CBPF-NT-008/2000

SEGURANA NA
WEB

Marita Maestrelli Email: marita@cbpf.br

Bernardo Trovo Email: bernardo@cbpf.br
Fernanda Jannuzzi Email: fernanda@cbpf.br

Segurana na Web

CAT-Informtica

-1-

CBPF-NT-008/2000

Prefcio

Uma rede local conectada a Internet exige a implementao de vrias normas de segurana. Com
o surgimento da Internet comercial, o acesso aos detalhes sobre falhas de segurana em qualquer
aplicao ficou muito mais fcil.
Segurana tem se tornado uma das principais atribuies dos administradores de redes, pois a
cada dia surgem novos vrus e vulnerabilidades so descobertas nos diversos sistemas de rede.
Esta Nota Tcnica uma introduo a segurana na World Wide Web, abordando desde o
protocolo primrio utilizado na Internet (TCP/IP), at as estatsticas das pixaes feitas nos sites
mundiais.

Esta a primeira das Notas Tcnicas que abordaro o tema

Segurana, e derivou do projeto de Vocao Cientfica do aluno Bernardo
do CAP/UFRJ.

Segurana na Web

CAT-Informtica

-2-

CBPF-NT-008/2000

NDICE
1. Introduo ----------------------------------------------------------------------------------------2
2. Comunicao na Internet ----------------------------------------------------------------------3
2.1. Protocolo TCP/IP---------------------------------------------------------------------3
-Aplicao----------------------------------------------------------------------------------3
-Transporte---------------------------------------------------------------------------------3
-Rede----------------------------------------------------------------------------------------3
-Fsico-------------------------------------------------------------------------------------- 4
2.2. A aplicao WWW ----------------------------------------------------------------- 4
2.2.1. Definio ------------------------------------------------------------------ 4
2.2.2. Web server----------------------------------------------------------------- 5
-Apache----------------------------------------------------------------------------6
-IIS --------------------------------------------------------------------------------7
2.2.3. Executando programas na Web------------------------------------------8
-CGI--------------------------------------------------------------------------------8
2.2.4. Web Chats------------------------------------------------------------------9
2.2.5. Invasores -----------------------------------------------------------------11
-Hackers--------------------------------------------------------------------------11
2.2.6 Segurana ---------------------------------------------------------------- 12
-SHTML -------------------------------------------------------------------------12
-Criptografia---------------------------------------------------------------------12
2.2.7 Insegurana----------------------------------------------------------------13
-Java applets hosts--------------------------------------------------------------13
3. Estatsticas de pixaes em pginas na internet ------------------------------------------ 14
4.Concluso----------------------------------------------------------------------------------------17
5.Bibliografia--------------------------------------------------------------------------------------18
Glossrio------------------------------------------------------------------------------------------- 19
Apndice 1 ---------------------------------------------------------------------------------------- 22

Segurana na Web

CAT-Informtica

-3-

CBPF-NT-008/2000

INTRODUO
Atualmente as empresas e instituies que integraram internet tm enfrentado
uma srie de problemas relacionados a segurana de seus Web Servers, que so as
mquinas que oferecem o servio de HTTP para determinada rede.
Isto decorrente do crescimento descontrolado da Web. Explicaremos no
decorrer desta nota tcnica de que maneira estes Web Servers podem permanecer mais
seguros.
Existem uma srie de Servers (servidores) disponveis no mercado,
apresentaremos dois dos principais com algumas das caractersticas relativas parte de
segurana, assim como, o tipo de plataforma que operam, alm de algumas sugestes de
configurao destes servidores.
Ser explicado de maneira geral como as informaes trafegam na rede, o perfil
de um invasor, as falhas mais comuns na configurao de um Web Server, e dos
protocolos utilizados para enviar, receber e intermediar as relaes servidor/cliente
(usurio).

