Você está na página 1de 35

www.invasao.com.

br

Segurana

Tecnologias Anti-Hacker

www.invasao.com.br

1. Apresentao do Curso
O Objetivo do curso levar aos alunos o conhecimento sobre invases de computadores, desde o motivo at a soluo, passando por vulnerabilidades e como torn-las sem efeito. Inclui tambm conceitos bsicos de rede e de comunicao de dados.

O Curso
Durante o curso ser apresentado material sobre hackers, como agem e o que querem, como se proteger e como detectar um invasor. Sero mostrados alguns fatos acontecidos no mundo da segurana, algumas histrias de hackers famosos e o que lhes aconteceram, bem como algumas histrias dos bastidores.

Opinio
Sobre os Hackers
Conhea seu inimigo como a si prprio, e elabore sua estratgia de defesa e ataque baseadas em suas vulnerabilidades.

O perfil tpico do hacker : jovem entre 15 ~ 25 anos, com amplo conhecimento de redes, conhecimento de programao (geralmente em linguagens como C, C++, Java e Assembler). Contudo, existem diversos tipos de hackers, dos que possuem mais experincia para os que apenas copiam furos de segurana explorados por outros hackers. Temos: White-Hats Os white-hats so os hackers que explorarm problemas de segurana para divulg-los abertamente, de forma que toda a comunidade tenha acesso informaes sobre como se proteger. Desejam abolir a segurana por obscuridade, que nada mais do que tentar proteger ou manter a segurana pelo segredo de informaes sobre o funcionamento de uma rede, sistema operacional ou programa em geral. Seu lema o full disclosure, ou conhecimento aberto, acessvel a todos.

www.invasao.com.br Black-Hats Ao contrrio dos white-hats, apesar de movidos tambm pela curiosidade, usam suas descobertas e habilidades em favor prprio, em esquemas de extorso, chantagem de algum tipo, ou qualquer esquema que venha a trazer algum benefcio, geralmente, e obviamente, ilcito. Estes so extremamente perigosos e difceis de identificar, pois nunca tentaro chamar a ateno. Agem da forma mais furtiva possvel. Crackers As denominaes para os crackers so muitas. Alguns classificam de crackers, aqueles que tem por objetivo invadir sistemas em rede ou computadores apenas pelo desafio. Contudo, historicamente, o nome cracker tem uma relao com a modificao de cdigo, para obter funcionalidades que no existem, ou de certa forma, limitadas. Um exemplo clssico so os diversos grupos existentes na Internet que tem por finalidade criar patches ou mesmo cracks que modificam programas comerciais (limitados por mecanismos de tempo por exemplo, como shareware), permitindo seu uso irrestrito, sem limitao alguma. Phreakers Apesar de muitos considerarem um cientista russo chamado Nicola Tesla (que na virada do sculo realizava experincias assutadoras at para os dias de hoje com eletricidade) como o primeiro hacker da histria, os primeiros hackers da era digital (ou seria analgica ?) lidavam com telefonia. Sua especialidade interferir com o curso normal de funcionamento das centrais telefnicas, mudar rotas, nmeros, realizar chamadas sem tarifao, bem como realizar chamadas sem ser detectado (origem). Com a informatizao das centrais telefnicas, ficou inclusive mais fcil e acessvel o comprometimento de tais informaes. Kevin Mitnick, considerado o maior hacker de todos os tempos (veremos que nem tanto a mdia excerceu uma influncia decisiva), era um timo phreaker. Na fase final de sua captura, quando os agentes de governo ajudados pelo Tsutomu Shimomura estavam chegando a um nome, ele conseguia enganar as investigaes atravs do controle que tinha da rede de telefonia da GTE (consessionria telefnica dos EUA). Wannabes Os wannabes ou script-kiddies so aqueles que acham que sabem, dizem para todos que sabem, se anunciam, ou divulgam abertamente suas faanhas, e usam em 99% dos casos scripts ou exploits conhecidos, j divulgados, denominados receitas de bolo, facilmente encontradas em sites como www.rootshell.com, ou xforce.iss.net. Estes possuem relao direta

www.invasao.com.br com a maioria dos usurios da Internet Brasileira. So facilmente encontrados em frums de discusso sobre o tema, e principalmente no IRC. A maioria no possui escrpulo algum, portanto, tomar medidas de cautela aconselhvel. Os wannabes geralmente atacam sem uma razo ou objetivo, apenas para testar ou treinar suas descobertas, o que nos torna, usurios Internet, potenciais alvos.

Exemplo / Estudo de Caso: TakeDown


Para entender melhor o que pensa um tpico black-hat, um phreaker, e um white-hat, analisemos o caso de Kevin Mitnick e Tsutomu Shimomura. Kevin Mitnick a um bom tempo (meados dos anos 80) j havia sido investigado pela polcia, por atividades ilcitas ligadas a segurana de computadores, sempre relacionadas a sua atuao como hacker. Por volta de 1992 ~ 1994, Tsutomu Shimomura e outro hacker conhecido, chamado Mark Lotto, desassemblaram o cdigo do sistema operacional de um celular da OKI. Tsutomu em si trabalhava como consultor para a Motorola. Ningum sabe ao certo o que fez o Kevin tentar invadir as mquinas de Tsutomu, contudo, a comunidade tem uma certeza: no foi uma ataque simples, foi algo planejado. Tudo indica que o objetivo de Kevin era conseguir obter os cdigos fonte dos celulares que Tsutomu possua, para posteriormente vend-los. Tudo comeou quando ele conseguiu controlar as centrais telefnicas da GTE. Kevin discava de um celular, e raramente de casa, de uma cidade chamada Raleigh, na Carolina do Norte, USA. Assim, invadiu as mquinas de um provedor chamado The Well, que usava para ter acesso a Internet. Ele usou como ponto de partida os servidores do The Well para o ataque. Enquanto isso, aproveitou seu acesso invisvel atravs do The Well para invadir um outro provedor, chamado NetCom, de onde roubou milhares de cartes de crdito. Aps isso, invadiu uma mquina em toad.com. De l, iniciou o ataque rede de Tsutomu Shimomura. Atravs de um antigo exploit do finger, e usando um pouco de port scanning, ele conseguiu descobrir que uma mquina de Tsutomu, chamada Ariel, tinha uma relao de confiana com outra mquina na rede de Tsutomu. Ele tirou esta mquina do ar (atravs de um ataque do tipo DoS), utilizou uma tcnica chamada IP Spoofing, para a mquina Ariel pensar que estava sendo acessada pela mquina na qual confiava. Da pra frente, ficou fcil. Observe que Kevin usou de uma srie de artifcios para no ser detectado, desde a sua ligao telefnica at seu acesso aos computadores de Tsutomu, e que sua motivao tambm era financeira. Tsutomu conseguiu chegar a Kevin devido a um rastro deixado em Ariel. Nela, algumas informaes apontavam para a mquina em quem confiava, contudo, como isso poderia ocorrer, uma vez que a mesma estava fora do ar ? Descobriu ento, que as conexes tinham partido de toad.com. Assim, iniciou uma caada que vrios meses depois, chegou em Raleigh, e culminou com a

www.invasao.com.br captura do Kevin (com ajuda do FBI) em fevereiro de 1995, atravs do sinal de seu celular, que usava para se conectar. O mais interessante de tudo que Kevin no era especialista em UNIX (sistema usado por Tsutomu, pelo toad.com, pela Well). Ele era na verdade especialista em VMS / VAX, um sistema da Digital. Ele parecia ter profundos conhecimentos sobre sistemas da Digital. Tudo indica que Kevin seguiu vrias dicas de algum em Israel, que at hoje, ningum coseguiu identificar. Kevin forneceu vrias informaes sobre como invadir sistemas VMS / VAX, e recebeu as dicas de como usar o IP spoofing, que, na poca, era uma tcnica recente, nunca testada, apenas discutida academicamente. Existe um site na Internet que possui um log demonstrando at a sesso de telnet que Kevin usou, algumas chamadas que ele teria realizado para o Mark Lotto, demonstrando seu interesse pelo cdigo fonte dos celulares, e algumas gravaes da secretria telefnica do Tsutomu, que supostamente, teriam sido feitas pelo Kevin . O site pode ser acessado em: http://www.takedown.com Existem tambm dois livros que contam a histria. Um, com a viso e Kevin, escrito pelo Jonattan Littman, e outro, com a viso de Tsutomu, escrito pelo John Markoff em conjunto com ele. Este ltimo possui uma edio nacional, pela Companhia das Letras. Chama-se Contra-Ataque. O livro escrito pelo Littman chama-se The Fugitive Game: online with Kevin Mitnick. Ambos os livros podem ser encontrados online, em livrarias como Amazon.com, por menos de 20 dlares cada. Kevin Mitnick foi solto em 21 de janeiro de 2000, e est sobre condicional. Boatos dizem que o governo Americano est usando Kevin Mitnick como consultor de segurana. Ningum sabe o paradeiro de Tsutomu Shimomura.

www.invasao.com.br

2. Entendendo Redes e a Internet


Introduo em Redes
Conceito de Redes
As redes de computadores foram criadas a partir da necessidade de se compartilhar dados e dispositivos. Com a distribuio do dado, valioso ou no, tal ambiente passou a ser alvo de um estudo de vulnerabilidades, tanto por parte dos administradores conscientes, quanto por potenciais ameaas (sabotagem ou espionagem industrial por exemplo). Contudo, para que a comunicao de dados ocorra entre computadores, necessrio que uma srie de etapas e requisitos sejam cumpridos. Podemos dividir a comunicao em rede, didaticamente, em 4 camadas: a parte fsica (meio de transmisso placas de rede, cabeamento...), a camada de endereamento / roteamento (responsvel pelo endereamento e pela escolha do melhor caminho para entrega dos dados), a parte de transporte (protocolo de comunicao responsvel pelo transporte com integridade dos dados), e a camada de aplicao (que faz interface com o usurio). Se algum elemento de alguma destas camandas falhar, provavelmente no haver comunicao.

