Escolar Documentos
Profissional Documentos
Cultura Documentos
Mini Curso Hacker
Mini Curso Hacker
net
Segurana
Tecnologias
Anti-Hacker
www.projetoderedes.kit.net
1. Apresentao do Curso
O Objetivo do curso levar aos alunos o conhecimento sobre invases
de computadores, desde o motivo at a soluo, passando por vulnerabilidades
e como torn-las sem efeito. Inclui tambm conceitos bsicos de rede e de
comunicao de dados.
O Curso
Durante o curso ser apresentado material sobre hackers, como agem e
o que querem, como se proteger e como detectar um invasor. Sero mostrados
alguns fatos acontecidos no mundo da segurana, algumas histrias de hackers
famosos e o que lhes aconteceram, bem como algumas histrias dos
bastidores.
Opinio
Sobre os Hackers
Conhea seu inimigo como a si prprio, e
elabore sua estratgia de defesa e ataque
baseadas em suas vulnerabilidades.
www.projetoderedes.kit.net
Black-Hats
Ao contrrio dos white-hats, apesar de movidos tambm pela
curiosidade, usam suas descobertas e habilidades em favor prprio, em
esquemas de extorso, chantagem de algum tipo, ou qualquer esquema que
venha a trazer algum benefcio, geralmente, e obviamente, ilcito. Estes so
extremamente perigosos e difceis de identificar, pois nunca tentaro chamar a
ateno. Agem da forma mais furtiva possvel.
Crackers
As denominaes para os crackers so muitas. Alguns classificam de
crackers, aqueles que tem por objetivo invadir sistemas em rede ou
computadores apenas pelo desafio. Contudo, historicamente, o nome cracker
tem uma relao com a modificao de cdigo, para obter funcionalidades que
no existem, ou de certa forma, limitadas. Um exemplo clssico so os diversos
grupos existentes na Internet que tem por finalidade criar patches ou mesmo
cracks que modificam programas comerciais (limitados por mecanismos de
tempo por exemplo, como shareware), permitindo seu uso irrestrito, sem
limitao alguma.
Phreakers
Apesar de muitos considerarem um cientista russo chamado Nicola Tesla
(que na virada do sculo realizava experincias assutadoras at para os dias
de hoje com eletricidade) como o primeiro hacker da histria, os primeiros
hackers da era digital (ou seria analgica ?) lidavam com telefonia. Sua
especialidade interferir com o curso normal de funcionamento das centrais
telefnicas, mudar rotas, nmeros, realizar chamadas sem tarifao, bem como
realizar chamadas sem ser detectado (origem). Com a informatizao das
centrais telefnicas, ficou inclusive mais fcil e acessvel o comprometimento de
tais informaes. Kevin Mitnick, considerado o maior hacker de todos os tempos
(veremos que nem tanto a mdia excerceu uma influncia decisiva), era um
timo phreaker. Na fase final de sua captura, quando os agentes de governo
ajudados pelo Tsutomu Shimomura estavam chegando a um nome, ele
conseguia enganar as investigaes atravs do controle que tinha da rede de
telefonia da GTE (consessionria telefnica dos EUA).
Wannabes
Os wannabes ou script-kiddies so aqueles que acham que sabem, dizem
para todos que sabem, se anunciam, ou divulgam abertamente suas
faanhas, e usam em 99% dos casos scripts ou exploits conhecidos, j
divulgados, denominados receitas de bolo, facilmente encontradas em sites
como www.rootshell.com, ou xforce.iss.net. Estes possuem relao direta
www.projetoderedes.kit.net
com a maioria dos usurios da Internet Brasileira. So facilmente encontrados
em frums de discusso sobre o tema, e principalmente no IRC. A maioria no
possui escrpulo algum, portanto, tomar medidas de cautela aconselhvel. Os
wannabes geralmente atacam sem uma razo ou objetivo, apenas para testar
ou treinar suas descobertas, o que nos torna, usurios Internet, potenciais
alvos.
www.projetoderedes.kit.net
captura do Kevin (com ajuda do FBI) em fevereiro de 1995, atravs do sinal de
seu celular, que usava para se conectar.
O mais interessante de tudo que Kevin no era especialista em UNIX
(sistema usado por Tsutomu, pelo toad.com, pela Well). Ele era na verdade
especialista em VMS / VAX, um sistema da Digital. Ele parecia ter profundos
conhecimentos sobre sistemas da Digital. Tudo indica que Kevin seguiu vrias
dicas de algum em Israel, que at hoje, ningum coseguiu identificar. Kevin
forneceu vrias informaes sobre como invadir sistemas VMS / VAX, e recebeu
as dicas de como usar o IP spoofing, que, na poca, era uma tcnica recente,
nunca testada, apenas discutida academicamente.
Existe um site na Internet que possui um log demonstrando at a sesso
de telnet que Kevin usou, algumas chamadas que ele teria realizado para o
Mark Lotto, demonstrando seu interesse pelo cdigo fonte dos celulares, e
algumas gravaes da secretria telefnica do Tsutomu, que supostamente,
teriam sido feitas pelo Kevin . O site pode ser acessado em:
http://www.takedown.com
Existem tambm dois livros que contam a histria. Um, com a viso e Kevin,
escrito pelo Jonattan Littman, e outro, com a viso de Tsutomu, escrito pelo
John Markoff em conjunto com ele. Este ltimo possui uma edio nacional,
pela Companhia das Letras. Chama-se Contra-Ataque. O livro escrito pelo
Littman chama-se The Fugitive Game: online with Kevin Mitnick. Ambos os
livros podem ser encontrados online, em livrarias como Amazon.com, por
menos de 20 dlares cada.
