6

CENTRO ATLNTICO COLECO TECNOLOGIAS

TCNICAS PARA HACKERS SOLUES PARA SEGURANA

Sobre esta Obra

Esta obra tem por objectivo desmistificar as tcnicas utilizadas pelos Hackers para invadir sistemas computacionais, bem como fornecer as melhores solues para impedir essas invases. Esta obra tem uma finalidade puramente didctica, sendo de grande utilidade para responsveis por redes de computadores, fornecedores de servios de Internet e administradores de Intranets, e tambm estudantes para terem conhecimentos das tcnicas que so mais utilizadas pelos Hackers e as principais tcnicas utilizadas para prevenir essas invases. Lembrando: "Hacker no aquele que faz um flood num canal de IRC, nem aquele que manda mail-bombs e muito menos aquele que cria vrus ou que tem prazer em prejudicar os outros utilizadores"; Hacker aquele que ama o seu computador a ponto de transformar um XT inerte num instrumento de desencriptao ou que conhece o terreno que pisa, conhece o TCP/IP em detalhe, sabe todos os comandos do UNIX e os seus parmetros na ponta da lngua e anda sempre em contacto pleno com as novidades do seu mundo.

CENTRO ATLNTICO COLECO TECNOLOGIAS

TCNICAS PARA HACKERS SOLUES PARA SEGURANA

1. Introduo
Este livro foi escrito pois o assunto desperta grande curiosidade em todas as pessoas, e no existem muitas publicaes no mercado mundial sobre esta temtica. Este livro visa mostrar os pontos fracos na segurana dos sistemas computacionais, visando que o programador encontre mtodos para se defender. Em primeiro lugar vamos identificar o termo Hacker: Hacker, originalmente, designava qualquer pessoa que fosse extremamente especializada numa determinada rea. Qualquer "barra" em qualquer assunto poderia ser considerado um Hacker. Somente com a ajuda do cinema americano que o termo Hacker de Computador passou a ser utilizado largamente, mas nem por isso perdeu a sua identidade. Quem no se lembra do filme War Games, onde um mudo, brincando com o seu modem, acede (por "acidente") ao NORAD, simplesmente o computador responsvel pela segurana de guerra dos Estados Unidos da Amrica. Evidentemente, as pesquisas e tcnicas realizadas pelo mudo para descobrir a palavra-chave do suposto jogo (ele no sabia no que estava a "mexer") digna de um Hacker. Pelo menos dos Hackers daquela poca. Isso no quer dizer que este filme foi a base de lanamento de atitudes Hacker por todo o mundo, mas foi um dos responsveis pela dilatao desses pensamentos. J antes disso existiam Hackers. Eram pessoas que trabalhavam em projectos informticos e eram tcnicos altamente especializados. Mas tambm existiam aqueles mudos, que aps descobrirem que invadir um sistema ou lanar um mssil no era to fcil quanto ver um filme ou ler um livro, insistiram e estudaram muito (as maiores virtudes dos Hackers so a fora de vontade e a dedicao aos estudos), conseguiram muitas proezas e hoje, grande parte trabalha na rea de segurana de computadores. O resto est preso (espero que voc faa a opo para trabalhar em segurana de computadores, pois ser preso no muito aconselhvel). A grande maioria dos Hackers jovem. Dizem que uma fase da vida de cada utilizador avanado de computadores. E alm do mais os jovens tm muito mais tempo para estudar e aprender. Depois de crescerem precisam de se preocupar com a vida e passar a trabalhar (geralmente com compuo

10

CENTRO ATLNTICO COLECO TECNOLOGIAS

tadores), deixando de invadir sistemas ou fazer coisas piores. Os poucos que continuam a praticar actos de Hacker so espies industriais ou especialistas em segurana, e passam a fazer um trabalho extremamente profissional, onde vo tentar deter, agora a srio, os invasores perigosos, ou protegerem-se do risco de invadir sistemas. Quase todos os Hackers depois da fase da adolescncia possuem habilitaes literrias universitrias. O Hacker que aprendeu sozinho sempre considerado (pelo menos para os outros Hackers) como mais motivado, e pode ser mais respeitado que o seu equivalente com o canudo. As reas incluem (alm da bvia cincia da computao e engenharia elctrica e electrnica) fsica, matemtica, lnguas e filosofia.