Segurana na Web

CAT-Informtica

-4-

CBPF-NT-008/2000

2-COMUNICAO NA INTERNET
2.1-TCP/IP -( TRANSMISSION CONTROL PROTOCOL/INTERNET PROTOCOL)
um padro de comunicao que rene um conjunto de protocolos tais como
tcp, ip, ftp (file tranfer protocol), telnet, icmp, arp e nfs.
As informaes que trafegam na rede necessitam do TCP/IP, por isso ele
utilizado como protocolo primrio da rede na internet.
Este protocolo foi dividido em camadas bem definidas, cada uma realizando
sua parte na tarefa de comunicao (aplicao, transporte, rede, e fsico). Este modelo
tem a seguinte vantagem: por ter os processos de comunicao bem definidos e
divididos em cada camada, qualquer alterao poder ser feita isoladamente, no
precisando reescrever todo o protocolo.
O TCP/IP tem como principal caracterstica a transmisso de dados em
mquinas que diferem em suas arquiteturas .
Estas so as camadas que compem o modelo TCP/IP.
Aplicao
Transporte
Rede
Fsico

-APLICAO
Nesta camada so necessrios protocolos de transporte para garantir o funcionamento
das aplicaes reais (DNS, WWW, SMTP, POP, NFS, FTP).
Esta camada trabalha com a porta a qual esta ligada a aplicao.
Ex: FTP (porta 21), HTTP (porta 80), Telnet (porta 23), etc.

-TRANSPORTE
Utiliza dois protocolos para a comunicao Host-to-Host (TCP/UDP).
Esta camada tambm tem como funo organizar e controlar o fluxo de dados
transmitidos para que o protocolo no se perca no meio de tantos pacotes.

-REDE
A camada chamada de rede ou Internet, tem como principal funo direcionar os
dados aos seus respectivos endereos. Esta caracterstica chamada de roteamento, que
tambm tem como vantagem evitar o congestionamento da rede, pois trabalha com
endereo IP de origem e destino.

Segurana na Web

CAT-Informtica

-5-

CBPF-NT-008/2000

-FSICA
Esta camada est com o seu funcionamento baseado na placa de rede, que dependendo
do meio em que est funcionando trabalhar com diferentes padres.

2.2- A APLICAO WWW

2.2.1 DEFINIO
World Wild Web ou Web o nome dado a todos os documentos HTML
depositados nos servidores HTTP interconectados a internet. Esses documentos assim
como os links que os compem, formam uma teia (web) de informaes.

(fig. 1)

A Web foi desenvolvida em 1989 e liberada em 1991 por seus criadores no

CERN (European Laboratory for Particle Physics) com o objetivo de compartilhar os
arquivos dos usurios de modo mais grfico.
Os visualizadores grficos so utilizados para carregar pginas na Internet. o
que chamamos de browser ou navegador. Podemos citar diversos exemplos de
navegadores como o Netscape, Internet Explorer e at mesmo o pioneiro deles, o
Mosaic.
Com o crescimento explosivo da Web, houve a necessidade de aumentar as
tcnicas utilizadas para a navegao, logo, falhas foram ficando mais claras e pblicas.
Com isso o WWW comeou a ser um freqente alvo de invases realizadas por piratas
da rede. Essas invases podem ser motivadas por exemplo, com algum descuido na hora
de configurar um servidor web; ou causado pela inexperincia de alguns programadores
das linguagens para WWW (Perl, Java, Java Script, Asp), que cometem erros sutis em
suas programaes, gerando aberturas que facilitam o trabalho do invasor; ou at
mesmo falhas dos prprios navegadores que quando so descobertas so bastante
exploradas pelos invasores. Isso demora muito a acontecer, e quando a empresa
informada, a mesma providencia um PATCH para a correo do problema. At todo
esse processo se desenvolver, demora muito tempo, e os estragos causados neste espao
de tempo, podem ser grandes.

Segurana na Web

CAT-Informtica

-6-

CBPF-NT-008/2000

2.2.2 - WEB SERVERS

um host com software apropriado que proporciona servios web a usurios de
uma rede.
Host

Web Server
Software
Web Server

(fig. 2)
Cada Servidor Web possui tem caractersticas prprias, sendo necessrio observar os
procedimentos includos na documentao de cada um. Entretanto, existem alguns
tpicos comuns a qualquer servidor Web que permitem configurar os ambientes
particulares de cada instalao. Alguns desses tpicos referem-se a especificaes do
tipo:
!
!
!
!
!
!
!
!
!