Kevin Mitnick foi solto em 21 de janeiro de 2000, e est sobre condicional.
Boatos dizem que o governo Americano est usando Kevin Mitnick como
consultor de segurana.
Ningum sabe o paradeiro de Tsutomu Shimomura.
www.projetoderedes.kit.net
TCP/IP
O TCP/IP (Transmission Control Protocol / Internet Protocol), uma
pilha de protocolos que vem sendo modelada a dcadas, desde a criao de
uma rede chamada ARPANET, em meados dos anos 60, nos EUA. Ao contrrio
do que muitos acham, no apenas um protocolo de comunicao, mas uma
pilha deles. Essa pilha de linguagens de comunicao permite que todas as
camadas de comunicao em rede sejam atendidas e a comunicao seja
possvel. Todas as pilhas de protocolo, de uma forma ou de outra, tem de
atender a todas as camadas, para permitir que os computadores consigam
trocar informaes.
Podemos fazer uma analogia de uma pilha de protocolos com a
comunicao verbal. Se algum fala com outra pessoa, e esta o entende,
porque todas as camadas para que a fala seja entendida foram atendidas.
Imagine que, para que duas pessoas se comuniquem verbalmente, ser
necessrio:
www.projetoderedes.kit.net
1. que ambas saibam o mesmo idioma
2. que ambas tenham toda a estrutura fisiolgica para que emitam som
(voz cordas vocais, lngua, garganta, pulmes, etc.)
3. que ambas possuam toda a estrutura fisiolgica para que ouam o som
(orelha, ouvido interno, tmpanos, etc.)
Nesta pilha de protocolos, temos como mais importantes:
IP
O Internet protocol o responsvel pelo endereamento lgico de
pacotes TCPIP. Alm disso, responsvel pelo roteamento destes pacotes, e
sua fragmentao, caso a rede seguinte no possa interpretar pacotes do
mesmo tamanho. O mais importante para entendermos o funcionamento do IP
entender como feito seu endereamento lgico.
Um endereo IP algo parecido com isto:
200.241.236.94
Apesar de aparentemente no ter muita lgica, este endereo contm
uma srie de informaes. A primeira delas que, neste nmero esto
presentes a identificao da rede na qual o computador est ligado, e o seu
nmero, em relao a esta rede. Detalhe: o computador NO interpreta este
nmero acima como 4 cadeias decimais separadas por pontos (esta
representao apenas para tornar nossas vidas mais fceis). Ele entende
como 4 octetos, ou 4 campos de 8 bits:
11001000.11110001.11101100.01011110
Algumas concluses e fatos sobre endereos IP:
1. QUALQUER endereo iniciado por 127, considerado endereo de
diagnstico, e representa sua prpria interface (tambm chamado de
loopback);
2. O endereamento IP usado hoje chamado de IP verso 4. O nmero
de endereos IP em uso preocupa vrios especialistas. Um dos
projetistas da pilha, Vincent Cerf, previu que at 2008, todos os
endereos estaro em uso. Para isso, j existe em funcionamento uma
www.projetoderedes.kit.net
nova verso, chamada de IP verso 6, que ter como endereamento
128 bits, ao invs dos 32 bits do IP verso 4;
3. Para entender as vulnerabilidades e como funciona a maioria dos
mecanismos de ataque e defesa, necessrio enteder o conceito bsico
do endereamento IP;
4. A pilha TCP/IP vem sendo modificada desde a dcada de 60. Como seu
design bastante antigo, existem diversas vulnerabilidades inerentes ao
protocolo, que so bastante usadas por hackers;
5. cada octeto no pode ter um valor decimal acima de 255 afinal, 8 bits
somente conseguem assumir 256 combinaes diferentes, o que d, em
decimal, a contagem de 0 a 255.
Problemas comuns de configurao IP:
1. mscara errada;
2. endereo do gateway (roteador) errado;
3. poro rede errada, ou endereo IP duplicado.
www.projetoderedes.kit.net
Protocolos de Aplicao
Em cima da infra-estrutura fornecida pelos protocolos descritos at
agora, funcionam os protocolos de aplicao. Estes fazem a interface com o
usurio, ou com a aplicao do usurio. Exemplos de protocolos de aplicao:
HTTP (HyperText Transfer Protocol), FTP (File Transfer Protocol), SMTP (Simple
Mail Transfer Protocol), SNMP (Simple Network Management Protocol), POP3
(Post Office Protocol v.3), TELNET, e assim por diante. Cada protocolo de
aplicao se comunica com a camada de transporta atravs de portas de
comunicao. Existem 65536 portas possveis, e por conveno, as portas de 1
a 1023 so conhecidas como Well Known Port Numbers, portas privilegiadas
ou portas baixas, que possuem servios mais comuns previamente associados.
Cada protocolo de aplicao precisa de uma porta, TCP ou UDP, para
funcionar. Os mais antigos possuem suas portas padro j determinadas.
Exemplo:
www.projetoderedes.kit.net
Protocolo / Aplicao
FTP
TELNET
SMTP
WINS NameServer
HTTP
POP3
SNMP
SNMP trap
Porta Padro
21
23
25
42
80
110
161
162
Transporte
TCP
TCP
TCP
UDP
TCP
TCP
UDP
UDP
www.projetoderedes.kit.net
www.projetoderedes.kit.net
Para que a comunicao seja possvel a nvel mundial, cada detentor de
uma rede (ou espao de endereamento) responsvel por estabelecer a
comunicao com seu provedor de backbone, bem como configurar seu
roteador ou roteadores com as rotas necessrias ao funcionamento de sua sub
rede. Se levarmos isso a uma escala mundial, cada detentor de uma sub rede
fazendo com que ela seja acessvel atravs de um roteador corretamente
configurado, entendemos como funciona a Internet a nvel administrativo (por
mais incrvel que parea).
www.projetoderedes.kit.net
3. Entendendo a Invaso
Na Internet Brasileira, a quantidade de vtimas, sejam
corporativas ou o usurio final, s no maior pela falta
de conhecimento que nossos hackers wannabe
possuem, no pela quantidade de investimentos ou
medidas de contra-ataque adotadas, que so
desprezveis.
