4.1 Detecção e Remoção............................................................................. 19
4.5 Técnicas de prevenção contra o Netbus................................................ 20
4.5.1 Detecção e Remoção............................................................................. 20
4.6 Técnicas de Prevenção contra o Spoofing: Rotas IP............................. 21
5 ESTRATÉGIAS DE PROTEÇÃO.......................................... 22
5.1 Antivírus.................................................................................................. 22
5.2 Backup.................................................................................................... 22
5.3 Auditorias Permanentes.......................................................................... 22
5.4 Logs........................................................................................................ 23
5.5 Treinamento e difusão do conhecimento................................................ 23
5.6 Sistema de detecção de intruso.............................................................. 24
5.6.1 Verificadores de integridade................................................................... 24
5.6.2 Detecção local........................................................................................ 24
5.6.3 Detecção em rede................................................................................... 24
5.7 Firewall.................................................................................................... 25
5
5.7.1 Funcionamento....................................................................................... 25
5.7.2 Características básicas........................................................................... 26
6 DADOS ESTATÍSTICOS DE INVASÃO................................ 28
7 RECOMENDAÇÕES............................................................. 30
7.1 Recomendações a usuários................................................................... 30
7.2 Recomendações a administradores do sistema..................................... 31
8 CONCLUSÃO........................................................................ 33
8.1 Possíveis extensões............................................................................... 33
9 REFERÊNCIAS BIBLIOGRÁFICAS...................................... 34
6
LISTA DE SIGLAS
1 INTRODUÇÃO
2. SEGURANÇA NA INTERNET
clique no arquivo anexo, a partir desse momento o computador dessa já está infectado com
algum tipo de vírus ou trojan que tem o objetivo de descobrir informações sigilosas
[Terra][NBSO].
Conclui-se então que a Engenharia Social é um meio de persuadir o usuário
inexperiente. A partir do momento que isso acontece o segundo passo da invasão é explorar
esse vírus ou trojan instalado na máquina do usuário. Isso implica no uso de técnicas e até
mesmo softwares de invasão. Esse segundo passo será descrito no tópico seguinte.
10
3. TÉCNICAS DE INVASÃO
Pode-se definir invasão como a entrada por alguém não autorizado em um site,
servidor, computador ou serviço. A invasão pode ser realizada em partes, com o intuito de
se realizar testes na rede, a fim de se encontrar os pontos vulneráveis [Sette].
Existem diversas ferramentas que facilitam a invasão. Abaixo serão descritas algumas
das mais conhecidas.
3.1.1 Características
Traduzindo para o português Trojan Horse significa Cavalo de Tróia, que são sistemas
de computadores que se propõem a executar determinada tarefa. Geralmente a cumprem,
no entanto, realizam outra sem que o usuário saiba. Essa segunda tarefa realizada é abrir
portas de seu computador para invasões ou acesso remoto [NBSO][Cholewa].
Esses sistemas acima descritos exploram vulnerabilidades dos usuários com relação à
Engenharia Social, como também às falhas dos softwares desatualizados e mal
configurados.
3.1.3 Conseqüências
O Cavalo de Tróia, na maioria das vezes, vai possibilitar aos hackers o controle total
da máquina. Esse poderá executar diversas tarefas na máquina invadida como, por
exemplo, copiar arquivos, formatar o disco rígido, ver a janela que está em execução, entre
outras, etc [GRAI][Lockabit].
11
3.2 Backdoor
3.2.1 Características
Backdoor significa porta dos fundos, e seu principal objetivo é esse mesmo, o qual o
próprio nome especifica. A função desse é abrir uma porta na máquina que está sendo
atacada para que a mesma funcione como um servidor, enquanto a pessoa que estiver
realizando o ataque, o invasor, será o cliente, portanto ele terá o total acesso da máquina
remotamente. Além de sistemas como esses que são instalados na máquina
propositalmente, existem outros programas, de uso pessoal que podem ter backdoors, só
que estes devido ao seu mau desenvolvimento, o projeto pode ter ficado com uma falha,
gerando assim um canal de comunicação, ao qual o invasor poderá explorar. Um sistema
que se pode citar nesse caso é o ICQ versão 99 [Invasão].
3.3.1 Características
Com relação às falhas exploradas por essa técnica pode-se citar a má configuração de
softwares de segurança nas máquinas (firewall, antivírus), e também devido à falta de
atualização dos sistemas operacionais.
3.4.1 Características
Para funcionar o Back Orifice requer que sejam instalados dois arquivos, um na
máquina da vítima e outro na maquina do invasor. Esse só funciona em Windows 95 e 98.