TCP/IP
O TCP/IP (Transmission Control Protocol / Internet Protocol), uma pilha de protocolos que vem sendo modelada a dcadas, desde a criao de uma rede chamada ARPANET, em meados dos anos 60, nos EUA. Ao contrrio do que muitos acham, no apenas um protocolo de comunicao, mas uma pilha deles. Essa pilha de linguagens de comunicao permite que todas as camadas de comunicao em rede sejam atendidas e a comunicao seja possvel. Todas as pilhas de protocolo, de uma forma ou de outra, tem de atender a todas as camadas, para permitir que os computadores consigam trocar informaes. Podemos fazer uma analogia de uma pilha de protocolos com a comunicao verbal. Se algum fala com outra pessoa, e esta o entende, porque todas as camadas para que a fala seja entendida foram atendidas. Imagine que, para que duas pessoas se comuniquem verbalmente, ser necessrio:

www.invasao.com.br 1. que ambas saibam o mesmo idioma 2. que ambas tenham toda a estrutura fisiolgica para que emitam som (voz cordas vocais, lngua, garganta, pulmes, etc.) 3. que ambas possuam toda a estrutura fisiolgica para que ouam o som (orelha, ouvido interno, tmpanos, etc.) Nesta pilha de protocolos, temos como mais importantes:

ARP (Address Resolution Protocol)


O ARP o protocolo responsvel pelo mapeamento ou associao do endereo fsico ao endereo lgico, de computadores numa mesma rede. Ele faz isso atravs do processo exemplificado no tpico anterior.

IP
O Internet protocol o responsvel pelo endereamento lgico de pacotes TCPIP. Alm disso, responsvel pelo roteamento destes pacotes, e sua fragmentao, caso a rede seguinte no possa interpretar pacotes do mesmo tamanho. O mais importante para entendermos o funcionamento do IP entender como feito seu endereamento lgico. Um endereo IP algo parecido com isto: 200.241.236.94 Apesar de aparentemente no ter muita lgica, este endereo contm uma srie de informaes. A primeira delas que, neste nmero esto presentes a identificao da rede na qual o computador est ligado, e o seu nmero, em relao a esta rede. Detalhe: o computador NO interpreta este nmero acima como 4 cadeias decimais separadas por pontos (esta representao apenas para tornar nossas vidas mais fceis). Ele entende como 4 octetos, ou 4 campos de 8 bits: 11001000.11110001.11101100.01011110 Algumas concluses e fatos sobre endereos IP: 1. QUALQUER endereo iniciado por 127, considerado endereo de diagnstico, e representa sua prpria interface (tambm chamado de loopback); 2. O endereamento IP usado hoje chamado de IP verso 4. O nmero de endereos IP em uso preocupa vrios especialistas. Um dos projetistas da pilha, Vincent Cerf, previu que at 2008, todos os endereos estaro em uso. Para isso, j existe em funcionamento uma

www.invasao.com.br nova verso, chamada de IP verso 6, que ter como endereamento 128 bits, ao invs dos 32 bits do IP verso 4; 3. Para entender as vulnerabilidades e como funciona a maioria dos mecanismos de ataque e defesa, necessrio enteder o conceito bsico do endereamento IP; 4. A pilha TCP/IP vem sendo modificada desde a dcada de 60. Como seu design bastante antigo, existem diversas vulnerabilidades inerentes ao protocolo, que so bastante usadas por hackers; 5. cada octeto no pode ter um valor decimal acima de 255 afinal, 8 bits somente conseguem assumir 256 combinaes diferentes, o que d, em decimal, a contagem de 0 a 255. Problemas comuns de configurao IP: 1. mscara errada; 2. endereo do gateway (roteador) errado; 3. poro rede errada, ou endereo IP duplicado.

ICMP (Internet Control Message Protocol)


A funo do ICMP basicamente de diagnstico e tratamento de mensagens. Atravs dele, possvel determinar por exemplo, quanto tempo um pacote est demorando para ir a uma mquina remota e voltar (round trip), bem como determinar se houve perda de pacotes durante a transmisso. Com ele, tambm possvel determinar qual o caminho que um pacote est seguindo a partir de uma mquina. O ICMP tambm possui outras funes como o SOURCE_SQUENCH. Esta funo permite ao protocolo IP saber se a taxa de transmisso est muito rpida entre redes. Quando um roteador recebe um pacote ICMP SOURCE_SQUENCH, ele sabe que ter de diminuir a velocidade para no saturar o prximo roteador. Existem outros tipos de pacotes ICMP, como o perigoso SOURCE_ROUTING, que possibilita a troca temporria de uma rota.

TCP (Transmission Control Protocol)


O protocolo TCP um protocolo de transporte, responsvel pela entrega correta dos pacotes. Sua principal caracterstica a confiabilidade. Para cada pacote ou conjunto de pacotes que envia, espera do destinatrio uma confirmao da chegada dos mesmos. Caso isso no ocorra, ou o pacote chegue corrompido, ele tratar de efetuar a restransmisso. Ele tambm coloca nos pacotes um nmero de sequncia, para que o destino possa remontar o dado original, caso os pacotes sigam por caminhos diferentes ou cheguem atrasados (fora de ordem). Este nmero de sequncia tambm usado como recurso de segurana.

www.invasao.com.br

UDP (User Datagram Protocol)


O UDP assim como o TCP, tambm um protocolo de transporte. Contudo, no possui nenhuma checagem de erros, confirmao de entrega ou sequenciamento. Ele muito utilizado em aplicaes que necessitem de trfego urgente, e no sejam to sensveis a algumas perdas de pacotes. Exemplos de aplicaes que usam UDP como transporte: transmisso de udio e video pela rede (RealPlayer, Realvideo ou Media Player), jogos online (como Quake, HalfLife). Pela falta do nmero de sequncia ou confirmao de conexo, trfego UDP muito mais vulnervel em termos de segurana.

DNS (Domain Name System)


No final da dcada de 70, comearam a pensar numa forma mais fcil de tratar computadores ligados a uma rede TCPIP. Imagine que para estabelecer uma conexo, voc deve fornecer o endereo IP do destino, e o servio que deseja usar (e a porta), e o transporte. Decorar dezenas de endereos IP no uma tarefa fcil, to pouco prtica. O DNS foi concebido para evitar este transtorno. Atravs dele, cada host recebe um nome, mais fcil de aprender, dentro de uma hierarquia, o que ajuda ainda mais na hora de identific-lo. Um exemplo seria www.invasao.com.br. Este caso uma referncia ao servidor www, dentro do domnio invasao.com.br. No Brasil, a entidade que controla o registro de nomes (de forma a impedir fraudes e utilizao indevida / registro indevido) a FAPESP Fundao de Fomento a Pesquisa do Estado de So Paulo.

Protocolos de Aplicao
Em cima da infra-estrutura fornecida pelos protocolos descritos at agora, funcionam os protocolos de aplicao. Estes fazem a interface com o usurio, ou com a aplicao do usurio. Exemplos de protocolos de aplicao: HTTP (HyperText Transfer Protocol), FTP (File Transfer Protocol), SMTP (Simple Mail Transfer Protocol), SNMP (Simple Network Management Protocol), POP3 (Post Office Protocol v.3), TELNET, e assim por diante. Cada protocolo de aplicao se comunica com a camada de transporta atravs de portas de comunicao. Existem 65536 portas possveis, e por conveno, as portas de 1 a 1023 so conhecidas como Well Known Port Numbers, portas privilegiadas ou portas baixas, que possuem servios mais comuns previamente associados. Cada protocolo de aplicao precisa de uma porta, TCP ou UDP, para funcionar. Os mais antigos possuem suas portas padro j determinadas. Exemplo:

www.invasao.com.br Protocolo / Aplicao FTP TELNET SMTP WINS NameServer HTTP POP3 SNMP SNMP trap Porta Padro 21 23 25 42 80 110 161 162 Transporte TCP TCP TCP UDP TCP TCP UDP UDP

As portas acima de 1023 so denominadas portas altas, e so usadas como end points, ou pontos de devoluo de uma conexo. Imagine uma conexo como um cano de gua conectando duas casas. A diferena que neste cano, a gua pode ir em qualquer sentido. Portanto, ao tentar ler seu correio eletrnico, provavelmente usar um protocolo chamado POP3, que funciona na porta 110. Seu computador estabelecer uma conexo com o servidor de correio, na porta 110 remota, e 1026 (por exemplo) localmente. A porta local na maioria dos protocolos, uma porta acima de 1023, desde que no esteja sendo usada.