O Porqu da Invaso
Os motivos so diversos. Variam desde a pura curiosidade pela
curiosidade, passando pela curiosade em aprender, pelo teste de capacidade
(vamos ver se eu sou capaz), at o extremo, relativo a ganhos financeiros,
extorso, chantagem de algum tipo, espionagem industrial, venda de
informaes confidenciais e, o que est muito na moda, ferir a imagem de uma
determinada empresa ou servio (geralmente, a notcia de que uma empresa
foi invadida proporcional a sua fama e normalmente um desastre em
termos de RP).
As empresas hoje em dia investem quantias fantsticas em segurana,
mas no no Brasil. O retrato do descaso segurana de informaes no Brasil
claramente traduzido na falta de leis neste sentido. Alm disso, existe um fator
agravante: quando existir o interesse em elaborar tais leis, sero por indivduos
que no tem por objetivo principal a segurana em si. O resultado sero leis
absurdas, que iro atrapalhar mais do que ajudar. Um exemplo disso o que
vem ocorrendo em alguns estados nos EUA. Nestes estados, a lei chega a ser
to restritiva que at testes de vulnerabilidade so considerados ilegais, mesmo
com o conscentimento da empresa contratante do servio.
Isto no aspecto empresarial.
No caso do usurio final, esse est entregue sorte. No existe nenhum
servio de segurana gratuito, que possa ser utilizado pelo usurio. De qualquer
forma, existem diversas ferramentas e procedimentos que podem ser usados
para aumentar o nvel de segurana de seu computador, digamos, em casa,
que acessa a Internet por um link discado. justamente neste nicho de
mercado em que esto as principais vtimas, que inclusive, no so notcia no
dia seguinte a uma invaso. A quantidade de wannabes enorme, e a
tendncia aumentar. Os wannabes esto sempre procura de um novo
desafio, e o usurio final na maioria das vezes a vtima preferida,
JUSTAMENTE pela taxa de sucesso que os Wannabes tem em relao ao
nmero de ataques realizados.
www.projetoderedes.kit.net
NTBugtraq
A lista NTBugtraq uma lista moderada por um canadense chamado Russ
Cooper. Ela discute segurana em ambiente Windows NT e 2000. O nvel de
barulho ou de informaes que no dizem respeito ao assunto muito baixo
(Russ bem rigoroso na moderao do grupo) portanto, a grande maioria das
informaes de nvel alto. Para assin-la, basta enviar uma mensagem para:
listserv@listserv.ntbugtraq.com
e no corpo da mensagem:
subscribe ntbugtraq Primeiro_nome Sobrenome
Contudo, antes de assinar esta lista, aconselhvel ler a FAQ da mesma
em:
http://ntbugtraq.ntadvice.com/default.asp?pid=31&sid=1
NT Security
A lista NT Security uma lista NO moderada (espere por dezenas de
mensagens diariamente), mantida por uma empresa chamada ISS (Internet
Security Systems). Para assin-la, a forma mais fcil ir no seguinte endereo:
http://xforce.iss.net/maillists/
Os white-hats (os black-hats e crackers tambm) se mantm muito bem
atualizados. Ser inscrito em diversas lista de discusso, ler muito sobre o tema
e visitar sites de segurana essencial. Alguns sites muito bons sobre o tema:
http://www.securityfocus.com/
http://www.hackers.com.br
www.projetoderedes.kit.net
www.projetoderedes.kit.net
Independente do mtodo utilizado, o esforo empregado na identificao
ser proporcional ao efeito das aes de um hacker. Um black-hat pode
perfeitamente usar os mtodos descritos acima, de conexo atravs de um
provedor gratuito, apenas para identificar ou obter informaes necessrias ao
seu trabalho. Uma vez determinada uma abordagem ou traada uma
metodologia para se realizar uma invaso, a sim, mtodos mais avanados
podem ser usados, como roubo de linha (conhecido no Brasil como papagaio)
ou at phreaking, impedindo sua identificao.
Alm do black-hat, temos os crackers e os wannabes, que de certa
forma, poderiam ser enquadrados como black-hats, mesmo no tendo
conhecimento para tal.
Os crackers faro ou tentaro fazer uma invaso apenas pelo desafio, ou
para enaltecer seu ego, junto ao espelho, ou junto comunidade da qual
participa. Neste aspecto, o wannabe possui mais ou menos o mesmo ponto de
vista. Contudo, o wannabe usa mais suas histrias para se afirmar dentro do
seu grupo social do que o cracker. Um exemplo clssico do comportamento de
um cracker foi o demonstrado pelo Kevin Poulsen, hacker bastante conhecido,
que foi preso nos EUA por ter invadido a rede de defesa (ARPANET). Um
resumo sobre ele pode ser encontrado em:
http://www.zdnet.com/zdtv/thesite/0797w4/iview/iview747_072497.html
Como demonstrado, esta uma diferena bsica: o cracker possui algum
conhecimento e mais objetivo em suas realizaes. O wannabe geralmente
no organizado, e tenta testar em tudo e em todos as novidades que
conseguir obter. Este mais perigoso, pois pelo fato de atirar em todas as
direes, pode atingir qualquer um, eu, voc, ou algum conhecido / famoso.
tambm o mais fcil de cair nas mos da justia, pela enorme trilha de pistas
que deixa no caminho por onde passa.
www.projetoderedes.kit.net
surgem pela interao de programas. Digamos, que o programa original,
instalado em um contexto onde realiza suas tarefas sozinho, no apresente
falhas. Mas, a partir do momento que posto para trabalhar em conjunto com
outro programa, expe algum bug ou falha operacional. Estas por sinal so as
mais difceis de diagnosticar, pois geralmente apresentam caractersticas
intermitentes.
www.projetoderedes.kit.net
Plataforma Windows: Windows 9x
O Windows 9x (95 ou 98) no foi concebido com segurana em mente.