Na máquina da vítima deve ser instalada uma versão servidor, enquanto na máquina do
invasor instala-se uma versão cliente [Tripod][NBSO].
Se não fosse pelo seu caráter malicioso, o Back Orifice poderia ser considerado um
excelente programa para acesso e monitoramento remoto de um computador
[Tripod][NBSO].
Permite fazer diversas atividades na máquina da vítima, entre elas podemos citar as
seguintes:
3.5 NetBus
3.5.1 Características
O NetBus é um cavalo de tróia (tem seu código escondido dentro de outro programa
executável) que, assim como o Back Orifice, explora as falhas de segurança do Windows.
Uma vez instalado no computador, permite que um usuário remoto não-autorizado tenha
total controle sobre a máquina da vítima. O NetBus funciona em Windows 95 e 98 e também
no Windows NT [Tripod][Cholewa][NBSO][Spyder].
As falhas exploradas pelo NetBus são as mesmas exploradas pelo Back Orifice e
pelos Cavalos de Tróia, já que o NetBus também é um trojan [Spyder].
3.6 Sniffing
3.6.1 Características
Por se tratar de um ataque passivo, mediante o qual uma máquina diferente do destino
pretendido obtém acesso à informação que percorre a rede, torna-se praticamente
impossível de se detectar.
A atividade de sniffing em uma rede pode não ser um ataque, pois essa técnica pode
ser utilizada para diagnosticar problemas na rede [Meneghel][Cholewa].
• Obtenção de Protocolos de baixo nível, que pode ser uma arma para um
ataque futuro. Como exemplo pode-se citar os endereços IP´s das interfaces
remotas [Meneghel].
3.7 Vírus
3.7.1 Características
3.8 Spoofing
3.8.1 Características
A principal característica do Spoofing é convencer alguém de que ele é algo que ele
não é, conseguindo assim, autenticação para acessar alguma parte restrita à qual ele não
tem permissão, através da falsificação do seu endereço de origem
[Meneghel][Sette][Moitinho].
4 TÉCNICAS DE PROTEÇÃO
Pode-se definir técnicas de proteção como um meio utilizado para não sofrer danos em
informações que trafegam pela rede, esses danos provêm de pessoas não autorizadas que
adentram na rede em busca de informações que lhes possam ser úteis [Spyder].
O DoS é um ataque que não se pode prevenir. A única prevenção é configurar com o
máximo de segurança a rede a fim de tentar dificultar esse tipo ataque.
Algumas anormalidades podem indicar a ocorrência deste tipo de ataque, tais como:
• Excesso de tráfego: Número de acessos na rede maior do que o esperado,
como ilustrado na figura 2 [Bertholdo; Andreoli; Tarouco].
18
• Pacotes TCP e UDP que não participam de uma conexão: Alguns tipos de
ataque DDOS utilizam vários protocolos para enviar dados sobre canais não
orientados à conexão. Utilizando firewalls que mantêm o estado das conexões
pode-se detectar esse tipo de problema. Outro ponto a ser observado é que
esses pacotes costumam destinar-se a portas acima de 1024 [Bertholdo;
Andreoli; Tarouco].
Outra alternativa para tentar barrar esse tipo de ataque seria o seguinte:
• Filtrar o tráfego que entra na rede, em portas (serviços) que não estão em uso
[Cholewa];
19
As maneiras mais comuns de ser infectado são executando o próprio Back Orifice, ou
executando algum outro sistema que esteja contaminado com ele. A partir do momento da
instalação as suas ações vão depender das requisições do programa cliente. Diante desses
problemas a prevenção mais simples e significativa é sempre que receber um e-mail com
algum arquivo anexo de procedência duvidosa, ou mesmo com algum texto que tem o intuito
de convencê-lo a abrir o anexo, não o faça. Dentre dessas pode-se citar outras maneiras de
se prevenir como, por exemplo, sempre manter o software antivírus atualizado, procurar
instalar um bom firewall, não se deve deixar persuadir por histórias escritas em e-mails, e
procurar fazer atualizações no sistema operacional e nos softwares utilitários que se
encontram na máquina [NBSO].
O Back Orifice é relativamente fácil de ser detectado e removido. Uma das maneiras
de rastreá-lo na máquina é a seguinte: pesquisar por um arquivo no registro do Windows
com o nome de “Server BO”, ou até mesmo no menu pesquisar, como ilustrado na figura 4:
20
Se algum arquivo for encontrado com esse nome, acima descrito, provavelmente a
máquina está infectada. Caso afirmativo, o passo seguinte seria baixar da internet um
programa com o nome de “Antigen”. Outro utilitário que tem a função de remover o Back
Orifice é o “Back Orifice Eliminator”.