Sockets (soquetes de comunicao)


Os sockets so a base para o estabelecimento da comunicao numa rede TCP/IP. Atravs dele que a transferncia de dados se torna possvel. Cada conexo montada por um socket, que composto de 3 informaes: 1. endereamento (origem e destino) 2. porta origem / destino 3. transporte Portanto, no caso acima, ao tentar ler seu correio, um socket ser estabelecido entre sua mquina e o servidor de correio. Para mont-lo, precisamos: 1. do seu endereo IP e do endereo IP destino 2. porta origem / destino (neste caso, porta destino 110, origem 1026) 3. transporte (TCP)

Gerenciando Erros de Comunicao


Por padro, existem alguns utilitrios presentes na pilha TCPIP que possibilitam ao usurio diagnosticar problemas. Alguns dos utilitrios mais usados so:

www.invasao.com.br

PING (Packet INternet Grouper)


Este utilitrio utiliza o protocolo ICMP para diagnosticar o tempo de reposta entre dois computadores ligados numa rede TCP/IP. A partir da, podese ter uma estimativa do trfego (se o canal de comunicao est ou no saturado) bem como o tempo de latencia do canal. Ao contrrio do que muitos pensam, a latencia de um link est tambm diretamente ligada a velocidade do roteador (em termos de processamento) e no somente a velocidade do canal de comunicao.

...Ento, O que a Internet


Uma vez explicados os conceitos da pilha de protocolos usada na Internet, e seu funcionamento, fica mais fcil entend-la. A Internet nada mais do que uma rede enorme, a nvel mundial, que usa como linguagem de comunicao, a pilha de protocolos TCP/IP. Como tal, herda uma srie de vulnerabilidades inerentes prpria pilha TCP/IP, alm de problemas e bugs que possam existir nas aplicaes que usam esta infra-estrutura de rede. Muitos perguntam naturalmente como a Internet pode funcionar. Seu conceito bastante simples. Na dcada de 60, criou-se na Universidade de Berkeley, em Chicago, uma rede experimental, para utilizao militar. Esta rede cresceu muito, dada a necessidade das prprias universidades de trocarem informaes. Ela se chamava ARPANET. No incio da dcada de 80, esta rede passou a utilizar apenas uma pilha de protocolos padro, que na poca passou a se chamar TCP/IP. Pouco tempo depois, ocorreu a abertura desta rede para fins comerciais, o que, ao longo de pouco mais de 10 anos, a transformou no que conhecemos hoje. A comunicao na Internet provida atravs de backbones, ou espinhas dorsais de comunicao (link de altssima velocidade) mantidos por provedores, pontos de presena, governos, entidades de ensino, e empresas privadas. Contudo, para participar dela, uma srie de requisitos precisam ser obedecidos. O primeiro deles relativo ao endereamento. Vimos que o endereo IP, numa rede, precisa ser distinto. Portanto, em toda a Internet, no pode haver dois endereos IP iguais. Assim sendo, para uma mquina se comunicar com outras na Internet, ela deve possuir um endereo vlido. Cada provedor de backbone possui um lote, ou intervalo de endereos IP que pode fornecer aos seus clientes. Aqui no Brasil, podemos citar a Embratel como provedora de backbone. Ao requisitar um link com a Internet Embratel, receber juntamente com o link, um intervalo de endereos para ser usado por seus computadores, ligados ao backbone da Embratel. A nvel mundial, o rgo que gerencia os endereos IP vlidos chama-se IANA (Internet Assigned Numbers Authority).

www.invasao.com.br

Para que a comunicao seja possvel a nvel mundial, cada detentor de uma rede (ou espao de endereamento) responsvel por estabelecer a comunicao com seu provedor de backbone, bem como configurar seu roteador ou roteadores com as rotas necessrias ao funcionamento de sua sub rede. Se levarmos isso a uma escala mundial, cada detentor de uma sub rede fazendo com que ela seja acessvel atravs de um roteador corretamente configurado, entendemos como funciona a Internet a nvel administrativo (por mais incrvel que parea).

www.invasao.com.br

3. Entendendo a Invaso
Na Internet Brasileira, a quantidade de vtimas, sejam corporativas ou o usurio final, s no maior pela falta de conhecimento que nossos hackers wannabe possuem, no pela quantidade de investimentos ou medidas de contra-ataque adotadas, que so desprezveis.

O Porqu da Invaso
Os motivos so diversos. Variam desde a pura curiosidade pela curiosidade, passando pela curiosade em aprender, pelo teste de capacidade (vamos ver se eu sou capaz), at o extremo, relativo a ganhos financeiros, extorso, chantagem de algum tipo, espionagem industrial, venda de informaes confidenciais e, o que est muito na moda, ferir a imagem de uma determinada empresa ou servio (geralmente, a notcia de que uma empresa foi invadida proporcional a sua fama e normalmente um desastre em termos de RP). As empresas hoje em dia investem quantias fantsticas em segurana, mas no no Brasil. O retrato do descaso segurana de informaes no Brasil claramente traduzido na falta de leis neste sentido. Alm disso, existe um fator agravante: quando existir o interesse em elaborar tais leis, sero por indivduos que no tem por objetivo principal a segurana em si. O resultado sero leis absurdas, que iro atrapalhar mais do que ajudar. Um exemplo disso o que vem ocorrendo em alguns estados nos EUA. Nestes estados, a lei chega a ser to restritiva que at testes de vulnerabilidade so considerados ilegais, mesmo com o conscentimento da empresa contratante do servio. Isto no aspecto empresarial. No caso do usurio final, esse est entregue sorte. No existe nenhum servio de segurana gratuito, que possa ser utilizado pelo usurio. De qualquer forma, existem diversas ferramentas e procedimentos que podem ser usados para aumentar o nvel de segurana de seu computador, digamos, em casa, que acessa a Internet por um link discado. justamente neste nicho de mercado em que esto as principais vtimas, que inclusive, no so notcia no dia seguinte a uma invaso. A quantidade de wannabes enorme, e a tendncia aumentar. Os wannabes esto sempre procura de um novo desafio, e o usurio final na maioria das vezes a vtima preferida, JUSTAMENTE pela taxa de sucesso que os Wannabes tem em relao ao nmero de ataques realizados.

www.invasao.com.br

Ponto de Vista do White-hat


O white-hat geralmente um programador bem sucedido, que, na grande maioria das vezes, contratado como consultor de segurana. Nestes casos, ele tambm recebe o nome de Samurai. Ao descobrir uma falha ou vulnerabilidade, envia um how-to, ou procedimento para que o problema seja recriado, para amigos ou pessoas de convvio prximo, que tambm estejam envolvidas com segurana ou desenvolvimento. Uma vez confirmada a falha, ela reportada em listas de discusso que debatem o tema, onde os maiores especialistas se encontram. Exemplos de listas:

NTBugtraq
A lista NTBugtraq uma lista moderada por um canadense chamado Russ Cooper. Ela discute segurana em ambiente Windows NT e 2000. O nvel de barulho ou de informaes que no dizem respeito ao assunto muito baixo (Russ bem rigoroso na moderao do grupo) portanto, a grande maioria das informaes de nvel alto. Para assin-la, basta enviar uma mensagem para: listserv@listserv.ntbugtraq.com e no corpo da mensagem: subscribe ntbugtraq Primeiro_nome Sobrenome Contudo, antes de assinar esta lista, aconselhvel ler a FAQ da mesma em: http://ntbugtraq.ntadvice.com/default.asp?pid=31&sid=1