Contudo, a Microsoft esqueceu que, com o advento da Internet, alguma
segurana deveria existir por padro no sistema para evitar ataques pela
Internet, para usurios deste sistema. De qualquer forma, existem alguns
procedimentos que qualquer um pode adotar para tornar seu computador
windows 9x mais seguro. Obviamente, praticamente impossvel ter uma
funcionalidade de servidor de algum tipo, exposto Internet, aliada
segurana, com este sistema operacional.
A principal medida que deve ser adotada a remoo do
compartilhamento de arquivos e impressoras para redes Microsoft, no painel de
controle. Caso seu computador participe de uma rede, dentro de uma empresa
por exemplo, consulte o administrador da rede ANTES de realizar qualquer
alterao. As empresas geralmente possuem polticas internas para tais
configuraes.
Veja:
Atravs do cone Rede no painel de controle, se tem acesso caixa de dilogo
ao lado. L, voc poder encontrar o componente Compartilhamento de
arquivos e impressoras para redes Microsoft. Este componete transforma o
Windows 9x em uma espcie de servidor de rede que, se configurado de forma
incorreta, poder abrir seu computador para qualquer invasor. Se no for
possvel remover o componente, pea proprie-dades do adaptador dial-up
(como na imagem acima), v em Ligaes e desmarque a opo
Compartilhamento de arquivos e impressoras para redes Microsoft. Isso far
com que o componente servidor do Windows 9x no esteja ativo atravs de sua
conexo via modem / dial-up.
Alm da configurao de rede de um computador Windows 9x, existem
outros aspectos que devem ser observados. O primeiro deles em relao
atualizaes. O Windows 9x possui um servio bastante interessante, chamado
Windows Update. Atravs dele, quando conectado na Internet, voc poder
atualizar seu sistema automaticamente. Basta clicar o cone Windows Update
no menu iniciar. Manter o seu sistema sempre atualizado primordial para
manter a segurana.
O segundo aspecto em relao a que servios seu computador est
iniciando automaticamente ao ser ligado / inicializado. Olhe dentro do grupo
Iniciar por programas estranhos, e nas seguintes chaves no registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesHKEY_LOCAL
_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run Por padro, apenas o
www.projetoderedes.kit.net
Internet recentemente, aconselhvel instalar um anti-virus atualizado o mais
rpido possvel. Provavelmente um cavalo-de-tria.
Indo um pouco mais alm, voc pode executar o comando netstat
an para verificar se seu computador est configurado para escutar em
alguma porta suspeita. Isto tambm pode indicar algum cavalo-de-tria.
Ao digitar o netstat an voc ter como resposta algo assim:
Microsoft(R) Windows 98
(C)Copyright Microsoft Corp 1981-1999.
C:\WINDOWS\Desktop>netstat -an
Conexes ativas
Proto
TCP
TCP
TCP
UDP
UDP
Endereo local
200.249.213.241:137
200.249.213.241:138
200.249.213.241:139
200.249.213.241:137
200.249.213.241:138
Endereo externo
0.0.0.0:0
0.0.0.0:0
0.0.0.0:0
*:*
*:*
Estado
LISTENING
LISTENING
LISTENING
C:\WINDOWS\Desktop>
www.projetoderedes.kit.net
A principal diferena em termos de segurana do Windows NT/2000 para
o 9x, ns podemos reconhecer logo no incio: apenas um usurio vlido pode
usar o computador localmente, bem como via rede, de acordo com as
permisses configuradas. Voc precisa ser autenticado para ter acesso
console. Portanto, manter um cadastro de usurios necessrio. Este cadastro
deve forar os usurios a trocar de senha priodicamente, bem como exigir que
senhas de um determinado tamanho mnimo sejam usadas (em sistemas
seguros, recomendado usar o mximo de caracteres suportados pelo NT: 14.
No caso do 2000, tambm podemos usar 14, pois um bom valor. Contudo, o
Windows 2000 permite senhas de at 256 caracteres).
A primeira coisa que se deve fazer ao usar NT/2000 escolher que
sistemas de arquivos voc usar. Se segurana um requisito, o sistema NTFS
deve ser usado. Contudo, o sistema NTFS no ser visvel por outro sistema
operacional, apenas pelo NT/2000 (O Linux pode enxergar parties NTFS para
leitura).
Em segundo lugar, logo aps a instalao, o ltimo service pack deve
ser instalado. Service packs so atualizaes do Windows NT, disponveis no
site da Microsoft. Estas atualizaes so acumulativas, portanto, caso o ltimo
service pack seja o 7, no ser necessrio instalar os anteriores. Apenas a
ltima verso. Observao: no Windows 2000, o mtodo de atualizaes foi
alterado. Ele est muito parecido com o do Windows 9x (atravs do Windows
Update). Portanto, para atualizar um sistema Windows 2000, basta escolher a
opo Windows Update no menu iniciar. Caso deseje baixar manualmente as
atualizaes, poder proceder pelo seguinte endereo:
http://www.microsoft.com/windows2000/downloads/
Uma vez instalado e atualizado, precisamos ento realizar algumas
alteraes no sistema para torn-lo mais seguro. Existem 4 alteraes
essenciais: auditoria, remover servios desnecessrios, alterar as permisses
padro do sistema de arquivos, e alterar as configuraes de rede.