Definies
Hacker: Uma pessoa que possui uma grande facilidade de anlise, assimilao, compreenso e capacidades surpreendentes com um computador. Ele sabe perfeitamente (como todos ns sabemos) que nenhum sistema completamente livre de falhas, e sabe onde procur-las utilizando as tcnicas mais variadas. Cracker: Possui tanto conhecimento quanto os Hackers, mas com a diferena de que, para eles, no basta entrar em sistemas, quebrar cdigos, e descobrir falhas. Eles precisam deixar um aviso de que estiveram l, geralmente com recados malcriados, algumas vezes destruindo partes do sistema, e at destruindo o que encontram. Tambm so atribudos aos Crackers programas que retiram controlos contra cpia em software, bem como os que alteram as suas caractersticas, adicionando ou modificando opes, muitas vezes relacionadas com pirataria. Phreaker: especializado em telefonia. Faz parte das suas principais actividades as ligaes gratuitas (tanto locais como interurbanas e internacionais), reprogramao de centrais telefnicas, instalao de escutas (no aquelas colocadas em postes telefnicos, mas imagine algo no sentido de, a cada vez que o seu telefone tocar, o dele tambm o far, e ele poder ouvir as suas conversas), etc. O conhecimento de um Phreaker essencial para se procurar informaes que seriam muito teis nas mos de malintencionados. Alm de permitir que um possvel ataque a um sistema tenha como ponto de partida fornecedores de acessos noutros pases, as suas tcnicas permitem, no somente ficar invisvel diante de um provvel rastreamento, como tambm forjar o culpado da ligao fraudulenta, fazendo com que o coitado pague o pato (e a conta).

TCNICAS PARA HACKERS SOLUES PARA SEGURANA Guru: O supra-sumo dos Hackers.

11

Agora, fora desses grupos acima, temos inmeras categorias de "noHackers", onde se enquadram a maioria dos pretendentes a Hacker, e a cada dia, surgem novos termos para design-los. Temos como principais: Lamers: Lamer aquele que deseja aprender sobre Hackers, e est sempre a fazer perguntas a toda a gente. Os Hackers, ou qualquer outra categoria, no gostam disso, e passam a insult-los chamando-os Lamer. Ou seja, novato. Wannabe: o principiante que aprendeu a usar algumas receitas de bolo (programas j prontos para descobrir cdigos ou invadir sistemas). Larva: Este j est quase a tornar-se um Hacker. J consegue desenvolver as suas prprias tcnicas de como invadir sistemas. Arackers: Estes so os piores! Os "Hackers-de-araque" so a maioria absoluta no submundo ciberntico. Algo em torno de 99,9%. Fingem ser os mais ousados e espertos utilizadores informticos, planeiam ataques, fazem reunies durante as madrugadas (ou pelo menos at hora em que a me manda dormir), contam casos absurdamente fantasiosos, mas no final de contas no fazem mais do que fazer downloads do site da Playboy ou jogar algum desses "killerware", resultando na mais engraada espcie: a "odonto-Hackers" - "o Hacker da boca para fora". Um outro detalhe que vale a pena lembrar que: os "pseudo-Hackers" fazem questo de escrever de forma absolutamente ilegvel, trocando letras por caracteres especiais que, segundo eles, so similares. Alm disso, muitas palavras podem ser substitudas por outras com grafia um pouco diferente. Os Lamers, por exemplo, podem perfeitamente transformar-se em Lamerz, Lammerz, Lamah, e por a fora... Por incrvel que parea, a maioria das pessoas que acha que Hacker, no . E uma minoria, que obviamente jura no ter nenhum envolvimento com o underground da computao, so Hackers muito experientes mas raramente perigosos. Os Hackers perigosos ficam entre estes dois grupos, pois so experientes mas gostam de aparecer, o que d a impresso de que so muitos, mas na verdade, muitos mesmo so s os artifcios utilizados por eles para descobrir novas maneiras de pendurar uma melancia no pescoo.