NT Security
A lista NT Security uma lista NO moderada (espere por dezenas de mensagens diariamente), mantida por uma empresa chamada ISS (Internet Security Systems). Para assin-la, a forma mais fcil ir no seguinte endereo: http://xforce.iss.net/maillists/ Os white-hats (os black-hats e crackers tambm) se mantm muito bem atualizados. Ser inscrito em diversas lista de discusso, ler muito sobre o tema e visitar sites de segurana essencial. Alguns sites muito bons sobre o tema: http://www.securityfocus.com/ http://www.hackers.com.br

www.invasao.com.br

Ponto de Vista do Black-Hat

O black-hat possui tanta habilidade quanto o white-hat. Porm, ao descobrir uma nova vulnerabilidade, no publicar esta na Internet: usar para fins geralmente ilegais, em proveito prprio. Possui tambm profundos conhecimentos de programao, e geralmente est empregado em alguma empresa de desenvolvimento de sistemas, ou como programador-analista, ou como responsvel pelo suporte. Hoje em dia, podemos encontrar black-hats em empresas de comunicao, assim como em provedores de acesso Internet (ISPs). Contudo, ao contrrio do white-hat, wannabe ou cracker, o black-hat far de tudo para manter sua identidade secreta, bem como suas atividades ilegais. A prpria natureza ilegal de suas realizaes o mantm afastado de qualquer publicidade. A maioria dos black-hats possui algum tipo de identidade digital, ou pseudnimo na Internet, que afasta qualquer possibilidade de identificao, como um email free (contas free de correio eletrnico, com cadastro errado), e acessa a Internet por servidores de Proxy alheios (uma lista de servidores proxy pode ser encontrada no anexo 6). Possui contas de acesso a Internet em diversos provedores, de preferncia em provedores muito pequenos ou do interior, que no possuem um sistema exato para identificao de chamadas ou conexes. Hoje em dia, provedores gratuitos fornecem este acesso de forma bastante satisfatria, principalmente em grandes cidades. Provedores gratuitos que no possuem senhas individualizadas, s podem identificar um usurio pelo nmero da chamada. a onde entra o Phreaker. Contudo, no Brasil, em grandes cidades, as companhias telefnicas NO utilizam o sistema BINA (B Identifica Nmero de A), por motivos de carga imposta s centrais telefnicas. A troca das informaes de caller ID necessrias identificao do nmero origem de uma chamada gera uma utilizao maior das centrais. Muitas centrais que j esto em sua capacidade mxima no conseguiriam operar com as informaes de Caller ID habilitadas. Assim sendo, se torna praticamente impossvel identificar a origem de uma chamada, por parte de um provedor de acesso. Mesmo assim, teramos o sistema de tarifao da companhia telefnica, que, judicialmente, poderia comprovar a origem de uma ligao. Contudo, existem vrias formas de se burlar a tarifao. Uma delas discar de um telefone pblico isolado, em um horrio de nenhum movimento (madrugada). Outra opo roubar uma linha telefnica diretamente em um quadro de conexes de um quarteiro, ou at mesmo no prprio poste de iluminao pblica, ou em quadros de telefonia de um condomnio, por exemplo. A terceira opo seria usar conhecimentos de phreaking para evitar que a companhia telefnica consiga obter a identificao da chamada.

www.invasao.com.br Independente do mtodo utilizado, o esforo empregado na identificao ser proporcional ao efeito das aes de um hacker. Um black-hat pode perfeitamente usar os mtodos descritos acima, de conexo atravs de um provedor gratuito, apenas para identificar ou obter informaes necessrias ao seu trabalho. Uma vez determinada uma abordagem ou traada uma metodologia para se realizar uma invaso, a sim, mtodos mais avanados podem ser usados, como roubo de linha (conhecido no Brasil como papagaio) ou at phreaking, impedindo sua identificao. Alm do black-hat, temos os crackers e os wannabes, que de certa forma, poderiam ser enquadrados como black-hats, mesmo no tendo conhecimento para tal. Os crackers faro ou tentaro fazer uma invaso apenas pelo desafio, ou para enaltecer seu ego, junto ao espelho, ou junto comunidade da qual participa. Neste aspecto, o wannabe possui mais ou menos o mesmo ponto de vista. Contudo, o wannabe usa mais suas histrias para se afirmar dentro do seu grupo social do que o cracker. Um exemplo clssico do comportamento de um cracker foi o demonstrado pelo Kevin Poulsen, hacker bastante conhecido, que foi preso nos EUA por ter invadido a rede de defesa (ARPANET). Um resumo sobre ele pode ser encontrado em: http://www.zdnet.com/zdtv/thesite/0797w4/iview/iview747_072497.html Como demonstrado, esta uma diferena bsica: o cracker possui algum conhecimento e mais objetivo em suas realizaes. O wannabe geralmente no organizado, e tenta testar em tudo e em todos as novidades que conseguir obter. Este mais perigoso, pois pelo fato de atirar em todas as direes, pode atingir qualquer um, eu, voc, ou algum conhecido / famoso. tambm o mais fcil de cair nas mos da justia, pela enorme trilha de pistas que deixa no caminho por onde passa.

Vulnerabilidades em meu sistema


Todo e qualquer sistema, cdigo, script ou programa, vulnervel a bugs. Todos estes so escritos por mos (dedos) humanas, e concebidos por mentes humanas, sujeitas a falhas. Por consequncia, tambm esto sujeitos falhas. A grande maioria dos furos de segurana surgem de bugs no cdigo original. Contudo, nem todos os bugs so furos de segurana. Obviamente, se um bug surge em uma aplicao de editorao de imagens ou texto, no necessariamente estar relacionada a segurana. Porm, se este bug descoberto e existe no software do firewall que sua empresa usa, ou voc possui instalado em seu computador, a sim, estar relacionado diretamente com segurana. inclusive importante observar que muitos destes bugs

www.invasao.com.br surgem pela interao de programas. Digamos, que o programa original, instalado em um contexto onde realiza suas tarefas sozinho, no apresente falhas. Mas, a partir do momento que posto para trabalhar em conjunto com outro programa, expe algum bug ou falha operacional. Estas por sinal so as mais difceis de diagnosticar, pois geralmente apresentam caractersticas intermitentes.

Que Componentes So Vulnerveis


Qualquer um. Principalmente se este est ligado diretamente a algum servio de rede. Existem diversos tratados, estudos e documentos discutindo estatsticas de produo de bugs. Contudo, uma regra bsica que sempre trar um bom aproveitamento com relao segurana a seguinte: menos cdigo no ar, menos bugs, menos problemas de segurana.
Axioma 1 (Murphy) Todos os programas tm bugs. Teorema 1 (Lei dos Programas Grandes) Programas grandes possuem ainda mais bugs do que o seu tamanho pode indicar. Prova: por inspeo Corolrio 1.1 Um programa relativo a segurana possui bugs de segurana. Teorema 2 Se voc no executar um programa, no importar se ele possui ou no bugs. Prova: como em todos os sistemas lgicos, (falso verdadeiro) = verdadeiro.

Corolrio 2.1 Se voc no executar um programa, no importar se ele possui ou no bugs de segurana. Teorema 3 Mquinas expostas devem rodar to poucos programas quanto possvel; os que rodarem, devem ser to pequenos quanto o possvel. Prova: corolrios 1.1 e 2.1 Corolrio 3.1 (Teorema Fundamental dos Firewalls) A maioria dos hosts no consegue atender s nossas necessidades: eles rodam programas demais que so grandes demais. Desta forma, a nica soluo isolar atrs de um firewall se voc deseja rodar qualquer programa que seja. (Firewalls and Internet Security: Repelling the Wily Hacker William Cheswick / Steven Bellovin)

Concluso: quanto menos servios no ar, menor a possibilidade do computador apresentar uma falha de segurana.

www.invasao.com.br

Plataforma Windows: Windows 9x


O Windows 9x (95 ou 98) no foi concebido com segurana em mente. Contudo, a Microsoft esqueceu que, com o advento da Internet, alguma segurana deveria existir por padro no sistema para evitar ataques pela Internet, para usurios deste sistema. De qualquer forma, existem alguns procedimentos que qualquer um pode adotar para tornar seu computador windows 9x mais seguro. Obviamente, praticamente impossvel ter uma funcionalidade de servidor de algum tipo, exposto Internet, aliada segurana, com este sistema operacional. A principal medida que deve ser adotada a remoo do compartilhamento de arquivos e impressoras para redes Microsoft, no painel de controle. Caso seu computador participe de uma rede, dentro de uma empresa por exemplo, consulte o administrador da rede ANTES de realizar qualquer alterao. As empresas geralmente possuem polticas internas para tais configuraes. Veja: Atravs do cone Rede no painel de controle, se tem acesso caixa de dilogo ao lado. L, voc poder encontrar o componente Compartilhamento de arquivos e impressoras para redes Microsoft. Este componete transforma o Windows 9x em uma espcie de servidor de rede que, se configurado de forma incorreta, poder abrir seu computador para qualquer invasor. Se no for possvel remover o componente, pea proprie-dades do adaptador dial-up (como na imagem acima), v em Ligaes e desmarque a opo Compartilhamento de arquivos e impressoras para redes Microsoft. Isso far com que o componente servidor do Windows 9x no esteja ativo atravs de sua conexo via modem / dial-up. Alm da configurao de rede de um computador Windows 9x, existem outros aspectos que devem ser observados. O primeiro deles em relao atualizaes. O Windows 9x possui um servio bastante interessante, chamado Windows Update. Atravs dele, quando conectado na Internet, voc poder atualizar seu sistema automaticamente. Basta clicar o cone Windows Update no menu iniciar. Manter o seu sistema sempre atualizado primordial para manter a segurana. O segundo aspecto em relao a que servios seu computador est iniciando automaticamente ao ser ligado / inicializado. Olhe dentro do grupo Iniciar por programas estranhos, e nas seguintes chaves no registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesHKEY_LOCAL _MACHINE\Software\Microsoft\Windows\CurrentVersion\Run Por padro, apenas o

systray e algum programa anti-virus devem estar listados. Se em algumas destas linhas est aparecendo algum programa que voc tenha pego da

www.invasao.com.br Internet recentemente, aconselhvel instalar um anti-virus atualizado o mais rpido possvel. Provavelmente um cavalo-de-tria. Indo um pouco mais alm, voc pode executar o comando netstat an para verificar se seu computador est configurado para escutar em alguma porta suspeita. Isto tambm pode indicar algum cavalo-de-tria. Ao digitar o netstat an voc ter como resposta algo assim:
Microsoft(R) Windows 98 (C)Copyright Microsoft Corp 1981-1999. C:\WINDOWS\Desktop>netstat -an Conexes ativas Proto TCP TCP TCP UDP UDP Endereo local 200.249.213.241:137 200.249.213.241:138 200.249.213.241:139 200.249.213.241:137 200.249.213.241:138 Endereo externo 0.0.0.0:0 0.0.0.0:0 0.0.0.0:0 *:* *:* Estado LISTENING LISTENING LISTENING