1. Auditoria
Em um sistema seguro, primordial que exista algum tipo de auditoria,
onde certos erros de permisso sejam armazenados para anlise.
recomendado que no NT/2000, todos os objetos sejam auditados quanto
falha de acesso. No caso do objeto Logon/Logoff, tambm recomendado
que o sucesso seja auditado, para que uma anlise de quem efetuou ou no
logon no computador, localmente ou via rede, seja possvel. No acione a
auditoria em processos ou em arquivos, a no ser que seja para depurao de
um problema de segurana eminente. Estes dois objetos causam muita
atividade de log, deixando o computador / servidor mais lento.
www.projetoderedes.kit.net
2. Removendo servios desnecessrios
Alguns servios que so instalados por padro so considerados ou
vulnerveis a ataque, ou servios que podem divulgar informaes reservadas
do sistema, via rede. recomendado parar tais servios para impedir que isto
ocorra.
Os seguintes servios precisam ser parados, e configurados para inicializao
Manual:
Alerter
permite que um suposto hacker envie mensagens de alerta para a console
Messenger
permite que um suposto hacker via rede visualize o nome do usurio
atualmente logado na console, atravs do comando nbtstat
Clipbook Server
permite que um usurio via rede visualize o contedo da rea de trabalho
SNMP Service / SNMP Trap Service
So dois servios que pemitem a utilizao do Simple Network Management
Protocol. Se no possurem uma inteno especfica (como instalado pelo
administrador para monitorao do computador) ou se no estiver
corretamente configurado, pode revelar muitas informaes sobre o
computador em si, como interfaces de rede, rotas padro, entre outros dados.
recomendado ter cautela com tais servios
Scheduler
um servio que permite o agendamento de tarefas no sistema. Voc pode
programar para que tarefas sejam executadas numa determinada hora.
Cuidado: por padro, qualquer pograma iniciado pelo sistema de agendamento,
possuir o contexto de segurana do prprio sistema, tendo acesso a
praticamente qualquer informao. Caso seja realmente necessrio, crie um
usurio sem direitos (com direito apenas de executar a tarefa desejada) e
programe este servio para ser inciado no contexto de segurana deste usurio
criado (no Windows 2000, o servio se chama Task Scheduler)
Em computadores que so usados exclusivamente em casa, e que no
participam de nenhuma rede, apenas acessam a Internet atravs de um
modem, recomendado tambm parar os seguintes servios:
Computer Browser
Servio excencial a uma rede Microsoft. Permite que este computador seja
eleito um Browser Master, ou controlador de lista de recursos de um grupo de
www.projetoderedes.kit.net
trabalho ou domnio. Numa configurao de apenas uma mquina, no
necessrio estar no ar
Server
O Server Service o equivalente no Windows NT/2000, ao
Compartilhamento de arquivos e impressoras para redes Microsoft, do
Windows 9x. Da mesma forma, se seu computador no participa de nenhuma
rede, e apenas acessa a Internet via modem, este servio pode ser parado, e
configurado para no iniciar automaticamente, assim como os demais.
Correio Eletrnico
O correio eletrnico, hoje em dia, claramente o meio mais usado para
disseminao de vrus e cavalos-de-tria. O email de certa forma uma
aplicao bastante invasiva, e, por este motivo, todo cuidado pouco ao
receber qualquer mensagem que seja, com um arquivo anexo. A maioria dos
usurios de rede e Internet hoje no mundo todo, acessam suas contas de
correio atravs de um protocolo de recepo de mensagens chamado POP3
(Post Office Protocol v. 3). Este protocolo, aliado configurao padro da
maioria dos programas clientes de correio, faz com que, ao checar sua caixa
postal, todas as mensagens sejam baixadas de forma no interativa. Caso
algum dos correios esteja infectado com um script ou cavalo-de-tria, o usurio
somente saber quando o correio j estiver dentro de sua caixa postal local.
Assim sendo, muito comum o usurio, movido pela curiosidade, tentar
abrir qualquer documento anexo mensagem. Boa parte dos cavalos-de-tria
so programinhas grficos apelativos, com mensagens que alimentam a
curiosidade do usurio, como pequenas animaes, desenhos, ou coisas do
gnero. Ao executar algum programa destes, o usurio tem a impresso de que
nada ocorreu. Contudo, o cavalo-de-tria tem uma segunda funo, que
geralmente abre o computador para um ataque via Internet. Os cavalos-detria sero discutidos mais a frente.
www.projetoderedes.kit.net
Microsoft SQL Enterprise Manager
O Microsoft SQL Enterprise Manager uma console de gerncia de
servidores Microsoft SQL 7.0, que utilizam como base o MMC (Microsoft
Management Console). Foi descoberta uma vulnerabilidade quando o usurio
registra um banco de dados para gerncia, e opta por salvar a senha para uso
posterior. A senha armazenada no registro do sistema com criptografia fraca,
sendo possvel descobrir qual a senha. recomendado NO salvar a senha, e,
ao registrar um novo banco de dados, marcar a opo de no salvar a senha e
perguntar pela informao de autenticao todas as vezes que entrar no
Enterprise Manager.
4. Tcnicas de Invaso
Vrias tcnicas bsicas de invaso ou de DoS exploram problemas
gerados pela m configurao de computadores e servidores em rede, que so
os alvos primrios caso algum hacker se interesse em invadir uma determinada
rede.
