Escolar Documentos
Profissional Documentos
Cultura Documentos
SEGURANA NA
WEB
Segurana na Web
CAT-Informtica
-1-
CBPF-NT-008/2000
Prefcio
Uma rede local conectada a Internet exige a implementao de vrias normas de segurana. Com
o surgimento da Internet comercial, o acesso aos detalhes sobre falhas de segurana em qualquer
aplicao ficou muito mais fcil.
Segurana tem se tornado uma das principais atribuies dos administradores de redes, pois a
cada dia surgem novos vrus e vulnerabilidades so descobertas nos diversos sistemas de rede.
Esta Nota Tcnica uma introduo a segurana na World Wide Web, abordando desde o
protocolo primrio utilizado na Internet (TCP/IP), at as estatsticas das pixaes feitas nos sites
mundiais.
Segurana na Web
CAT-Informtica
-2-
CBPF-NT-008/2000
NDICE
1. Introduo ----------------------------------------------------------------------------------------2
2. Comunicao na Internet ----------------------------------------------------------------------3
2.1. Protocolo TCP/IP---------------------------------------------------------------------3
-Aplicao----------------------------------------------------------------------------------3
-Transporte---------------------------------------------------------------------------------3
-Rede----------------------------------------------------------------------------------------3
-Fsico-------------------------------------------------------------------------------------- 4
2.2. A aplicao WWW ----------------------------------------------------------------- 4
2.2.1. Definio ------------------------------------------------------------------ 4
2.2.2. Web server----------------------------------------------------------------- 5
-Apache----------------------------------------------------------------------------6
-IIS --------------------------------------------------------------------------------7
2.2.3. Executando programas na Web------------------------------------------8
-CGI--------------------------------------------------------------------------------8
2.2.4. Web Chats------------------------------------------------------------------9
2.2.5. Invasores -----------------------------------------------------------------11
-Hackers--------------------------------------------------------------------------11
2.2.6 Segurana ---------------------------------------------------------------- 12
-SHTML -------------------------------------------------------------------------12
-Criptografia---------------------------------------------------------------------12
2.2.7 Insegurana----------------------------------------------------------------13
-Java applets hosts--------------------------------------------------------------13
3. Estatsticas de pixaes em pginas na internet ------------------------------------------ 14
4.Concluso----------------------------------------------------------------------------------------17
5.Bibliografia--------------------------------------------------------------------------------------18
Glossrio------------------------------------------------------------------------------------------- 19
Apndice 1 ---------------------------------------------------------------------------------------- 22
Segurana na Web
CAT-Informtica
-3-
CBPF-NT-008/2000
INTRODUO
Atualmente as empresas e instituies que integraram internet tm enfrentado
uma srie de problemas relacionados a segurana de seus Web Servers, que so as
mquinas que oferecem o servio de HTTP para determinada rede.
Isto decorrente do crescimento descontrolado da Web. Explicaremos no
decorrer desta nota tcnica de que maneira estes Web Servers podem permanecer mais
seguros.
Existem uma srie de Servers (servidores) disponveis no mercado,
apresentaremos dois dos principais com algumas das caractersticas relativas parte de
segurana, assim como, o tipo de plataforma que operam, alm de algumas sugestes de
configurao destes servidores.
Ser explicado de maneira geral como as informaes trafegam na rede, o perfil
de um invasor, as falhas mais comuns na configurao de um Web Server, e dos
protocolos utilizados para enviar, receber e intermediar as relaes servidor/cliente
(usurio).
Segurana na Web
CAT-Informtica
-4-
CBPF-NT-008/2000
2-COMUNICAO NA INTERNET
2.1-TCP/IP -( TRANSMISSION CONTROL PROTOCOL/INTERNET PROTOCOL)
um padro de comunicao que rene um conjunto de protocolos tais como
tcp, ip, ftp (file tranfer protocol), telnet, icmp, arp e nfs.
As informaes que trafegam na rede necessitam do TCP/IP, por isso ele
utilizado como protocolo primrio da rede na internet.