C:\WINDOWS\Desktop>

Essa a tpica resposta de um computador com uma placa de rede, que no est conectado Internet, e que acabou de ser iniciado. Note que ele est escutando nas portas 137, 138 e 139. Para um computador Windows 9x, isso normal. Contudo, se voc no realizou a instalao de nenhum programa de rede em seu computador que o transforme em algum tipo de servidor, e ainda assim portas estranhas aparecerem listadas, isto quer dizer que algo est errado. Uma lista de portas que indicam cavalos-de-tria pode ser encontrada no anexo 3. Porm, alguns destes cavalos-de-tria usam portas que por padro, so usadas por servios conhecidos, como FTP File Transfer Protocol (porta 20 e 21), HTTP Hypertext Transfer Protocol (porta 80) e assim por diante. Portanto, antes de imaginar que est infectado, certifique-se de que tais servios no estejam rodando em seu computador. Uma lista com as portas privilegiadas (conhecidas como Well known port numbers) pode ser encontrada no anexo 4, bem como uma lista de portas no privilegiadas, acima de 1024, podem ser encontradas no anexo 5. Caso o material no esteja mo e uma consulta seja necessria, dentro da pasta \WINDOWS\ (Windows 9x) ou \WINNT\SYSTEM32\DRIVERS\ETC (Windows NT/2000) existe um arquivo chamado services que contm as principais portas.

Plataforma Windows NT / 2000


O Windows NT/2000 foi concebido para suportar e operar sobre padres de segurana, ao contrrio do Windows 9x. A inteno deste material no escrever um tutorial de segurana no Windows NT/2000, pois isso foraria a escrita de um material inteiramente novo. Porm, existem alguns tpicos que podem e devem ser abordados, que contm conceitos bsicos de proteo usando este sistema operacional.

www.invasao.com.br A principal diferena em termos de segurana do Windows NT/2000 para o 9x, ns podemos reconhecer logo no incio: apenas um usurio vlido pode usar o computador localmente, bem como via rede, de acordo com as permisses configuradas. Voc precisa ser autenticado para ter acesso console. Portanto, manter um cadastro de usurios necessrio. Este cadastro deve forar os usurios a trocar de senha priodicamente, bem como exigir que senhas de um determinado tamanho mnimo sejam usadas (em sistemas seguros, recomendado usar o mximo de caracteres suportados pelo NT: 14. No caso do 2000, tambm podemos usar 14, pois um bom valor. Contudo, o Windows 2000 permite senhas de at 256 caracteres). A primeira coisa que se deve fazer ao usar NT/2000 escolher que sistemas de arquivos voc usar. Se segurana um requisito, o sistema NTFS deve ser usado. Contudo, o sistema NTFS no ser visvel por outro sistema operacional, apenas pelo NT/2000 (O Linux pode enxergar parties NTFS para leitura). Em segundo lugar, logo aps a instalao, o ltimo service pack deve ser instalado. Service packs so atualizaes do Windows NT, disponveis no site da Microsoft. Estas atualizaes so acumulativas, portanto, caso o ltimo service pack seja o 7, no ser necessrio instalar os anteriores. Apenas a ltima verso. Observao: no Windows 2000, o mtodo de atualizaes foi alterado. Ele est muito parecido com o do Windows 9x (atravs do Windows Update). Portanto, para atualizar um sistema Windows 2000, basta escolher a opo Windows Update no menu iniciar. Caso deseje baixar manualmente as atualizaes, poder proceder pelo seguinte endereo: http://www.microsoft.com/windows2000/downloads/ Uma vez instalado e atualizado, precisamos ento realizar algumas alteraes no sistema para torn-lo mais seguro. Existem 4 alteraes essenciais: auditoria, remover servios desnecessrios, alterar as permisses padro do sistema de arquivos, e alterar as configuraes de rede.

1. Auditoria
Em um sistema seguro, primordial que exista algum tipo de auditoria, onde certos erros de permisso sejam armazenados para anlise. recomendado que no NT/2000, todos os objetos sejam auditados quanto falha de acesso. No caso do objeto Logon/Logoff, tambm recomendado que o sucesso seja auditado, para que uma anlise de quem efetuou ou no logon no computador, localmente ou via rede, seja possvel. No acione a auditoria em processos ou em arquivos, a no ser que seja para depurao de um problema de segurana eminente. Estes dois objetos causam muita atividade de log, deixando o computador / servidor mais lento.

www.invasao.com.br

2. Removendo servios desnecessrios


Alguns servios que so instalados por padro so considerados ou vulnerveis a ataque, ou servios que podem divulgar informaes reservadas do sistema, via rede. recomendado parar tais servios para impedir que isto ocorra. Os seguintes servios precisam ser parados, e configurados para inicializao Manual:

Alerter permite que um suposto hacker envie mensagens de alerta para a console Messenger permite que um suposto hacker via rede visualize o nome do usurio atualmente logado na console, atravs do comando nbtstat Clipbook Server permite que um usurio via rede visualize o contedo da rea de trabalho SNMP Service / SNMP Trap Service So dois servios que pemitem a utilizao do Simple Network Management Protocol. Se no possurem uma inteno especfica (como instalado pelo administrador para monitorao do computador) ou se no estiver corretamente configurado, pode revelar muitas informaes sobre o computador em si, como interfaces de rede, rotas padro, entre outros dados. recomendado ter cautela com tais servios Scheduler um servio que permite o agendamento de tarefas no sistema. Voc pode programar para que tarefas sejam executadas numa determinada hora. Cuidado: por padro, qualquer pograma iniciado pelo sistema de agendamento, possuir o contexto de segurana do prprio sistema, tendo acesso a praticamente qualquer informao. Caso seja realmente necessrio, crie um usurio sem direitos (com direito apenas de executar a tarefa desejada) e programe este servio para ser inciado no contexto de segurana deste usurio criado (no Windows 2000, o servio se chama Task Scheduler)
Em computadores que so usados exclusivamente em casa, e que no participam de nenhuma rede, apenas acessam a Internet atravs de um modem, recomendado tambm parar os seguintes servios:

Computer Browser Servio excencial a uma rede Microsoft. Permite que este computador seja eleito um Browser Master, ou controlador de lista de recursos de um grupo de

www.invasao.com.br trabalho ou domnio. Numa configurao de apenas uma mquina, no necessrio estar no ar

Server O Server Service o equivalente no Windows NT/2000, ao Compartilhamento de arquivos e impressoras para redes Microsoft, do Windows 9x. Da mesma forma, se seu computador no participa de nenhuma rede, e apenas acessa a Internet via modem, este servio pode ser parado, e configurado para no iniciar automaticamente, assim como os demais.

Correio Eletrnico
O correio eletrnico, hoje em dia, claramente o meio mais usado para disseminao de vrus e cavalos-de-tria. O email de certa forma uma aplicao bastante invasiva, e, por este motivo, todo cuidado pouco ao receber qualquer mensagem que seja, com um arquivo anexo. A maioria dos usurios de rede e Internet hoje no mundo todo, acessam suas contas de correio atravs de um protocolo de recepo de mensagens chamado POP3 (Post Office Protocol v. 3). Este protocolo, aliado configurao padro da maioria dos programas clientes de correio, faz com que, ao checar sua caixa postal, todas as mensagens sejam baixadas de forma no interativa. Caso algum dos correios esteja infectado com um script ou cavalo-de-tria, o usurio somente saber quando o correio j estiver dentro de sua caixa postal local. Assim sendo, muito comum o usurio, movido pela curiosidade, tentar abrir qualquer documento anexo mensagem. Boa parte dos cavalos-de-tria so programinhas grficos apelativos, com mensagens que alimentam a curiosidade do usurio, como pequenas animaes, desenhos, ou coisas do gnero. Ao executar algum programa destes, o usurio tem a impresso de que nada ocorreu. Contudo, o cavalo-de-tria tem uma segunda funo, que geralmente abre o computador para um ataque via Internet. Os cavalos-detria sero discutidos mais a frente.