TCNICAS PARA HACKERS SOLUES PARA SEGURANA

91

8. Vrus

O que um Vrus?
Um Vrus um programinha, com uma srie de instrues "maldosas" para o seu computador executar. Em geral, ficam escondidos dentro da srie de comandos de um programa maior. Mas eles no surgem do nada! Os vrus ocultam-se em ficheiros executveis, ou seja, em programascom as extenses .EXE ou .COM, ou de bibliotecas partilhadas, de extenso .DLL . Quanto a ficheiros de dados, voc pode abri-los sem medo! Assim, pode abrir tranquilamente os seus ficheiros de som (.WAV, .MID), imagem (.BMP, .PCX, .GIF, .JPG), vdeo (.AVI, .MOV) e os de texto que no contenham macros (.TXT, .WRI). Para que o vrus faa alguma coisa, no basta voc t-lo no seu computador. Para que ele seja activado, passando a infectar o PC, preciso executar o programa que o contm. E isto voc s faz se quiser, mesmo que no seja de propsito. Ou seja, o vrus s activado se voc der a ordem para que o programa seja aberto, por ignorar o que ele traz de mal... Se eles no forem "abertos", ou seja, "executados", o vrus simplesmente fica inactivo, alojado, aguardando ser executado para infectar o computador. Aps infectar o computador, eles passam a atacar outros ficheiros. Se um destes ficheiros infectados for transferido para outro computador, este tambm vai passar a ter um vrus alojado, esperando o momento para infect-lo, ou seja, quando for tambm executado. Da o nome de vrus, pela sua capacidade de auto-replicao, parecida com a de um ser vivo.

92

CENTRO ATLNTICO COLECO TECNOLOGIAS

Como que os Vrus trabalham?

Vrus de disco
Os vrus de disco infectam o BOOT-SECTOR. Esta a parte do disco responsvel pela manuteno dos ficheiros. Da mesma forma que uma biblioteca precisa de um ndice para saber onde se encontram os livros, um disco precisa ter uma tabela com o endereo dos dados armazenados. Qualquer operao de entrada e sada (carregamento ou gravao de um ficheiro, por exemplo), precisaria do uso dessa tabela. Gravar ou carregar um ficheiro numa disquete infectada possibilitaria a activao do vrus, que poderia infectar outras disquetes e o disco rgido.

Vrus de Ficheiro
Este infectam ficheiros executveis ou de extenso .SYS, .OVL, .MNU, etc. Estes vrus copiam-se para o incio ou fim do ficheiro. Dessa forma, ao chamar o programa X, o vrus activa-se, executa ou no outras tarefas e depois activa o verdadeiro programa.

Vrus Multi-partite
Infectam tanto a disquete quanto os ficheiros executveis. So extremamente sofisticados.

Vrus Tipo DIR-II

Alteram a tabela de ficheiros de forma a serem chamados antes do ficheiro programa. Nem so propriamente FILE-INFECTORS nem so realmente BOOT-INFECTORS e muito menos multi-partites. Outras caractersticas e um pouco de histria:

TCNICAS PARA HACKERS SOLUES PARA SEGURANA

93

Porque que os Vrus so escritos?

O chamado vrus de computador um software que capta a ateno e estimula a curiosidade. Esta pergunta foi feita na conveno de Hackers e fabricantes de vrus na Argentina. A primeira resposta foi: Because it's fun (por diverso, entretenimento). Para estudar as possibilidades relativas ao estudo de vida artificial (de acordo com a frase de Stephen Hawkind "Os vrus de computador so a primeira forma de vida feita pelo homem"). Esta proposta seguida por vrios cientistas, incluindo um que ps disposio um vrus seu (inofensivo) para aqueles que estivessem interessados. Existe uma revista electrnica dedicada a isto, chamada Artificial Life e vrios livros sobre o assunto. Para descobrir se so capazes de fazer isso ou para mostrarem para os colegas do que so capazes de fazer com um computador. Para testar os seus conhecimentos de computao. Por frustrao ou desejo de vingana. Muitos autores de vrus so adolescentes. Curiosidade. Algo muito forte, mesmo para aqueles que tm poucos conhecimentos de informtica. Uma das melhores formas de se aprender sobre vrus "criando" um. Para punir aqueles que copiam programas de computador sem pagar direitos de autor. Para conseguir fama. Fins militares. Falou-se sobre isso na guerra do golfo, para esconder o uso de uma outra arma de "atrapalhamento" do sistema de computadores do inimigo. Ainda assim, os vrus para uso militar so uma possibilidade.