Este protocolo foi dividido em camadas bem definidas, cada uma realizando
sua parte na tarefa de comunicao (aplicao, transporte, rede, e fsico). Este modelo
tem a seguinte vantagem: por ter os processos de comunicao bem definidos e
divididos em cada camada, qualquer alterao poder ser feita isoladamente, no
precisando reescrever todo o protocolo.
O TCP/IP tem como principal caracterstica a transmisso de dados em
mquinas que diferem em suas arquiteturas .
Estas so as camadas que compem o modelo TCP/IP.
Aplicao
Transporte
Rede
Fsico
-APLICAO
Nesta camada so necessrios protocolos de transporte para garantir o funcionamento
das aplicaes reais (DNS, WWW, SMTP, POP, NFS, FTP).
Esta camada trabalha com a porta a qual esta ligada a aplicao.
Ex: FTP (porta 21), HTTP (porta 80), Telnet (porta 23), etc.
-TRANSPORTE
Utiliza dois protocolos para a comunicao Host-to-Host (TCP/UDP).
Esta camada tambm tem como funo organizar e controlar o fluxo de dados
transmitidos para que o protocolo no se perca no meio de tantos pacotes.
-REDE
A camada chamada de rede ou Internet, tem como principal funo direcionar os
dados aos seus respectivos endereos. Esta caracterstica chamada de roteamento, que
tambm tem como vantagem evitar o congestionamento da rede, pois trabalha com
endereo IP de origem e destino.
Segurana na Web
CAT-Informtica
-5-
CBPF-NT-008/2000
-FSICA
Esta camada est com o seu funcionamento baseado na placa de rede, que dependendo
do meio em que est funcionando trabalhar com diferentes padres.
(fig. 1)
Segurana na Web
CAT-Informtica
-6-
CBPF-NT-008/2000
Web Server
Software
Web Server
(fig. 2)
Cada Servidor Web possui tem caractersticas prprias, sendo necessrio observar os
procedimentos includos na documentao de cada um. Entretanto, existem alguns
tpicos comuns a qualquer servidor Web que permitem configurar os ambientes
particulares de cada instalao. Alguns desses tpicos referem-se a especificaes do
tipo:
!
!
!
!
!
!
!
!
!
55%
IIS
32%
25%
Netscape
6%
NCSA
2%
Novell
10%
Outros
(fig. 3)
Segurana na Web
CAT-Informtica
-7-
CBPF-NT-008/2000
-APACHE
O APACHE o melhor e mais popular web server no mundo. Muitos sites na
Internet o usam e isso se d pela sua grande segurana e excelente desempenho. At
mesmo em sua verso Windows, ele pode ser usado para fazer grandes servidores. A
tabela abaixo est mostrando a relao entre grandes instituies e os servers utilizados.
Servidor
Apache
Instituio
Javasoft, FBI, Financial Times, O Banco de
dados de Cinema, W3 Consrcio, A Famlia
Real, Servio de Automatizao da
Biblioteca Universitria de Oxford M.I.T,
Universidade de Harvard e a Universidade
de Texas em Austin
CAT-Informtica
-8-
CBPF-NT-008/2000
-IIS
O IIS ( Internet Information Server) o segundo Web server mais utilizado na
internet. Este server tem como funes estabelecer um modelo de segurana e oferecer
recursos de monitorao no Windows NT. A segurana deste server consiste
basicamente em controlar o acesso informaes contidas no sistema, atravs de
permisses especiais de acessos s pastas e programas, impedindo assim que usurios
faam utilizaes indevidas ou visualizem arquivos de acesso restrito.
O mais importante em relao a parte de segurana do server o modo com que
ele configurado, no se pode de nenhuma maneira tornar acessveis informaes do
sistema relativas a localizao de arquivos de configurao, pastas que contenham
informaes confidenciais como senhas ou qualquer outro tipo de informaes que
facilitem ou permitam a entrada de invasores.