FTP Voyager / FTP Explorer / WS_FTP


Estes 3 programas de FTP so bastante usados como clientes FTP. As senhas de acesso a sites FTP so salvas ou no registro ou em arquivos dentro da pasta do programa, e so criptografadas com um esquema bem fraco. Existem tambm programas na Internet que podem ser usados para retirar destes arquivos as senhas dos sites FTP. Recomendao: caso use um destes programas para efetuar acesso FTP a algum site que tenha acesso diferente de anonymous, NO escolha a opo de salvar a senha, ou lembr-la.

www.invasao.com.br

Microsoft SQL Enterprise Manager


O Microsoft SQL Enterprise Manager uma console de gerncia de servidores Microsoft SQL 7.0, que utilizam como base o MMC (Microsoft Management Console). Foi descoberta uma vulnerabilidade quando o usurio registra um banco de dados para gerncia, e opta por salvar a senha para uso posterior. A senha armazenada no registro do sistema com criptografia fraca, sendo possvel descobrir qual a senha. recomendado NO salvar a senha, e, ao registrar um novo banco de dados, marcar a opo de no salvar a senha e perguntar pela informao de autenticao todas as vezes que entrar no Enterprise Manager.

4. Tcnicas de Invaso
Vrias tcnicas bsicas de invaso ou de DoS exploram problemas gerados pela m configurao de computadores e servidores em rede, que so os alvos primrios caso algum hacker se interesse em invadir uma determinada rede. Existem diversas tcnicas de invaso, que poderamos tratar melhor se chamssemos de abordagens. Existem diferentes abordagens para diferentes ambientes de rede. A abordagem usada na invaso de uma rede corporativa ser completamente diferente da abordagem usada em uma pequena rede que talvez nem esteja conectada diretamente Internet, como tambm ser diferente da abordagem usada para invadir um usurio apenas. Desta forma, os seguintes passos podem ser adotados:

Probing Hackers tentaro investigar sua rede para determinar: que servios rodam em qu servidores; quais so as verses destes servios; quais so os servidores, e onde esto localizados na rede; um esboo ou um mapa da rede; relaes de confiana entre os servidores; sistemas operacionais utilizados; possveis estaes de gerncia na rede; filtragem de pacotes (se existir); sistema de deteco intruso IDS (se existir); honeypots ou potes de mel (se existirem); portscanning (passivo e com spoofing se possvel). Se for justificvel, utilizao de war dialing. Descobrir qual a relao da rede interna da empresa, com a rede de gerncia (entenda-se por rede interna, aquela usada pelos funcionrios).
Observao importante: dependendo da inteligncia do suposto hacker, a fase de probing ser realizada atravs de algum mtodo que impossibilite sua identificao, como atravs de provedores gratuitos ou atravs de linhas telefnicas roubadas.

www.invasao.com.br

Engenharia Social (Social Engineering) O prximo passo, ou realizado em paralelo, ser a utilizao de tcnicas de engenharia social. Atravs destas tcnicas, informaes valiosas podero ser obtidas. Descobrir informaes pessoais sobre o(s) administrador(es) da rede; informaes sobre fornecedores de suprimentos e manuteno; descobrir quem tem acesso privilegiado a qualquer servidor ou estao; avaliar o grau de conhecimento desta pessoa (quanto menor, melhor, se possuir acesso privilegiado); descobrir nmeros de telefone importantes (o nmero de telefone do administrador, das pessoas envolvidas com a administrao da infra-estrutura, telefones de departamentos como comercial); tentar tambm obter uma lista de endereos de correio eletrnico importantes. Tentar obter informaes do suporte telefnico da empresa, caso possua. Obter acesso ao lixo da vtima, se possvel (sim, os filmes que falam de hackers o fazem geralmente de forma bastante errada: contudo, nisso eles acertaram: uma das maiores fontes de informao sobre a vtima ser seu lixo).
A partir da, o prximo passo ser tentar relacionar as informaes coletadas at agora. Baseado nas informaes levantadas no primeiro passo, o hacker ir pesquisar na Internet e na sua comunidade sobre vulnerabilidades existentes nas verses dos programas, servios e sistemas operacionais usados pela rede. Alm disso, caso a relao da rede interna com a rede de gerncia seja direta, uma abordagem baseada em cavalos-de-tria ser interessante. O objetivo passar a ser conseguir ter acesso ao trfego da rede interna. Isto pode ser feito enviando trojans para departamentos administrativos, comerciais, e financeiros. A maioria dos funcionrios destes departamentos so leigos e no sabero a diferena entre um documento do Word e um executvel anexo ao seu correio eletrnico. bem provvel que, com alguns dias de investigao do trfego da rede interna, voc consiga alguma senha com direitos de administrao. Como administradores de rede tem o hbito de usar a mesma senha para diversas ferramentas, se na primeira fase alguma ferramenta de gerncia remota foi achada, ento, mais do que provvel que as senhas sero idnticas. Independente da abordagem adotada, o hacker ter duas coisas em mente: objetividade, e mxima dissimulao. Tudo ser feito sem pressa, para no levantar suspeitas. Ele poder at tentar fazer amizade com algum que tabalhe na empresa (isso mais fcil do que parece: basta visitar os mesmos lugares que essa pessoa visita, principalmente se estes lugares forem escolas, universidades ou clubes, pois nestes lugares existe um sentido maior de unio). Obviamente, tudo isso depender da informao que se deseja obter: o hacker avaliar se todo o esforo vale a pena. Contudo, lembre-se que muitos fazem pelo desafio, e superaro enormes dificuldades somente para provar a si mesmos que so capazes.

www.invasao.com.br

Programas Usados para Obter Informaes


Diversos programas podem ser usados para obter informaes sobre a rede ou computadores / servidores remotos. Alguns deles so:

CA Unicenter TNG FrameWork (http://www.cai.com)


Este um programa extramamente caro, da Computer Associates, que tem por objetivo a gerncia completa da uma infra-estrutura de TI, desde mdulos de anti-virus at backup. Porm, o mdulo bsico, chamado Framework, gratuito, e pode ser baixado do site da CA para avaliao. Porm, apesar de gratuito, o mdulo bsico possui o mapeamento de rede via SNMP (Simple Network Management Protocol) incluido. Com esta aplicao, usando o protocolo SNMP, que a grande maioria dos roteadores, switches, e outros equipamentos de conectividade suportam, inclusive servidores, possvel construir o mapa de uma rede com detalhes impressionantes. Portanto, primordial numa rede, que o firewall filtre trfego SNMP (portas 161 e 162). Existem outros programas que usam o SNMP prara construir o mapa de uma rede. Podemos citar o Tivoli, o Lucent NavisAccess, e o SNMPc. Porm, qualquer ferramenta SNMP pode ser usada.

Essential Net Tools


Programa fantstico que explora a m configurao de computadores Windows conectados a Internet. Atravs dele, possivel, dado um intervalo de endereos IP, visualizar quais destes esto com o compartilhamento de arquivos e impressoas ativado, e com algo compartilhado. Voc ficaria surpreso com a quantidade de computadores que possuem a raiz do drive C: compartilhada, permitindo acesso a qualquer arquivo dentro do disco, inclusive o .pwl, arquivo que possui a senha salva dos usurios deste computador. Para evitar que o EssNetTools seja efetivo, necessrio filtrar no firewall as portas usadas pelo NetBIOS (135, 136, 137, 139 e 445, tcp/udp).

CIS (Cerberus Internet Scanner)


O CIS um pequeno programa de anlise de vulnerabilidades. Apesar de pequeno, impressionante. Ele roda sob Windows NT 4 / 2000 e, dado um endereo IP, ele produzir uma pgina HTML com todos os testes realizados. O CIS testa por vulnerabilidades conhecidas, como finger, VRFY (SMTP), DNS, Web, entre outras. O mais impressionante quando ele consegue acessar as informaes de contas de usurios de uma mquina Windows NT, m

www.invasao.com.br configurada. Para evitar a efetividade do CIS, aconselhvel usar ele prprio, analisar quais vulnerabilidades foram encontradas, e san-las uma a uma.

WhatsUp Gold
O WhatsUp um programa desenvolvido pela empresa IPSwitch, com a inteno de ser uma ferramenta de monitorao de rede. Porm, ele possui internamente uma funo usada para descobrir, dado um intervalo de endereos, quais esto ou no ativos, bem como outras informaes, como o nome das mquinas. Bastante eficiente em redes Microsoft, com ele voc poder ter uma idia de quantas mquinas esto ativas numa determinada classe, por exemplo. Para barrar o WhatsUp, basta filtrar as portas do NetBIOS e trfego ICMP. TELNET O prprio telnet do Windows pode ser usado para descobrir que verso um determinado servidor est rodando, por exemplo, de sendmail, servidor web, POP3 ou FTP. Para isso, basta disparar um TELNET para a porta do servio desejado. Vejamos:
telnet invasao.com.br 25 220 dominus.elogica.com.br ESMTP Sendmail 8.9.3/8.9.3; Wed, 29 Mar 2000 20:38:40 0300

Agora, sabemos que o servidor um sendmail, versao 8.9.3. Aliado ao nmap, descobrimos qual o sistema operacional.