94

CENTRO ATLNTICO COLECO TECNOLOGIAS

O que um Vrus de Macro?

Recentemente, vem-se espalhando uma nova espcie de vrus, que hoje j corresponde a mais de 50% do total das infeces. So os famosos "vrus de macro". Uma Macro uma srie de rotinas personalizadas para serem feitas automaticamente no Word, ou no Excel, ou qualquer outro programa que suporte VBA (Visual Basic for Applications), a linguagem usada nas macros. Os vrus de macro mais comuns so os do Word, por ser o programa mais difundido. Voc pode criar uma macro pra acrescentar um cabealho automaticamente assim que clica num boto da barra de ferramentas, ou para abrir o Painel de Controlo apenas com uma combinao de teclas, ou ainda para retirar todas as cedilhas, acentos, etc. de um texto. A macro quase um programa, interno a outro programa. O vrus de macro um vrus feito na linguagem das macros, para funcionar dentro do programa ao qual est ligado. Ao abrir um documento de Word (.DOC) infectado com um vrus de macro, o vrus activado, gravando sobre o ficheiro NORMAL.DOT (modelo geral dos ficheiros do Word) e criando macros que substituem boa parte dos comandos normais do Word. A partir da, quando voc estiver a usar o Word vai comear a verificar os sintomas mais diversos, dependendo do vrus que tiver apanhado. Se verificar algum dos abaixo referidos, provavelmente o seu computador j estar infectado: - quando tenta guardar um ficheiro, ele guarda com a extenso .DOT em vez de .DOC; - todos os ficheiros do Word so gravados assim que voc o fecha, como Doc1.doc, ou Doc2.doc, e assim por diante, sem sequer perguntar se quer guard-los ou no; - uma mensagenzinha fica a correr pelo rodap da janela do Word; - aparecem palavras sem que voc as digite e imediatamente desaparecem; - a impressora pra sem explicao;

TCNICAS PARA HACKERS SOLUES PARA SEGURANA

95

- o computador fica a "trabalhar" (ampulheta) sem que voc pea para ele fazer algo; - retira dos menus todas as menes a macro, de forma que voc fica impedido de manipular as macros para retirar o vrus; - todas as macros personalizadas que voc tenha criado antes so perdidas. Uma vez infectado o ficheiro NORMAL.DOT, todos os outros ficheiros que forem abertos no Word a partir de ento sero infectados. Se voc enviar um ficheiro infectado para algum, por disquete ou e-mail, ele pode infectar o computador do destinatrio, se ele o receber e o abrir no Word, e o ciclo recomea. Os vrus de macro no esto escondidos na forma de um ficheiro executvel (.EXE, .COM, .DLL), mas em inocentes documentos do Word (.DOC) ou numa folha do Excel (.XLS). Trata-se de uma verdadeira revoluo dos vrus. E a est a causa da facilidade com que eles se propagam. As macros transformaram-se em verdadeiras armas postas disposio de quem quer fazer um vrus. Ningum imagina que um texto que a namorada escreveu ou uma folha de clculo que um colega de trabalho mandou possa estar infectado. E a pessoa que lhe enviou o ficheiro com o vrus pode nem saber (e geralmente no sabe) da infeco... Ainda assim bom frisar: mesmo os vrus de macro s infectam o seu computador se voc abrir o ficheiro que o contm. No basta receber o ficheiro infectado, seja por que meio for - necessrio abri-lo para que o vrus seja activado.

Como criar um Vrus de Macro?