A pasta ou diretrio raiz do Servidor.

A pasta ou diretrio onde vo residir os scripts, ou programas executveis.
A pasta ou diretrio onde os documentos (textos HTML) e figuras esto.
Nmero mximo de processos e usurios simultaneamente.
Os "alias" para identificar, dentro dos programas, os componentes e recursos do
Servidor, sem necessidade de saber o verdadeiro nome deles.
O nome default da pgina inicial, ou Home Page.
As opes de Log e segurana.
Os filtros incorporados ao servidor.
A estrutura de permisses e privilgios do Servidor.

Cada tipo de plataforma necessita de um web server especfico

Existem inmeros servidores web, no entanto apenas cinco se destacam realmente o
Apache, IIS, Netscape, NCSA e Novell . Na figura 3 observa-se a utlizao deles na
Internet. No apndice 1, enumeramos vrios Web Servers e as plataformas que eles
atuam.
60%
40%
20%
0%
Apache

55%

IIS

32%

25%

Netscape

6%

NCSA

2%

Novell

10%

Outros

(fig. 3)
Segurana na Web

CAT-Informtica

-7-

CBPF-NT-008/2000

Abordaremos nesta nota tcnica os dois Web Servers mais utilizados.

APACHE e IIS.

-APACHE
O APACHE o melhor e mais popular web server no mundo. Muitos sites na
Internet o usam e isso se d pela sua grande segurana e excelente desempenho. At
mesmo em sua verso Windows, ele pode ser usado para fazer grandes servidores. A
tabela abaixo est mostrando a relao entre grandes instituies e os servers utilizados.

Servidor

Apache

IIS (Internet Information Server)

Instituio
Javasoft, FBI, Financial Times, O Banco de
dados de Cinema, W3 Consrcio, A Famlia
Real, Servio de Automatizao da
Biblioteca Universitria de Oxford M.I.T,
Universidade de Harvard e a Universidade
de Texas em Austin

Compac, Nasdaq, A Liga de Futebol

Nacional, Exxon e Tesco

A principal ameaa aos web server so os programas que procuram por

vulnerabilidades nos servers, tais como bugs ou portas que estejam disponveis para
invaso. Estes programas so perigosos principalmente pelo fato de serem muito fceis
de usar.
O que torna realmente um servidor seguro ou no a maneira a qual ele
configurado, muitas vezes um site na internet invadido no por problemas do web
server e sim da maneira como ele foi configurado.
Existem alguns pontos na sua configurao que devemos analisar e configurar
de forma correta para que no haja furos na segurana deste web server.
A primeira maneira diz respeito no s ao Apache, mas a todos os servidores
web. Consiste na maneira a qual o daemon de httpd e startado.
Normalmente, o processo "pai" e startado com permisses de root, logo ele
poder "escutar" a porta 80, que e a porta padro do servio http. Quando h solicitao
de conexo na porta 80, e gerado um processo "filho" cujo dono e grupo so definidos
no arquivo httpd.conf.
A idia que para ficar mais seguro se troque o dono e o grupo do processo
"filho" para nobody atravs deste arquivo de configurao.
Uma outra preocupao e com relao permisso dos diretrios e dos
arquivos. O diretrio CGI ter permisso 711, ou seja, ele pode ser executado e no
listado, mas os scripts l contidos, tm que ter permisso 755 para poderem ser
executados corretamente.
Os arquivos de configurao contidos na raiz do servidor, devem ter apenas
permisso para o root de ler e escrever.
Segurana na Web