Existem diversas tcnicas de invaso, que poderamos tratar melhor se
chamssemos de abordagens. Existem diferentes abordagens para diferentes
ambientes de rede. A abordagem usada na invaso de uma rede corporativa
ser completamente diferente da abordagem usada em uma pequena rede que
talvez nem esteja conectada diretamente Internet, como tambm ser
diferente da abordagem usada para invadir um usurio apenas.
Desta forma, os seguintes passos podem ser adotados:
Probing
Hackers tentaro investigar sua rede para determinar: que servios
rodam em qu servidores; quais so as verses destes servios; quais
so os servidores, e onde esto localizados na rede; um esboo ou um
mapa da rede; relaes de confiana entre os servidores; sistemas
operacionais utilizados; possveis estaes de gerncia na rede; filtragem
de pacotes (se existir); sistema de deteco intruso IDS (se existir);
honeypots ou potes de mel (se existirem); portscanning (passivo e com
spoofing se possvel). Se for justificvel, utilizao de war dialing. Descobrir
qual a relao da rede interna da empresa, com a rede de gerncia
(entenda-se por rede interna, aquela usada pelos funcionrios).
Observao importante: dependendo da inteligncia do suposto
hacker, a fase de probing ser realizada atravs de algum mtodo que
impossibilite sua identificao, como atravs de provedores gratuitos ou atravs
de linhas telefnicas roubadas.
www.projetoderedes.kit.net
Engenharia Social (Social Engineering)
O prximo passo, ou realizado em paralelo, ser a utilizao de tcnicas
de engenharia social. Atravs destas tcnicas, informaes valiosas
podero ser obtidas. Descobrir informaes pessoais sobre o(s)
administrador(es) da rede; informaes sobre fornecedores de suprimentos
e manuteno; descobrir quem tem acesso privilegiado a qualquer servidor
ou estao; avaliar o grau de conhecimento desta pessoa (quanto menor,
melhor, se possuir acesso privilegiado); descobrir nmeros de telefone
importantes (o nmero de telefone do administrador, das pessoas envolvidas
com a administrao da infra-estrutura, telefones de departamentos como
comercial); tentar tambm obter uma lista de endereos de correio
eletrnico importantes. Tentar obter informaes do suporte telefnico da
empresa, caso possua. Obter acesso ao lixo da vtima, se possvel (sim, os
filmes que falam de hackers o fazem geralmente de forma bastante errada:
contudo, nisso eles acertaram: uma das maiores fontes de informao sobre a
vtima ser seu lixo).
A partir da, o prximo passo ser tentar relacionar as informaes
coletadas at agora. Baseado nas informaes levantadas no primeiro passo, o
hacker ir pesquisar na Internet e na sua comunidade sobre vulnerabilidades
existentes nas verses dos programas, servios e sistemas operacionais usados
pela rede.
Alm disso, caso a relao da rede interna com a rede de gerncia seja
direta, uma abordagem baseada em cavalos-de-tria ser interessante. O
objetivo passar a ser conseguir ter acesso ao trfego da rede interna. Isto
pode ser feito enviando trojans para departamentos administrativos,
comerciais, e financeiros. A maioria dos funcionrios destes departamentos so
leigos e no sabero a diferena entre um documento do Word e um
executvel anexo ao seu correio eletrnico. bem provvel que, com alguns
dias de investigao do trfego da rede interna, voc consiga alguma senha
com direitos de administrao. Como administradores de rede tem o hbito de
usar a mesma senha para diversas ferramentas, se na primeira fase alguma
ferramenta de gerncia remota foi achada, ento, mais do que provvel que
as senhas sero idnticas.
Independente da abordagem adotada, o hacker ter duas coisas em
mente: objetividade, e mxima dissimulao. Tudo ser feito sem pressa, para
no levantar suspeitas. Ele poder at tentar fazer amizade com algum que
tabalhe na empresa (isso mais fcil do que parece: basta visitar os mesmos
lugares que essa pessoa visita, principalmente se estes lugares forem escolas,
universidades ou clubes, pois nestes lugares existe um sentido maior de unio).
Obviamente, tudo isso depender da informao que se deseja obter: o hacker
avaliar se todo o esforo vale a pena. Contudo, lembre-se que muitos fazem
pelo desafio, e superaro enormes dificuldades somente para provar a si
mesmos que so capazes.
www.projetoderedes.kit.net
Programas Usados para Obter Informaes
Diversos programas podem ser usados para obter informaes sobre a
rede ou computadores / servidores remotos. Alguns deles so:
www.projetoderedes.kit.net
configurada. Para evitar a efetividade do CIS, aconselhvel usar ele prprio,
analisar quais vulnerabilidades foram encontradas, e san-las uma a uma.
WhatsUp Gold
O WhatsUp um programa desenvolvido pela empresa IPSwitch, com a
inteno de ser uma ferramenta de monitorao de rede. Porm, ele possui
internamente uma funo usada para descobrir, dado um intervalo de
endereos, quais esto ou no ativos, bem como outras informaes, como o
nome das mquinas. Bastante eficiente em redes Microsoft, com ele voc
poder ter uma idia de quantas mquinas esto ativas numa determinada
classe, por exemplo. Para barrar o WhatsUp, basta filtrar as portas do NetBIOS
e trfego ICMP.
TELNET
O prprio telnet do Windows pode ser usado para descobrir que verso
um determinado servidor est rodando, por exemplo, de sendmail, servidor
web, POP3 ou FTP. Para isso, basta disparar um TELNET para a porta do
servio desejado.