Segurana na Web
CAT-Informtica
-9-
CBPF-NT-008/2000
O IIS da Microsoft possui uma srie de bugs, alguns j foram sanados atravs de
patchs disponibilizadas na prpria pgina da empresa. At este momento foram
descobertos cerca de 14 bugs. A seguir sero explicados 2 deles.
" Relativo ao active server pages (asp), que funciona criando documentos
dinmicos atravs da combinao de html com scripts. Quando este recurso
utilizado e o Web server que estiver rodando for o IIS 4.0, possvel
visualizar todo o contedo do diretrio digitando um ponto (.) no final do
endereo. Nestas pastas podem estar contidos arquivos de acesso restrito e a
apropriao indevida dos mesmos pode acarretar por exemplo no roubo de
senhas. Este patch est disponvel na pgina da Microsoft.
" Relativo ao ataque DoS (Denial of Service). Este ataque consiste em
sobrecarregar o CPU invadida, enviando solicitaes que provoquem falhas
no inetinfo.exe do IIS. Ao ser corrompido este processo ser iniciado usando
100% da capacidade da CPU pertencente ao server, dificultando a aceitao
de solicitaes e tornando o server mais lento, no decorrer do processo o
servidor travar sendo necessrio reinicializar o sistema. A Microsoft
disponibilizou os patches para correo que podem ser encontrados no
prprio site da Microsoft.
Web Server
(fig. 4)
Segurana na Web
Cliente
Protocolo CGI
CAT-Informtica
-10-
CBPF-NT-008/2000
O cgi gera problemas aos web servers, s redes que os hospedam e at mesmo os
clientes de HTTP. Este perigo no est ligado ao protocolo cgi e sim aos scripts cgi
contidos neste diretrio. Esses sim, so a maior fonte de bugs de segurana e por isso
precisam ser escritos cuidadosamente.
Na verdade, o que pode gerar isso so alguns erros sutis na codificao,
permitindo assim que informaes de servidores ou do sistema apaream, ou comandos
arbitrrios gerados a partir desses scripts.
Verses afetadas
1.0-2.3
1.0-1.2
at 2.0
1.0
1.0
Todas
Uso
contador de pgina
distribui software
Linguagem de scripts
cria formulrios
envia dados/e-mail
Phone book
Segurana na Web
CAT-Informtica
-11-
CBPF-NT-008/2000
Ele pode tentar um ataque que nada tem a ver o usurio. simples, o pirata s
tenta burlar regras impostas por responsveis pelo chat como:
Dar efeitos diferentes ao texto (cor, tipo de texto).
Entrar em uma pgina que o limite de usurios j esta esgotado.
Entrar em salas restritas assinantes de determinado provedor.
Enviar mensagens a todos os usurios da sala simultaneamente e repetidamente.
O mais alarmante disso que esses ataques podem ser feito por qualquer pessoa,
sem que seja necessrio grande conhecimento tcnico.
Outros fatores que contribuem para a falta de segurana dentro destes chats a
demora dos provedores em desenvolverem protees contra para estes tipos de ataques
(os chamados filtros), e a facilidade com que estas informaes so disponibilizadas na
Internet por meio de sites hackers, tem instrues detalhadas de como fazer, atravs das
linhas de comando, ou como instalar e configurar determinados programas que
executem este tipo de funo.
Como dito no pargrafo acima, essas ocorrncias podem surgir tanto por linhas
de comandos (como por exemplo comandos de HTML) como softwares especializados
neste tipo de atitude. Entre esses programas, podemos citar:
Segurana na Web
CAT-Informtica
-12-
CBPF-NT-008/2000
IpTracer
Rastreia IP em salas de chat.
Chat Buster
Outro ratreador de Ips em salas de chat. Esse se apresenta mais eficaz que o acima pois
funciona em mais chats que o anterior.
2.2.5 - INVASORES
-HACKERS
Quando iniciamos os estudos sobre segurana, vimos que a maioria das
referncias associam o termo "hacker" a piratas da rede, salvo uma, que deu a melhor
definio para este termo.