Trojan Horses e Back Doors


Os trojan horses so programas que demonstram um determinado tipo de comportamento, ou se propem a uma determinada tarefa, geralmente a realizam, prom, sem que o usurio saiba, executam alguma outra tarefa. Esta segunda funo na maioria das vezes abre o computador para invases ou acesso remoto. Hoje em dia, existem inmeros programas do tipo trojan horse, ou cavalo-de-tria, mas o conceito aplicado a informtica existe a dcadas. O primeiro programa usado como trojan horse que ganhou a comunidade foi o NetBus. Aps o NetBus (que tido como um software de gerncia remota, e no como um trojan horse), surgiram diversos outros, sendo o mais famoso deles, o Back Orifice. Este, foi criado por um grupo de hackers que se entitulam The Cult of the Dead Cow, ou cDc

www.invasao.com.br Veja no anexo 7, uma coletnea de telas de trojans conhecidos. Cada um destes programas pode ser removido atravs de um bom programa de antivirus, como o Norton anti-virus, o AVP, ou o TrendMicro. Todos estes anti-virus possuem download para avaliao (30 dias) e podero salvar sua pele, mesmo que voc no compre o programa (desisntale em seguida). http://www.antivirus.com J os backdoors podem ter mais ou menos a mesma funcionalidade de um trojan, mas possuem outras intenes. Quando um hacker consegue acesso a um sistema, uma de suas primeiras atitudes ser instalar backdoors no sistema. Estas backdoors lhe permitiro voltar a ter acesso a este sistema se por acaso o dono / usurio ou administrador descobrir que sua segurana foi violada. Uma backdoor pode ser na forma de um programa (assim como os trojans), como um script (principalmente em ambiente UNIX), ou at como uma srie de procedimentos (criar uma conta com direitos de administrao , com um nome comum).

Buffer Overflow
Buffer overflows so consequncia direta de pssimos hbitos de programao. Consiste em enviar para um programa que espera por uma entrada de dados qualquer, informaes inconsistentes ou que no esto de acordo com o padro de entrada de dados. De forma resumida, seria mais ou menos tentar encaixar uma bola de basquete em um buraco de golf. Em programas que no tratam a consistncia dos dados de entrada, pode haver uma desestruturao do cdigo em execuo, permitindo que cdigo estranho seja enviado e executado. Imagine um buffer de entrada de dados configurado para receber 32 bytes. Imagine agora que este mesmo buffer no possui uma checagem da consistncia dos dados. Agora, tente enviar mais do que 32 bytes. Isso normalmente estourar o buffer (buffer overflow), e normalmente, o que passar de 32 bytes, invadir outras reas de memria do sistema. Dependendo de que reas sejam estas, possvel fazer com que esta carga extra tambm seja executada. exatamente a onde mora o perigo. No anexo 8, temos um exemplo de buffer overflow no Windows NT. As formas mais comuns de buffer overflow so encontradas em servidores web e de FTP. Ao se submeter uma URL muito grande (geralmente acima de 150 caracteres) o servidor para de responder. Vrios softwares servidores Web e FTP famosos j foram vtimas de tais vulnerabilidades, como o Apache Web Server, o Internet Information Server, o Serv-U FTP Server, War FTP d, entre outros. No ambiente UNIX, existem ou existiram diversas vulnerabilidades deste tipo nos servidores de SMTP (envio de correio) e POP3 (recebimento de correio).

www.invasao.com.br

Exploits
Exploits so pequenos scripts ou programas que exploram uma vulnerabilidade de segurana. Seria mais ou menos como encontrar um furo numa cortina, enfiar os dois dedos, e arrebentar o furo. Geralmente so cdigos locais (precisam ser executados no computador que se deseja comprometer), apesar de existirem exploits remotos (via rede). O nome exploit tambm atribuido as vulnerabilidades descobertas em softwares (sistemas operacionais, servidores, programas em geral). Existem diversos sites de segurana que falam sobre exploits mais recentes. Os mais famosos so: RootShell Internet Security Systems Xforce PacketStorm Library CIAC (Computer Incident Advisory Capability) CERT (Computer Emergency Response Team)

5. Outros Tipos de Ataques


Existem outros tipos de ataque que, se no permitem uma quebra de segurana direta, como o comprometimento das informaes armazenadas em um servidor, ajudam nos ataques de invaso, muitas vezes at tornando-os possveis.

DoS (Denial of Service)


Como o prprio nome sugere, ataques deste tipo geralmente no compromentem a privacidade dos dados. A finalidade de um ataque DoS tirar um servio, servidor, computador ou at mesmo uma rede do ar. Os ataques do tipo DoS so usados muitas vezes em conjunto com invases, ou porque alguns tipos de invases exigem que determinados computadores no estejam funcionando (como no caso do spoofing) ou para despistar / desviar a ateno da invaso em si. Ataques DoS tambm so usados simplesmente para atrapalhar ou desacreditar um servio. Os ataques DoS na sua grande maioria usam buffer overflows para conseguir obter sucesso. Contudo, qualquer forma de tirar um computador, ervio ou rede do ar considerado um ataque DoS. Por exemplo, a maioria dos

www.invasao.com.br servidores que possuem alguma segurana possuem tambm logs de acesso (arquivos de sistema onde so armazenadas informaes crticas, como acesso, autenticao e etc). Imagine que o administrador coloque os logs no mesmo espao em disco do sistema. Assim, se gerarmos milhares (talvez milhes) de entradas no log, o arquivo ir crescer at ocupar todo o disco. Outro tipo de ataque DoS comum: vrias redes possuem programadas uma ao, caso um login tente por diversas efetuar logon e erre suas credenciais. Esta ao geralmente o bloqueio indeterminado da conta (login), que apenas pode ser restaurado com a interveno do administrador. Forar o travamento de uma conta destas considerado um ataque DoS, principalmente quando esta conta a usada por algum servio (se a conta for bloqueada, o servio sair do ar). J ataques que visam tirar do ar uma rede, ou um servidor atravs de trfego excessivo, ou enviando pacotes de rede invlidos tambm so possveis. A cerca de 2 anos atrs, foi lanado na Internet uma vulnerabilidade em pilhas TCPIP de computadores Windows. Consistia em enviar para um determinado servio, pacotes TCP com uma sinalizao de urgncia. Contudo, o contedo do pacote era composto de caracteres invlidos. Este ataque DoS ficou conhecido como OOB (Out Of Band data). Hoje em dia, a grande maioria das pilhas TCPIP so protegida contra este tipo de ataque, e variaes. Porm, como no velho ditado gua mole em pedra dura tanto bate at que fura, se a quantidade de informao invlida for realmente muito grande, ainda existe a possibilidade de tirar do ar o computador. Para se obter a quantidade suficiente de pacotes, o ataque do tipo DoS foi extendido, para o que conhecemos hoje como DDoS (Distributed Denial of Service).

DDoS (Distributed Denial of Service)


Os ataques do tipo DDoS consistem geralmente em enviar para uma nica mquina ou rede, milhes de pacotes de rede ou requisies de servio, em um dado momento. Obviamente, no existe maneira de gerar este trfego todo de um nico ponto. Da surgiu a idia do DDoS: vrias mquinas espalhadas por toda a Internet, enviando trfego simultaneamente, para um mesmo servidor, estao ou rede. Os ataques do tipo DDoS ficaram conhecidos a partir dos ataques recentes realizados contra sites na Internet populares, como yahoo.com, amazon.com, zdnet.com, entre outros. Contudo, utilitrios que exploram ou criam ataques DDoS, apesar de difceis de obter, j existiam desde meados de 1999. A lgica de um ataque DDoS bem simples. Imagine um servidor de pginas web, que normalmente recebe 100.000 acessos por dia. Agora, imagine que 200 ou 300 computadores espalhados pela Internet, ao mesmo tempo, e continuamente, enviem requisies de acesso pgina. Dependendo do nmero de requisies, o servidor poder deixar de responder simplesmente porque chegou ao seu limite de conexes.

www.invasao.com.br

Existem outros tipos de pacotes ou requisies de conexo que tem uma eficcia muito maior do que uma simples requisio de acesso web. Contudo, o segredo est em como gerar este trfego ou requisies, de vrias mquinas espalhadas pela Internet. Isto feito atravs de 2 componentes de software: o agente ou server (software, programa ou daemon que executado nas mquinas espalhadas pela Internet), e o cliente (componente que controla a ao dos agentes). Os agentes ou servers so colocados para rodar em servidores espalhados pela Internet por hackers, que invadem os sistemas. Existe uma ferramenta de ataque DDoS chamada trin00 onde o agente um vrus para a plataforma Windows ( colocado em execuo em computadores como um trojan ou cavalo-de-tria). Uma vez disseminados os agentes, o hacker atravs do cliente, envia um comando de ataque para os agentes, ao mesmo tempo, atacarem uma determinada rede ou mquina.