Vejamos:
telnet empresa.com.br 25
220 dominus.elogica.com.br ESMTP Sendmail 8.9.3/8.9.3; Wed, 29 Mar 2000 20:38:40 0300
www.projetoderedes.kit.net
Veja no anexo 7, uma coletnea de telas de trojans conhecidos. Cada um
destes programas pode ser removido atravs de um bom programa de antivirus, como o Norton anti-virus, o AVP, ou o TrendMicro. Todos estes anti-virus
possuem download para avaliao (30 dias) e podero salvar sua pele, mesmo
que voc no compre o programa (desisntale em seguida).
http://www.antivirus.com
J os backdoors podem ter mais ou menos a mesma funcionalidade de
um trojan, mas possuem outras intenes. Quando um hacker consegue acesso
a um sistema, uma de suas primeiras atitudes ser instalar backdoors no
sistema. Estas backdoors lhe permitiro voltar a ter acesso a este sistema se
por acaso o dono / usurio ou administrador descobrir que sua segurana foi
violada. Uma backdoor pode ser na forma de um programa (assim como os
trojans), como um script (principalmente em ambiente UNIX), ou at como uma
srie de procedimentos (criar uma conta com direitos de administrao , com
um nome comum).
Buffer Overflow
Buffer overflows so consequncia direta de pssimos hbitos de
programao. Consiste em enviar para um programa que espera por uma
entrada de dados qualquer, informaes inconsistentes ou que no esto de
acordo com o padro de entrada de dados. De forma resumida, seria mais ou
menos tentar encaixar uma bola de basquete em um buraco de golf.
Em programas que no tratam a consistncia dos dados de entrada,
pode haver uma desestruturao do cdigo em execuo, permitindo que
cdigo estranho seja enviado e executado. Imagine um buffer de entrada de
dados configurado para receber 32 bytes. Imagine agora que este mesmo
buffer no possui uma checagem da consistncia dos dados. Agora, tente
enviar mais do que 32 bytes. Isso normalmente estourar o buffer (buffer
overflow), e normalmente, o que passar de 32 bytes, invadir outras reas de
memria do sistema. Dependendo de que reas sejam estas, possvel fazer
com que esta carga extra tambm seja executada. exatamente a onde
mora o perigo.
No anexo 8, temos um exemplo de buffer overflow no Windows NT.
As formas mais comuns de buffer overflow so encontradas em
servidores web e de FTP. Ao se submeter uma URL muito grande (geralmente
acima de 150 caracteres) o servidor para de responder. Vrios softwares
servidores Web e FTP famosos j foram vtimas de tais vulnerabilidades, como
o Apache Web Server, o Internet Information Server, o Serv-U FTP Server, War
FTP d, entre outros. No ambiente UNIX, existem ou existiram diversas
vulnerabilidades deste tipo nos servidores de SMTP (envio de correio) e POP3
(recebimento de correio).
www.projetoderedes.kit.net
Exploits
Exploits so pequenos scripts ou programas que exploram uma
vulnerabilidade de segurana. Seria mais ou menos como encontrar um furo
numa cortina, enfiar os dois dedos, e arrebentar o furo. Geralmente so
cdigos locais (precisam ser executados no computador que se deseja
comprometer), apesar de existirem exploits remotos (via rede). O nome
exploit tambm atribuido as vulnerabilidades descobertas em softwares
(sistemas operacionais, servidores, programas em geral). Existem diversos sites
de segurana que falam sobre exploits mais recentes. Os mais famosos so:
RootShell
Internet Security Systems Xforce
PacketStorm Library
CIAC (Computer Incident Advisory Capability)
CERT (Computer Emergency Response Team)
www.projetoderedes.kit.net
servidores que possuem alguma segurana possuem tambm logs de acesso
(arquivos de sistema onde so armazenadas informaes crticas, como acesso,
autenticao e etc). Imagine que o administrador coloque os logs no mesmo
espao em disco do sistema. Assim, se gerarmos milhares (talvez milhes) de
entradas no log, o arquivo ir crescer at ocupar todo o disco. Outro tipo de
ataque DoS comum: vrias redes possuem programadas uma ao, caso um
login tente por diversas efetuar logon e erre suas credenciais. Esta ao
geralmente o bloqueio indeterminado da conta (login), que apenas pode ser
restaurado com a interveno do administrador. Forar o travamento de uma
conta destas considerado um ataque DoS, principalmente quando esta conta
a usada por algum servio (se a conta for bloqueada, o servio sair do ar).
J ataques que visam tirar do ar uma rede, ou um servidor atravs de
trfego excessivo, ou enviando pacotes de rede invlidos tambm so
possveis. A cerca de 2 anos atrs, foi lanado na Internet uma vulnerabilidade
em pilhas TCPIP de computadores Windows. Consistia em enviar para um
determinado servio, pacotes TCP com uma sinalizao de urgncia. Contudo,
o contedo do pacote era composto de caracteres invlidos. Este ataque DoS
ficou conhecido como OOB (Out Of Band data). Hoje em dia, a grande maioria
das pilhas TCPIP so protegida contra este tipo de ataque, e variaes. Porm,
como no velho ditado gua mole em pedra dura tanto bate at que fura, se a
quantidade de informao invlida for realmente muito grande, ainda existe a
possibilidade de tirar do ar o computador. Para se obter a quantidade suficiente
de pacotes, o ataque do tipo DoS foi extendido, para o que conhecemos hoje
como DDoS (Distributed Denial of Service).
www.projetoderedes.kit.net
Existem outros tipos de pacotes ou requisies de conexo que tem uma
eficcia muito maior do que uma simples requisio de acesso web. Contudo, o
segredo est em como gerar este trfego ou requisies, de vrias mquinas
espalhadas pela Internet. Isto feito atravs de 2 componentes de software: o
agente ou server (software, programa ou daemon que executado nas
mquinas espalhadas pela Internet), e o cliente (componente que controla a
ao dos agentes).