Um hacker no necessariamente uma pessoa que seja pirata de rede, e sim uma
pessoa com extrema capacidade de associao e compreenso, dotada com extrema
competncia em uma rea especfica, por isso o termo muito utilizado para
caracterizar os piratas da rede, pois geralmente so muito inteligentes e dedicados quase
que integralmente em seus objetivos ou suas atividades.
Os hackers so indivduos inteiramente ligados seus projetos de atacar redes
por diversos motivos, entre eles podemos citar a destruio de redes, utilizao dos
recursos que ela oferece, hospedar programas em uma determinada rede para que
atravs desta ele possa invadir outras, roubo de informaes, descobrir falhas nos
sistemas para que esta informao possa ser passada, assim, outros hackers podero
invadir da mesma forma ou at para provar aos outros que ele pode descobrir qualquer
falha e invadir qualquer sistema.
Normalmente, estas pessoas possuem algumas caractersticas comuns. A grande
maioria dos piratas de computador so jovens com idade entre 16 e 25 anos.
Eles tambm apresentam algumas outras caractersticas, como:
Ser especialista em HTML e em linguagens de programao da Internet tais como CGI,
DHTML, JAVA , PERL, alm de outras linguagens como C, C++, programao Shell.
Ter conhecimentos avanados em TCP/IP.
Conhecer minimamente todos os sistemas operacionais, principalmente LINUX, UNIX e
WINDOWS.
Preferir as linhas de comando aos ambientes grficos.
Os ataques, em sua grande maioria, ocorrem de madrugada, pois dificilmente os
administradores estaro controlando seus sistemas. Outra caracterstica destes ataques
que raramente deixam rastros.
Segurana na Web
CAT-Informtica
-13-
CBPF-NT-008/2000
2.2.6 - SEGURANA
Interna e externamente o servidor Web cada vez mais freqentemente o
elemento intermedirio da comunicao entre o usurio final e a aplicao de acesso ao
Banco de Dados para operaes ou de consulta. A busca por mecanismos que
assegurem que somente as transaes legtimas sejam acatadas, sem abrir mo de
formas de acesso baratas, universais e de amplo uso, tem sido uma preocupao
constante de quem implanta servios neste contexto.
-CRIPTOGRAFIA
A criptografia um conjunto de tcnicas utilizadas para transformar as
informaes que trafegam na rede, em textos cifrados para mente-las em sigilo. Ela
trabalha codificando a informao de modo que apenas quem tiver conhecimento da
chave utilizada, poder decodific-la.
Atualmente existem dois mtodos de encriptao, que utilizam algoritmos baseados em
chaves: simtrica e assimtrica.
A criptografia de chave simtrica trabalha utilizando uma nica chave para
codificar e decodificar a informao. Este tipo de criptografia mais utilizado nas
conexes temporrias ou em conexes seguras, como por exemplo no preenchimento de
dados sigilosos na internet. Como a chave utilizada nica, ela deve ser mantida em
segredo. A segurana dos algoritmos simtricos residem nesta chave e divulga-la
significa que qualquer um pode tanto cifrar como decifrar qualquer mensagem que
utiliza este sistema criptogrfico.
J a criptografia de chave assimtrica utiliza duas chaves diferentes para
encriptar. Estas chaves so denominadas de privada, que a qual apenas o usurio tem
conhecimento, e a pblica que transmitida para o destinatrio de modo que apenas este
possa decodificar a informao. O esquema abaixo ilustra este processo:
Segurana na Web
CAT-Informtica
-14-
CBPF-NT-008/2000
Cliente A
Envia mensagem
Cliente B
Recebe mensagem Chave privada cliente B + chave publica cliente A
(fig. 5)
2.2.7 INSEGURANA
Segurana na Web
CAT-Informtica
-15-
CBPF-NT-008/2000
Solaris
10%
BSD
7%
Outros
5%
NT
59%
Linux
19%
(fig. 6)
Segurana na Web
453
269
191
CAT-Informtica
-16-
CBPF-NT-008/2000
141
134
89
81
80
80
73
Russian Federation
(ru)
5%
Canada (ca)
5%
Argentina (ar)
5%
Australia (au)
5%
Brazil (br)
28%
Germany (de)
6%
Mexico (mx)
8%
Korea, Republic of
(kr)
9%
United Kingdom
(uk)
12%
(fig. 7)
O grfico acima refere-se aos domnios mais invadidos. Note que o Brasil lidera
esse ranking. Espera-se que ocorra uma reviravolta neste quadro a curto ou mdio
prazo, pois alguns sites j esto comeando a investir em segurana.