CAT-Informtica

-8-

CBPF-NT-008/2000

O Apache trabalha basicamente com trs arquivos de configurao. so eles o

access, conf, httpd.conf e srm.conf. E importante saber trabalha-los, pois, se
configurados corretamente, ser possvel controlar diversos mecanismos para aumentar
a segurana no seu servidor, tais como:
! Desabilitar listagem automtica dos diretrios
! Negar os links simblicos de seguirem fora da rvore do diretrio de documentos,
impedindo assim que arquivos confidenciais sejam visualizados
! Desabilitar os SSI, impedindo assim que usurios remotos possam executar
comandos arbitrrios
! Impedir que usurios remotos possam navegar sem preocupaes por seus sistema
de arquivos
! Evitar que as configuraes dos usurios prevaleam sobre as do sistema
Como dito anteriormente, nenhum servidor web e totalmente seguro. Os bugs
so a maior prova disso. Aqui relacionamos trs bugs do Apache.
" Permite a qualquer usurio remoto executar comandos UNIX arbitrrios no servidor.
Verses afetadas: 1.02 e inferiores
" Usurios locais podem executar comandos UNIX com a permisso igual a do
servidor Web. Verses afetadas: anteriores a 1.2.5
" Permite ao usurio enviar cookies muito grandes para o servidor Web, ocasionando
o estouro da pilha. Verses afetadas: anteriores a 1.1.3
" Permite ao usurio visualizar o contedo de paginas
Para a correo dos Bugs os implementadores do Apache recomendam instalao de
patches.

-IIS
O IIS ( Internet Information Server) o segundo Web server mais utilizado na
internet. Este server tem como funes estabelecer um modelo de segurana e oferecer
recursos de monitorao no Windows NT. A segurana deste server consiste
basicamente em controlar o acesso informaes contidas no sistema, atravs de
permisses especiais de acessos s pastas e programas, impedindo assim que usurios
faam utilizaes indevidas ou visualizem arquivos de acesso restrito.
O mais importante em relao a parte de segurana do server o modo com que
ele configurado, no se pode de nenhuma maneira tornar acessveis informaes do
sistema relativas a localizao de arquivos de configurao, pastas que contenham
informaes confidenciais como senhas ou qualquer outro tipo de informaes que
facilitem ou permitam a entrada de invasores.

Segurana na Web

CAT-Informtica

-9-

CBPF-NT-008/2000

O IIS da Microsoft possui uma srie de bugs, alguns j foram sanados atravs de
patchs disponibilizadas na prpria pgina da empresa. At este momento foram
descobertos cerca de 14 bugs. A seguir sero explicados 2 deles.
" Relativo ao active server pages (asp), que funciona criando documentos
dinmicos atravs da combinao de html com scripts. Quando este recurso
utilizado e o Web server que estiver rodando for o IIS 4.0, possvel
visualizar todo o contedo do diretrio digitando um ponto (.) no final do
endereo. Nestas pastas podem estar contidos arquivos de acesso restrito e a
apropriao indevida dos mesmos pode acarretar por exemplo no roubo de
senhas. Este patch est disponvel na pgina da Microsoft.
" Relativo ao ataque DoS (Denial of Service). Este ataque consiste em
sobrecarregar o CPU invadida, enviando solicitaes que provoquem falhas
no inetinfo.exe do IIS. Ao ser corrompido este processo ser iniciado usando
100% da capacidade da CPU pertencente ao server, dificultando a aceitao
de solicitaes e tornando o server mais lento, no decorrer do processo o
servidor travar sendo necessrio reinicializar o sistema. A Microsoft
disponibilizou os patches para correo que podem ser encontrados no
prprio site da Microsoft.

2.2.3 - EXECUTANDO PROGRAMAS NA WEB

-CGI
O cgi um protocolo comum o qual o servidor HTTP (web server) usa para
intermediar a transferncia de um programa entre ele e o cliente HTTP (seu browser).
Aplicao CGI

Web Server

(fig. 4)

Segurana na Web

Cliente

Protocolo CGI

CAT-Informtica

-10-

CBPF-NT-008/2000

O cgi gera problemas aos web servers, s redes que os hospedam e at mesmo os
clientes de HTTP. Este perigo no est ligado ao protocolo cgi e sim aos scripts cgi
contidos neste diretrio. Esses sim, so a maior fonte de bugs de segurana e por isso
precisam ser escritos cuidadosamente.
Na verdade, o que pode gerar isso so alguns erros sutis na codificao,
permitindo assim que informaes de servidores ou do sistema apaream, ou comandos
arbitrrios gerados a partir desses scripts.