Enquanto que criadores de vrus concentraram-se em cdigo que funcionasse ao nvel de sistema operativo, eles, no entanto, negligenciaram as aplicaes. Muitas aplicaes de negcios, tais como folhas de clculo, processadores de texto e bases de dados vm com poderosas linguagens de macro. Muitas aplicaes tm a habilidade de auto-executar macros. Essa combinao fornece um srio perigo para utilizadores de computadores que pensavam que ficheiros de dados no criavam problemas ao seu sistema. Quando nos refererimos a um vrus de macro

96

CENTRO ATLNTICO COLECO TECNOLOGIAS

utilizaremos a sua sigla DMV (document macro vrus) para descrever esse tipo de cdigo. Algumas caractersticas de um DMV incluem: - Um DMV escrito na linguagem macro de uma aplicao. Ele explora a habilidade da aplicao para automaticamente executar a macro em algum evento, tal como a abertura ou fecho de um documento. Uma vez que esse evento ocorre num documento que possui o DMV, o vrus espalha-se (ou algum tipo de cavalo de tria executado). A menos que um vrus convencional ou cavalo de tria esteja no cdigo executvel, o DMV usa a sua aplicao criadora como agente para executar o cdigo. - Os DMVs so extremamente simples de criar. Muitas linguagens macros so uma modificao do BASIC, o qual muito mais fcil de programar do que em linguagem Assembly preferida por muitos escritores de vrus. Como muito macros suportam a capacidade de chamar rotinas externas (tal como funes em ficheiros .DLL), a linguagem de macro pode facilmente se estender para criar vrus sofisticados. - De uma forma simplificada, os DMVs tendem a ser feitos para uma aplicao somente da sua natureza. Isso significa que o vrus apenas infecta documentos com o mesmo tipo de dado, por exemplo, todos os documentos para o Microsoft Word for Windows. Muitas linguagens de macro no so compatveis na passagem de uma aplicao para outra (por exemplo, um documento Word DMV que foi importado pelo Ami Pro, pode no passar o vrus). Uma excepo pode ser a linguagem Microsoft's Common Macro, Visual Basic for Applications. um DMV avanado que pode ser escrito com VBA que se pode mover de uma aplicao para outra. - Uma vez que um DMV especfico para cada aplicao, teoricamente possvel que um documento possa passar de uma plataforma para outra (i.e., sistemas baseados em Intel com Windows, para Motorola/Power PC em sistemas Macintosh). Isso faz com que os DMVs sejam diferentes dos vrus normais, que tendem a ser especficos para uma dada plataforma devido natureza da sua codificao. - Obviamente, existe uma numerosa quantidade de riscos de segurana e privacidade que o utilizador corre quando sem saber usa um documento que possui um DMV. Esses so limitados apenas pela imaginao da pessoa que criou o DMV. Algumas aces maliciosas que so relativamente fceis de implementar incluem: 1. Infectar o seu computador com um vrus (obviamente). 2. Apagar ficheiros de seu disco rgido. 3. Renomear ficheiros existentes.

TCNICAS PARA HACKERS SOLUES PARA SEGURANA

97

4. Copiar ficheiros pessoais do seu disco rgido para um local da rede onde eles podem ser recuperados mais tarde por outra pessoa. 5. Enviar ficheiros sensveis do seu disco rgido para um endereo de email via MAPI (Windows). importante notar que esses riscos no so exclusivos do Word for Windows. Qualquer aplicao que suporta macros automticos um perigo potencial.

Tipos de Vrus de Macro

O Word possui um ficheiro chamado "normal.dot" onde esto todas as configuraes por defeito do Word. Se por algum motivo este ficheiro for eliminado, o Word cria automaticamente outro quando for inicializado. Nveis de vrus de macro: Nvel 1 - Apenas uma brincadeira; Nvel 2 - Apenas uma brincadeira de mau gosto; Nvel 3 - No apenas uma brincadeira. Primeiro voc precisa criar uma macro. Siga os seguintes passos: Entre no Word, feche a janela do documento, no deixe nenhum documento aberto (activo), clique em Ficheiro (File) e depois Macro, coloque no nome da macro "AutoExec" (obrigatrio). Esta macro ser inicializada todas as vezes que o Word for iniciado. Depois clique em 'Criar', elimine as duas linhas que tiver l (Sub MAIN e End Sub) e copie a rotina que tem abaixo. ps: existem outras formas/meios para criar uma macro, mas esta mais simples. Nvel 1 O nvel 1 serve para voc mostrar que sabe muito de Word. Cada vez que o utilizador inicia o Word receber uma mensagem, de alerta ou de qualquer outra coisa que sair da sua cabea. Veja o exemplo a seguir.