Segurana na Web
CAT-Informtica
-17-
CBPF-NT-008/2000
(fig. 8)
No grfico acima possvel observar que o IIS o Web server com o maior
ndice de invases, este servidor trabalha nas plataformas Windows NT, que por sinal
o sistema operacional com o maior nmero de invases. Logo em segundo vem o
Apache, porm preciso lembrar que este Web Server trabalha em diversas plataformas,
o maior nmero de invases ocorre quando este servidor est instalado em mquinas
que utilizam o Windows NT como sistema operacional.
(fig. 9)
Segurana na Web
CAT-Informtica
-18-
CBPF-NT-008/2000
4-CONCLUSO
No decorrer do desenvolvimento deste trabalho, conclumos atravs de inmeras
pesquisas, que o servidor Apache o mais seguro e eficiente, por sua confiabilidade,
versatilidade de plataformas de operao, alm de ser gratuito . Existem outros bons
web servers disponveis no mercado, porm no to seguros, devido ao grande nmero
de falhas em sua programao como o caso do IIS.
preciso esclarecer que apesar de ser o mais seguro, no 100% livre de falhas.
Portanto, preciso atualizar-se continuamente pois a cada dia so descobertos novos
bugs. Os invasores de sistemas esto ficando cada vez mais numerosos e com mais
recursos, todo o dia so lanados dezenas de programas de invaso, transformando a
rotina dos administradores de web servers em uma eterna monitorao.
Sugestes:
1. Manter-se, atualizado participando de listas de discusses e de boletins de
segurana.
2. Monitorao permanente da rede; atravs de logs confiveis.
3. Redundncia de servidores e/ou backup dirios.
4. Ter uma poltica de segurana.
Segurana na Web
CAT-Informtica
-19-
CBPF-NT-008/2000
5- Bibliografia
Devido ao carter instvel das paginas na internet, no garantimos a acessibilidade de
todos os sites.
1- Hackersclub - "www.hackersclub.com"
2- Microsoft
- "www.microsoft.com.br"
3- "www.cciencia.ufrj.br"
4- "latam.iis.net"
5- "www.hackersnews.com.br"
6- "www.hackers.com.br"
7- "Sistema X - "http://members.nbci.com/rogeriox/"
8- Anti-hackers http://www2.uol.com.br/cgi-bin/anti-hackers/builder/builder.cgi
9- Attrition www.attrition.org/mirror/attrition
10 - Formas de Ataque
Liana Tarouco
POP-RS/CERT-RS-UFRGS
Segurana na Web
CAT-Informtica
-20-
CBPF-NT-008/2000
GLOSSRIO
TELNET
O telnet um programa/protocolo utilizado para estabelecer uma comunicao remota
com outra mquinas. Este recurso permite uma conexo simples e sem interface grfica.
TCP (Transmission Control Protocol)
um dos protocolos que compem o TCP/IP, responsvel pelo transporte de
informaes pela rede.
IP (Internet Protocol ou Protocolo da Internet)
Responsvel pela identificao das mquinas, redes e encaminhamento das mensagens
entre elas. O IP responsvel pelo roteamento dos pacotes entre dois sistemas que
utilizem os protocolos do tipo TCP/IP. o mais importante dos protocolos utilizados na
internet.
FTP (File Transfer Protocol ou Protocolo de Transferncia de Arquivos)
Um protocolo padro da Internet que usado para transferncia de
arquivos entre computadores remotos.