Exemplos de cgi conhecidos como furo de segurana:

Script
count.cgi
webdist.cgi
php.cgi
Anyform
FormMail
Phf

Verses afetadas
1.0-2.3
1.0-1.2
at 2.0
1.0
1.0
Todas

Uso
contador de pgina
distribui software
Linguagem de scripts
cria formulrios
envia dados/e-mail
Phone book

Recomendamos para maior segurana nos scripts:

Colocar todos os scripts em um nico diretrio (configurado no arquivo /conf/srm.conf).

Usar programas como TRIPWIRE para monitorar mudanas ocorridas nos scripts.
A permisso dos scripts 711(*) e do diretrio CGI 755(*)2.
Desative os scripts que no so mais utilizados.
Dentro do seu cdigo evite dar mais detalhes sobre seus scripts, no assuma tamanho de
dados na entrada e analise sempre os dados de entrada do usurio.
Chame os programas utilizando caminhos absolutos.
(*) permisso para o usurio ler, escrever e executar, para o grupo e outros apenas de
execuo.
(*)2 permisso para o usurio ler, escrever e executar, para o grupo de executar e ler e
para outros apenas de execuo.

2.2.4 - WEB CHATS

Ao entrar em um web chat, geralmente o usurio no imagina os riscos ao qual
fica exposto.
O Hacker pode tentar atac-lo por diversos motivos.

Segurana na Web

CAT-Informtica

-11-

CBPF-NT-008/2000

Ele pode tentar um ataque que nada tem a ver o usurio. simples, o pirata s
tenta burlar regras impostas por responsveis pelo chat como:
Dar efeitos diferentes ao texto (cor, tipo de texto).
Entrar em uma pgina que o limite de usurios j esta esgotado.
Entrar em salas restritas assinantes de determinado provedor.
Enviar mensagens a todos os usurios da sala simultaneamente e repetidamente.

Outra forma de ataque feita diretamente com a inteno de prejudicar ou pelo

menos investigar um usurio ou vrios deles. Entre eles podemos citar:
Clonar seu nick (apelido no chat).
Apagar a lista de nomes das pessoas que esto no chat.
Visualizar seu HD (hard disk).
Rastrear seu IP e a partir dai poder monitorar e/ou administrar sua maquina.
Executar aplicaes que possam atrapalhar desempenho da sua mquina

O mais alarmante disso que esses ataques podem ser feito por qualquer pessoa,
sem que seja necessrio grande conhecimento tcnico.
Outros fatores que contribuem para a falta de segurana dentro destes chats a
demora dos provedores em desenvolverem protees contra para estes tipos de ataques
(os chamados filtros), e a facilidade com que estas informaes so disponibilizadas na
Internet por meio de sites hackers, tem instrues detalhadas de como fazer, atravs das
linhas de comando, ou como instalar e configurar determinados programas que
executem este tipo de funo.
Como dito no pargrafo acima, essas ocorrncias podem surgir tanto por linhas
de comandos (como por exemplo comandos de HTML) como softwares especializados
neste tipo de atitude. Entre esses programas, podemos citar:

Robot Mask UOL v1.2 News

Envia mensagens em todas as salas do chat do UOL.
Robot Mask MANDIC v1.2 News
Envia mensagens em todas as salas do chat da MANDIC.
Robot Mask WORLD v1.2 News
Envia mensagens em diversas salas de bate papo, STI, CORREIO, ETC.
Chat Mask Server v1.1
WebChat Pessoal, um chat rodando direto do seu hd.
DynIP Client v3.0
Converte seu IP por um Domain Name.
Omni Httpd PRO v2.01
Servidor Pessoal, que atravs do envio de fotos no chat, rastrea IPs

Segurana na Web

CAT-Informtica

-12-

CBPF-NT-008/2000

IpTracer
Rastreia IP em salas de chat.

Chat Buster
Outro ratreador de Ips em salas de chat. Esse se apresenta mais eficaz que o acima pois
funciona em mais chats que o anterior.