Os agentes ou servers so colocados para rodar em servidores
espalhados pela Internet por hackers, que invadem os sistemas. Existe uma
ferramenta de ataque DDoS chamada trin00 onde o agente um vrus para a
plataforma Windows ( colocado em execuo em computadores como um
trojan ou cavalo-de-tria). Uma vez disseminados os agentes, o hacker
atravs do cliente, envia um comando de ataque para os agentes, ao mesmo
tempo, atacarem uma determinada rede ou mquina.
IP Spoofing
A tcnica de spoofing possui uma lgica bastante simples. Muitos
servios antigos que so executados em hosts UNIX dependem de uma relao
de confiana, baseada no endereo de rede de um determinado host. Digamos
www.projetoderedes.kit.net
que um servio determinado, s aceite comandos ou conexes de um
computador que esteja em um determinado endereo IP pr configurado. A
tcnica de spoofing consiste em personificar este computador na qual a vtima
confia. Basicamente, precisa-se ter o endereo IP da vtima, o endereo IP do
computador confiado, ter algum modo de tirar o computador confiado do
ar, saber como quebrar o nmero de sequncia TCP da vtima. Teoricamente,
quaquer servio que tenha sua segurana dependente apenas da confirmao
de um endereo origem de rede, vulnervel a este tipo de ataque. uma
tcnica bastante apurada, e que requer geralmente uma certa dedicao. No
anexo 10, a tcnica e descrita em detalhes em um timo whitepaper.
O Que Fazer ?
Usurio final
O usurio ter muita dificuldade de detectar que foi invadido. A no ser
que o hacker wannabe deixe sua assinatura dentro do computador, o tpico
usurio na grande maioria das vezes sequer saber que algum mexeu em seus
arquivos, a no ser qe possua algum utilitrio para detectar uma invaso. Em
todo caso, se isto for verdade, o usurio acabou de provar que o programa no
funciona (...).
A primeira coisa que deve ser feita instalar um bom anti-virus e
execut-lo fazendo uma varredura em todo o sistema. Isso eliminar a
possibilidade de cavalos-de-tria. Caso no ache nada, ento muito provvel
que, se o seu computador Windows, ele foi invadido pelo compartilhamento
de arquivos e impressoras para redes Microsoft, ou por algum servio que
esteja sendo executado, como FTP ou HTTP.
Usurio Corporativo
Neste caso, o administrador da rede deve ser notificado
IMEDIATAMENTE. NO DESLIGUE, ou desconecte o computador! Parte da
www.projetoderedes.kit.net
anlise que ser feita depende inteiramente do fato de que o hacker ainda no
sabe que foi descoberto. Simplesmente chame o administrador. Ele tomar
alguma abordagem.
Precaues
Jamais fale com estranhos na rua, ou aceite qualquer
coisa de um estranho.
Anlise Forense
Assim como em qualquer estudo criminalstico, o estudo srio da
criminalidade envolvendo informtica tambm tem seu ramo de anlise forense.
Contudo, pela prpria informalidade do ambiente de informtica nas empresas,
e pela ausncia de um corpo de estudo criminalstico na polcia, o assunto
tratado como conto de fadas.
Grandes empresas que possuam uma infra-estrutura de TI proporcional,
tero provavelmente sua prpria equipe de TI, de segurana, e,
consequentemente, de anlise forense. Estudos mostram que a maioria dos
ataques partem de dentro da empresa. Levando isso em considerao, faz-se
necessria a presena de uma equipe que estude casos como por exemplo,
proliferao de vrus. Porm, o objetivo principal da anlise a investigao de
uma falha, com a inteno de colher evidncias, que ajudem no processo de
responsabilizao, bem como no reparo dos danos e da prpria falha.
O trabalho do investigador forense baseado em provas digitais, dados
armazenados em sistemas de informtica. A caracterstica destes dados sua
fcil volatibilidade. Dados podem ser alterados com muita facilidade,
estragando uma prova crucial, ou incriminando quem no tem nada a ver com
a histria.
O especialista em segurana deve:
www.projetoderedes.kit.net
www.projetoderedes.kit.net
A seguir, vemos um esquema simples de firewall:
Firewalls: Filtragem
I
n
t
e
r
n
e
t
Rede Segura
Invasor
Permitido
Firewall
Invasor
Existem outros modelos para uso com firewalls. O modelo mais eficiente
o de zona desmilitarizada. Nele, servidores e computadores crticos so
protegidos tanto da rede interna quanto da rede externa. Veja:
Existem alguns produtos, ou solues de software bastante
interessantes, que tentam implementar o mesmo princpio de um firewall em
seu computador. Estes programas so chamados de Personal Firewalls, e so
bem baratos, ou de graa. Alguns deles:
ZoneAlarm
Muito bom produto, um dos melhores, e gratuito. Ainda est em beta,
mas bem estvel. No recomendo a sua instalao em um computador
Windows 2000 com mais de um processador.
Norton Internet Security 2000
http://www.symantec.com/sabu/nis/
Fantstico produto da Symantec, aclamado por diversas revistas e
publicaes especializadas. O ncleo do componente de filtragem veio de outro
produto, o atGuard, da WRQ, que era vendido at o final do ano passado. A
Symantec licenciou o produto e construiu essa suite de proteo. Inclui at
anti-virus.
Para quem usa Linux, por padro, o ncleo do sistema possui filtragem
de pacotes. Atualmente, a ferramenta usada (no caso do RedHat) o IPChains.
www.projetoderedes.kit.net