5 ESTRATÉGIAS DE PROTEÇÃO
Até o momento falou-se de técnicas de proteção com relação a ataques específicos,
agora serão comentadas outras técnicas de proteção que podem ser úteis para outros tipos
de ataques.
5.1 Antivírus
5.2 Backup
O Backup pode ser considerado uma ferramenta de segurança já que a sua finalidade
é manter cópias de informações que poderão sofrer danos ou perdas quando acontecer
algum tipo de ataque. Todos os dados e sistemas de uma empresa devem possuir cópias de
segurança armazenadas em local seguro. Normalmente, o backup é feito em disquete, fita
ou outra mídia portátil que pode ser armazenado para uma utilização futura, já que não é
possível prever quando se pode sofrer um ataque. Além de ataques, outras maneiras de se
perder ou sofrer danos em informações seriam as seguintes: acidentes, desastres, erros de
sistemas ou hardwares, ou falhas humanas, etc [Gomes][Invasão].
auditados são: utilização de correio eletrônico, acessos à internet, arquivos gravados nas
pastas locais das máquinas dos usuários, verificação se os acessos estão compatíveis com
a função dele dentro da empresa, etc [Dias][Sette].
5.4 Logs
• Verificadores de Integridade;
• Detecção local;
• Detecção em rede;
Neste sistema, a avaliação pode ter como base informações previamente cadastradas
em um banco de assinaturas de ataques conhecidos ou através de uma análise do tráfego.
O sistema de detecção em rede deve ter a capacidade de ouvir um segmento de rede,
independente da quantidade de segmentos.
25
5.7 Firewall
Quando o tema a ser discutido é segurança um dos principais elementos que surgem é
o firewall. Ele funciona como uma espécie de barreira entre o tráfego de duas redes
distintas. A partir dessa barreira, é possível controlar e autenticar o tráfego, além de registrar
por meio de logs tudo o que circula pela rede, facilitando uma auditoria. Um firewall pode ser
utilizado também para separar diferentes subredes, grupos de trabalho ou redes dentro de
uma mesma organização [Kurose].
5.7.1 Funcionamento
A função do firewall é fazer a conexão de uma rede segura a uma rede não segura, a
Internet (Figura 5). Antes de liberar o tráfego de pacotes que chegam até ele, o firewall
aplica suas regras e filtros previamente configurados. Isso é executado tanto para o tráfego
de entrada, quanto para o de saída. Um firewall mal configurado pode permitir a entrada de
pacotes maliciosos, já que ele é único canal de entrada e saída de dados [Moitinho][Kurose].
Existem várias vulnerabilidades que nos levam a instalar um firewall, como as
seguintes [Spyder]:
• Controle de acesso;
Funcionalidade primordial a um firewall. Controlar o acesso à rede [Moitinho].
• Autenticação de usuários;
Um firewall que atua em nível de aplicação normalmente utiliza esse conceito,
interrompendo aplicações e exigindo aos usuários que se autentiquem antes
de prosseguirem [Gomes].
• Administração;
Um bom firewall, mesmo que complexo, deve possuir uma interface amigável e
recursos que auxiliem o administrador a gerenciá-lo de forma correta e segura
[Gomes].
28
Agora serão demonstrados através de gráficos os ataques que acontecem com maior
freqüência.
Através desses dados procurou-se estabelecer os tipos de ataques mais comuns e
suas origens, bem como traçar um perfil desses incidentes no país (Brasil) [Cert].
Na figura 6 podem ver vistas as ocorrências de todos os ataques registrados pelo
CERT – Centro de Estudos, Respostas e Tratamento de Incidentes de Segurança no Brasil
– desde de janeiro de 1999 até o mês de setembro de 2005 [Cert].
Figura 6 – Ataque ocorridos desde o ano de 1999 até o ano de 2005 [Cert].
Legenda:
• af: Ataque ao usuário final;
7 RECOMENDAÇÕES
• Não devem ser utilizadas senhas de fácil dedução, devendo as mesmas ser
alteradas periodicamente;
8 CONCLUSÃO
9 REFERÊNCIAS BILBIOGRÁFICAS
GOMES, Olavo José Anchieschi. “Segurança Total”. Makron Books, São Paulo, 2000.
RAMOS, Débora Lopes. “Estudo sobre as principais ameaças e técnicas para obtenção
de falhas de Segurança em Sistemas Corporativos”. 2005. 84 f. Tese (Bacharelado em
Ciência da Computação) – Universidade Federal de Pelotas, Pelotas.
SPYDER, John “Manual Completo do Hacker” Makron Books, São Paulo, 2000, 276
páginas.
35