Trin00, TFN (Tribe Flood Network, Schaft)


Estes so 3 exemplos clssicos de ferramentas de ataque DDoS. O trin00 j foi portado para a plataforma Windows, enquanto o TFN o mais usado. J o Schaft, apesar de relativamente antigo, bem mais raro de ser achado. Atualmente, existe uma forma do agente do trin00 que infecta computadores como um cavalo-de-tria. J o TFN possui uma verso chamada TFN2K, com vrias melhorias, incluindo at criptografia da conversao entre o cliente e os agentes, de forma a burlar a deteco destas ferramentas. Em ambientes corporativos ligados Intenret, a forma mais comum de deteco atravs da quantidade de trfego. Na maioria das redes que possuem monitorao de trfego, a caracterstica ser uma srie de tentativas de conexo, ou trfego, gerado de diversas mquinas da rede interna, paraum nico endereo na Internet. A regra bsica impedir trfego no autorizado, no s entrando na rede, mas tambm, a partir dela. No anexo 9, existem 2 documentos bastante interessantes sobre ataques DDoS.

IP Spoofing
A tcnica de spoofing possui uma lgica bastante simples. Muitos servios antigos que so executados em hosts UNIX dependem de uma relao de confiana, baseada no endereo de rede de um determinado host. Digamos

www.invasao.com.br que um servio determinado, s aceite comandos ou conexes de um computador que esteja em um determinado endereo IP pr configurado. A tcnica de spoofing consiste em personificar este computador na qual a vtima confia. Basicamente, precisa-se ter o endereo IP da vtima, o endereo IP do computador confiado, ter algum modo de tirar o computador confiado do ar, saber como quebrar o nmero de sequncia TCP da vtima. Teoricamente, quaquer servio que tenha sua segurana dependente apenas da confirmao de um endereo origem de rede, vulnervel a este tipo de ataque. uma tcnica bastante apurada, e que requer geralmente uma certa dedicao. No anexo 10, a tcnica e descrita em detalhes em um timo whitepaper.

6. Seu Computador Foi Invadido ?


A primeira reao natural desligar o computador imediatamente. Contudo, apesar de parecer ser algo lgico para um usurio final, em uma empresa definitivamente no a melhor abordagem.

O Que Fazer ?
Usurio final
O usurio ter muita dificuldade de detectar que foi invadido. A no ser que o hacker wannabe deixe sua assinatura dentro do computador, o tpico usurio na grande maioria das vezes sequer saber que algum mexeu em seus arquivos, a no ser qe possua algum utilitrio para detectar uma invaso. Em todo caso, se isto for verdade, o usurio acabou de provar que o programa no funciona (...). A primeira coisa que deve ser feita instalar um bom anti-virus e execut-lo fazendo uma varredura em todo o sistema. Isso eliminar a possibilidade de cavalos-de-tria. Caso no ache nada, ento muito provvel que, se o seu computador Windows, ele foi invadido pelo compartilhamento de arquivos e impressoras para redes Microsoft, ou por algum servio que esteja sendo executado, como FTP ou HTTP.

Usurio Corporativo
Neste caso, o administrador da rede deve ser notificado IMEDIATAMENTE. NO DESLIGUE, ou desconecte o computador! Parte da

www.invasao.com.br anlise que ser feita depende inteiramente do fato de que o hacker ainda no sabe que foi descoberto. Simplesmente chame o administrador. Ele tomar alguma abordagem.

Precaues
Jamais fale com estranhos na rua, ou aceite qualquer coisa de um estranho.

Mais uma vez, lembre-se que segurana um hbito. Se seguir os procedimentos relacionados aqui, dificilmente algum invadir seu computador. Contudo, mesmo que voc siga estes procedimentos, lembre-se tambm da segurana local. No adianta tomar nenhuma precauo e deixar algum mexer no seu computador inadvertidamente, ou sem acompanhamento. Da mesma forma, jamais use um computador compartilhado para digitar senhas ou informaes sensveis, MESMO QUE lhe dem todas as seguranas possveis e imaginveis.

Anlise Forense
Assim como em qualquer estudo criminalstico, o estudo srio da criminalidade envolvendo informtica tambm tem seu ramo de anlise forense. Contudo, pela prpria informalidade do ambiente de informtica nas empresas, e pela ausncia de um corpo de estudo criminalstico na polcia, o assunto tratado como conto de fadas. Grandes empresas que possuam uma infra-estrutura de TI proporcional, tero provavelmente sua prpria equipe de TI, de segurana, e, consequentemente, de anlise forense. Estudos mostram que a maioria dos ataques partem de dentro da empresa. Levando isso em considerao, faz-se necessria a presena de uma equipe que estude casos como por exemplo, proliferao de vrus. Porm, o objetivo principal da anlise a investigao de uma falha, com a inteno de colher evidncias, que ajudem no processo de responsabilizao, bem como no reparo dos danos e da prpria falha. O trabalho do investigador forense baseado em provas digitais, dados armazenados em sistemas de informtica. A caracterstica destes dados sua fcil volatibilidade. Dados podem ser alterados com muita facilidade, estragando uma prova crucial, ou incriminando quem no tem nada a ver com a histria. O especialista em segurana deve:

www.invasao.com.br Colocar na mesma rede do computador / sistema comprometido um outro computador, geralmente um notebook, e analisar o trfego Desconectar o computador da rede Analisar cada processo que o computador possui no ar Tentar recuperar cada log possvel, retir-lo do computador e guard-lo em um local seguro

S ento o computador poder ser desligado.

Firewall (Incluindo Personal Firewall)


Como o nome sugere (do ingls, parede ou porta corta fogo), os firewalls so esquemas de hardware, software, ou os dois juntos, capazes de, baseados em caractersticas do trfego, permitir ou no a passagem deste trfego. Basicamente, o firewall analisa informaes como endereo de origem, endereo de destino, transporte, protocolo, e servio ou porta. Para cada pacote que passar pelo firewall, ele consultar uma ACL (Access Control List, ou lista de controle de acessos), que uma espcie de tabela de regras, que contm informaes sobre que tipo de pacote pode ou no passar. Baseado nesta informao, rejeita ou repassa o dado. Contudo, ao contrrio do que muitos pensam, um firewall no apenas UM produto, seja hardware ou software. O firewall um CONJUNTO de componentes, geralmente compostos por hardware e software. Para que um esquema de firewall seja eficiente, algumas regras devem ser observadas: 1. todo trfego entre as redes PRECISA passar pelo firewall ou filtragem 2. deve existir alguma forma de reporting ou log, para se ter uma idia de que tipo de trfego est sendo rejeitado 3. O firewall em si deve ser imune penetrao / invaso (deve rodar o cdigo mais simples possvel, e a menor quantidade de cdigo possvel)

www.invasao.com.br A seguir, vemos um esquema simples de firewall:

Firewalls: Filtragem
I n t e r n e t
Invasor

Rede Segura

Permitido

Firewall

Invasor

Existem outros modelos para uso com firewalls. O modelo mais eficiente o de zona desmilitarizada. Nele, servidores e computadores crticos so protegidos tanto da rede interna quanto da rede externa. Veja: Existem alguns produtos, ou solues de software bastante interessantes, que tentam implementar o mesmo princpio de um firewall em seu computador. Estes programas so chamados de Personal Firewalls, e so bem baratos, ou de graa. Alguns deles: ZoneAlarm Muito bom produto, um dos melhores, e gratuito. Ainda est em beta, mas bem estvel. No recomendo a sua instalao em um computador Windows 2000 com mais de um processador. Norton Internet Security 2000 http://www.symantec.com/sabu/nis/ Fantstico produto da Symantec, aclamado por diversas revistas e publicaes especializadas. O ncleo do componente de filtragem veio de outro produto, o atGuard, da WRQ, que era vendido at o final do ano passado. A Symantec licenciou o produto e construiu essa suite de proteo. Inclui at anti-virus. Para quem usa Linux, por padro, o ncleo do sistema possui filtragem de pacotes. Atualmente, a ferramenta usada (no caso do RedHat) o IPChains.

www.invasao.com.br

IDS (Intrusion Detection Systems)


Os IDS so sistemas avanados capazes de detectar, em tempo real, quando um ataque est sendo realizado e, baseado nas caractersticas do ataque, alterar sua configurao ou remodel-la de acordo com as necessidades, e at avisar o administrador do ambiente sobre o ataque. Sistemas de IDS so geralmente caros, e exigem certas modificaes na rede. Na maioria das vezes est acoplado a um sistema de firewall, ou possui este embutido. Os IDS so sistemas descentralizados, com a filosofia de agentes e servidores. Componentes instalados nos equipamentos, estaes de trabalho e / ou servidores, monitoram as atividades da rede, e reportam a um servidor. Este servidor, obedecendo a uma srie de regras de comportamento, toma a atitude designada para cada tipo de ocorrncia. Existem tambm computadores ou agentes autnomos, que possuem a nica funo de analisar todo o trfego da rede e submeter os resultados para o servidor central. Estes agentes funcionam porque numa rede ethernet (apdro usado em 98% das redes locais) todo o trfeog compartilhado. Portanto, este agente ter sua interface de rede em modo promscuo, apenas para capturar todo o trfego, ou sniffar a rede, a procura de algum padro suspeito. Para maiores informaes, existe um timo documento sobre IDS que pode ser acessado em: http://www.sans.org/newlook/resources/IDFAQ/ID_FAQ.htm -- x --

Trust no one. Be afraid, be very afraid.

(81) 3221-9116 / 3221-9124 www.invasao.com.br www.fuctura.com.br