NFS (Network File System ou Sistema de Arquivos de Rede)
Protocolo para compartilhamento de dados numa rede independente da mquinas
UNIX.
DNS (Domain Name System ou Sistema de Nome de Domnio)
O DNS funciona como um catlogo de endereos na Internet. Ao requisitar no servidor
de internet um endereo, ele procura em seu catlogo se ano conseguir encaminha este
endereo para outros servidores e se nenhum servidor da rede conseguir identificar o
endereo, ele considerado inexistente e a pesquisa para enviando uma mensagem de
erro para o browser.
SMTP (Simple Mail Transport Protocol ou Protocolo de Transporte de Mail Simples)
Protocolo utilizado para a transferencia de correio eletrnico de um computador para
outro em uma rede TCP/IP.
POP3 (Post Office Protocol)
Protocolo usado pelo correio eletrnico para manipulao de arquivos de mensagens em
servidores de correio eletrnico.
HTTP (HiperText Transfer Protocol ou Protocolo de Transferncia de HiperTexto)
o protocolo mais utilizado na web, pelo qual os documentos so enviados do servidor
para o Browser.
Segurana na Web
CAT-Informtica
-21-
CBPF-NT-008/2000
Unix
Sistema operacional desenvolvido pela AT&T. O Unix escrito em linguagem C,
tambm desenvolvida pela AT&T. Esse sistema tem como principais vantagens o modo
multiusurio, e a grande capacidade de processar.
Linux
Conhecido como "Unix para PC". Foi desenvolvido em 1991, por Linus Torvald,
estudante de Cincia da computao na Finlndia.
Segurana na Web
CAT-Informtica
-22-
CBPF-NT-008/2000
C
Linguagem de programao que pode manipular o computador em baixo
nvel. A linguagem C pode ser compilada em
quase todos os computadores, permitindo o seu uso em uma ampla
variedade de micros, minis e computadores de grande porte.
C++
Verso orientada a objetos da linguagem C, criada por Bjarne Stroustrup.
O C++ tornou-se popular por combinar a programao em linguagem C
tradicional com a tcnica de orientao objetos.
Host
O Host computador qualquer
computador ligado rede, no necessariamente um servidor.
SSI (Server Side Includes)
So comandos extensivos a linguagem HTML que so processados pelo
servidor Web antes da pgina HTML ser enviada. No lugar do comando
enviado apenas o resultado do comando no formato normal de texto HTML.
Bug (Erro. Inseto voador, em ingls)
Este termo foi associado a ocorrncia de um erro na programao ou fabricao de um
Software ou Hardware.
Segurana na Web
CAT-Informtica
-23-
CBPF-NT-008/2000
APNDICE 1
Nome
Plataforma
AOLserver Digital
ArexxWebServer
Amiga
Alibaba
Amiga
Apache
Commerce Server/400
AS/400
EIT httpd
UNIX
NT
Enterprise Server
Novell NetWare
VM/CMS
EnterpriseWeb/MVS
MVS
Segurana na Web
CAT-Informtica
-24-
CBPF-NT-008/2000
EnterpriseWeb/VM
VM/CMS
GLACI-HTTPD
Novell Netware
GN Gopher/HTTP
UNIX
IBM OS/2
HTTPS
NT
Java Server
KA9Q
MSDOS
NCSA HTTPd
UNIX
OS2HTTPD
IBM OS/2
Segurana na Web
CAT-Informtica
-25-
CBPF-NT-008/2000
Phttpd
UNIX
Plexus
UNIX
Purveyor
NT
Roxen Challenger
SerWeb
Windows
Spinnaker
NT, Windows 95
Spyglass MicroServer
MSDOS
Viking
NT, Windows 95
vqServer
WebControl
WebControl (TM)
Segurana na Web
WEB4HAM
Windows
Windows httpd
Windows
CAT-Informtica
-26-
CBPF-NT-008/2000
WebSite Professional
NT, Windows 95
WebTen
Macintosh
WN
UNIX
Xitami
Segurana na Web
CAT-Informtica
-27-