2.2.5 - INVASORES
-HACKERS
Quando iniciamos os estudos sobre segurana, vimos que a maioria das
referncias associam o termo "hacker" a piratas da rede, salvo uma, que deu a melhor
definio para este termo.
Um hacker no necessariamente uma pessoa que seja pirata de rede, e sim uma
pessoa com extrema capacidade de associao e compreenso, dotada com extrema
competncia em uma rea especfica, por isso o termo muito utilizado para
caracterizar os piratas da rede, pois geralmente so muito inteligentes e dedicados quase
que integralmente em seus objetivos ou suas atividades.
Os hackers so indivduos inteiramente ligados seus projetos de atacar redes
por diversos motivos, entre eles podemos citar a destruio de redes, utilizao dos
recursos que ela oferece, hospedar programas em uma determinada rede para que
atravs desta ele possa invadir outras, roubo de informaes, descobrir falhas nos
sistemas para que esta informao possa ser passada, assim, outros hackers podero
invadir da mesma forma ou at para provar aos outros que ele pode descobrir qualquer
falha e invadir qualquer sistema.
Normalmente, estas pessoas possuem algumas caractersticas comuns. A grande
maioria dos piratas de computador so jovens com idade entre 16 e 25 anos.
Eles tambm apresentam algumas outras caractersticas, como:
Ser especialista em HTML e em linguagens de programao da Internet tais como CGI,
DHTML, JAVA , PERL, alm de outras linguagens como C, C++, programao Shell.
Ter conhecimentos avanados em TCP/IP.
Conhecer minimamente todos os sistemas operacionais, principalmente LINUX, UNIX e
WINDOWS.
Preferir as linhas de comando aos ambientes grficos.
Os ataques, em sua grande maioria, ocorrem de madrugada, pois dificilmente os
administradores estaro controlando seus sistemas. Outra caracterstica destes ataques
que raramente deixam rastros.

Segurana na Web

CAT-Informtica

-13-

CBPF-NT-008/2000

2.2.6 - SEGURANA
Interna e externamente o servidor Web cada vez mais freqentemente o
elemento intermedirio da comunicao entre o usurio final e a aplicao de acesso ao
Banco de Dados para operaes ou de consulta. A busca por mecanismos que
assegurem que somente as transaes legtimas sejam acatadas, sem abrir mo de
formas de acesso baratas, universais e de amplo uso, tem sido uma preocupao
constante de quem implanta servios neste contexto.

-SHTML (SECURITY HYPER TEXT MARKUP LANGUAGE)

O shtml tem como funo tornar os documentos html interativos. O que
possibilita este dinamismo o recurso SSI (Sever Side Includes) que utilizado pelo
shtml. O SSI trabalha executando na pagina scripts e CGIs que estejam contidos no
servidor. O que diferencia este recurso do html a possibilidade de aplicar, diretamente
no cdigo, variveis de um programa CGI, contido no servidor, em uma homepage.
Atravs do SSI possvel carregar para o usurio variveis que possam conter por
exemplo datas, horas, mensagens e etc que se modificam automaticamente. Porm para
se obter acesso na construo deste tipo de pgina, faz-se necessria autorizao por
parte do Web Server.

-CRIPTOGRAFIA
A criptografia um conjunto de tcnicas utilizadas para transformar as
informaes que trafegam na rede, em textos cifrados para mente-las em sigilo. Ela
trabalha codificando a informao de modo que apenas quem tiver conhecimento da
chave utilizada, poder decodific-la.
Atualmente existem dois mtodos de encriptao, que utilizam algoritmos baseados em
chaves: simtrica e assimtrica.
A criptografia de chave simtrica trabalha utilizando uma nica chave para
codificar e decodificar a informao. Este tipo de criptografia mais utilizado nas
conexes temporrias ou em conexes seguras, como por exemplo no preenchimento de
dados sigilosos na internet. Como a chave utilizada nica, ela deve ser mantida em
segredo. A segurana dos algoritmos simtricos residem nesta chave e divulga-la
significa que qualquer um pode tanto cifrar como decifrar qualquer mensagem que
utiliza este sistema criptogrfico.
J a criptografia de chave assimtrica utiliza duas chaves diferentes para
encriptar. Estas chaves so denominadas de privada, que a qual apenas o usurio tem
conhecimento, e a pblica que transmitida para o destinatrio de modo que apenas este
possa decodificar a informao. O esquema abaixo ilustra este processo:

Segurana na Web

CAT-Informtica

-14-

CBPF-NT-008/2000

Cliente A
Envia mensagem

Chave privada cliente A + chave publica cliente B

Cliente B
Recebe mensagem Chave privada cliente B + chave publica cliente A
(fig. 5)

2.2.7 INSEGURANA

-JAVA APPLETTS HOSTIS

Se voc costuma navegar pela Internet em busca daquela informao que voc
necessita ou daquela imagem maneira, acautele-se. Voc pode estar sendo infectado por
um vrus transportado por um Java Applet. Java Applets hostis Java a maior onda do
momento. Trata-se da primeira linguagem de programao realmente portvel, estvel,
barata e fcil de usar, pelo menos para quem conhece C. Todavia existe uma serpente
tambm neste paraso. Problemas de segurana srios podem ser acarretados a partir do
simples e aparentemente inocente acesso a uma pgina WWW cheia de vistoso recursos
multimidia que para serem apreciados requerem que voc permita o envio para a sua
mquina, de cdigo que ser localmente executado.
Java tem mecanismos intrnsecos de segurana mas o fato de implicar no envio
de cdigo executvel para o browser abre espao para toda uma srie de ataques. E estas
brechas tem sido usadas.
Os mecanismos bsicos de segurana do ambiente Java implicam em que o
cdigo recebido seja limitado a certas aes e contexto, tais como:

executar clculos, iteraes, etc...

desenhar dentro dos limites definidos pelo HTML na janela do cliente

desenhar janelas marcadas como janelas Java fora da janela do navegador

comunicar via interface de soquetes com o host que carregou o applet

Segurana na Web

CAT-Informtica

-15-

CBPF-NT-008/2000

A equipe da Universidade de Princeton tem testado os browsers Netscape e

Microsoft Explorer e em cada nova verso novos furos tem sido apontados. Os mais
significativos so os seguintes: DNS spoofing (como um computador engana um
servidor fazendo-o acreditar que ele outro nodo ou cliente), o envio de cdigo
executvel no confivel para sistemas remotos que executam comandos que no era
suposto executar (mais poderosos do que o definido no contexto Java) e vrios defeitos
nos primeiros browsers que tambm permitem que as aes comandadas saiam fora do
contexto limitado anteriormente referido provendo acesso a variveis e arquivos do
sistema.
Assim, aquela pgina WWW vistosa que voc buscou num endereo qualquer
pode conter o ovo da serpente que ser aninhada e nascer nas entranhas de sua
mquina. Applets Java potencialmente hostis podem ingressar numa Intranet enganando
o firewall via DNS spoofing. Claro que sempre possvel desabilitar os Java scripts em
seu browser. Isto pode ser feito selecionando a opo "Security Preferences" do menu
de "Options" e ento clicando na caixa "Disable Java" mas ento perde-se o efeito
pretendido para a pgina. Um servidor proxy para http poderia tambm ser configurado
para impedir a passagem de arquivos com classe Java.

3 ESTATSTICAS DE PIXAES EM PGINAS NA INTERNET

A seguir sero exibidos uma srie de grficos que representam os sistemas operacionais
mais atacados e quais os Web Servers que operam nesses hosts.
(Todos as informaes destes grficos foram obtidos no perodo de um ano, de agosto
de 99 at agosto de 00)

Solaris
10%

BSD
7%

Outros
5%

NT
59%

Linux
19%

(fig. 6)

Ser mostrado atravs de tabela e grfico os domnios mais atacados

Tabela com nmeros relativos ao ano 2000
Brazil (br)
United States (us)
United Kingdom (uk)

Segurana na Web

453
269
191

CAT-Informtica

-16-

CBPF-NT-008/2000

Korea, Republic of (kr)

Mexico (mx)
Germany (de)
Australia (au)
Canada (ca)
Russian Federation (ru)
Argentina (ar)

141
134
89
81
80
80
73

Russian Federation
(ru)
5%
Canada (ca)
5%

Argentina (ar)
5%

Australia (au)
5%

Brazil (br)
28%

Germany (de)
6%
Mexico (mx)
8%
Korea, Republic of
(kr)
9%

United Kingdom
(uk)
12%

United States (us)

17%

(fig. 7)

O grfico acima refere-se aos domnios mais invadidos. Note que o Brasil lidera
esse ranking. Espera-se que ocorra uma reviravolta neste quadro a curto ou mdio
prazo, pois alguns sites j esto comeando a investir em segurana.

Segurana na Web

CAT-Informtica

-17-

CBPF-NT-008/2000

Web Servers Pixados

(fig. 8)

No grfico acima possvel observar que o IIS o Web server com o maior
ndice de invases, este servidor trabalha nas plataformas Windows NT, que por sinal
o sistema operacional com o maior nmero de invases. Logo em segundo vem o
Apache, porm preciso lembrar que este Web Server trabalha em diversas plataformas,
o maior nmero de invases ocorre quando este servidor est instalado em mquinas
que utilizam o Windows NT como sistema operacional.

(fig. 9)

O grfico acima representa a quantidade de Web Servers rodando sob os

sistemas operacionais mais atacados. A parte inferior representa o sistema com a maior
incidncia, o Windows NT, o segundo (de baixo para cima) diz respeito ao Linux, o
terceiro ao Solaris, o quarto ao BSD e o ltimo a todos os outros sistemas disponveis.

Segurana na Web

CAT-Informtica

-18-

CBPF-NT-008/2000

4-CONCLUSO
No decorrer do desenvolvimento deste trabalho, conclumos atravs de inmeras
pesquisas, que o servidor Apache o mais seguro e eficiente, por sua confiabilidade,
versatilidade de plataformas de operao, alm de ser gratuito . Existem outros bons
web servers disponveis no mercado, porm no to seguros, devido ao grande nmero
de falhas em sua programao como o caso do IIS.
preciso esclarecer que apesar de ser o mais seguro, no 100% livre de falhas.
Portanto, preciso atualizar-se continuamente pois a cada dia so descobertos novos
bugs. Os invasores de sistemas esto ficando cada vez mais numerosos e com mais
recursos, todo o dia so lanados dezenas de programas de invaso, transformando a
rotina dos administradores de web servers em uma eterna monitorao.
Sugestes:
1. Manter-se, atualizado participando de listas de discusses e de boletins de
segurana.
2. Monitorao permanente da rede; atravs de logs confiveis.
3. Redundncia de servidores e/ou backup dirios.
4. Ter uma poltica de segurana.

Segurana na Web

CAT-Informtica

-19-

CBPF-NT-008/2000

5- Bibliografia
Devido ao carter instvel das paginas na internet, no garantimos a acessibilidade de
todos os sites.
1- Hackersclub - "www.hackersclub.com"
2- Microsoft

- "www.microsoft.com.br"

3- "www.cciencia.ufrj.br"
4- "latam.iis.net"
5- "www.hackersnews.com.br"
6- "www.hackers.com.br"
7- "Sistema X - "http://members.nbci.com/rogeriox/"
8- Anti-hackers http://www2.uol.com.br/cgi-bin/anti-hackers/builder/builder.cgi
9- Attrition www.attrition.org/mirror/attrition
10 - Formas de Ataque
Liana Tarouco
POP-RS/CERT-RS-UFRGS

Segurana na Web

CAT-Informtica

-20-

CBPF-NT-008/2000

GLOSSRIO
TELNET
O telnet um programa/protocolo utilizado para estabelecer uma comunicao remota
com outra mquinas. Este recurso permite uma conexo simples e sem interface grfica.
TCP (Transmission Control Protocol)
um dos protocolos que compem o TCP/IP, responsvel pelo transporte de
informaes pela rede.
IP (Internet Protocol ou Protocolo da Internet)
Responsvel pela identificao das mquinas, redes e encaminhamento das mensagens
entre elas. O IP responsvel pelo roteamento dos pacotes entre dois sistemas que
utilizem os protocolos do tipo TCP/IP. o mais importante dos protocolos utilizados na
internet.
FTP (File Transfer Protocol ou Protocolo de Transferncia de Arquivos)
Um protocolo padro da Internet que usado para transferncia de
arquivos entre computadores remotos.
NFS (Network File System ou Sistema de Arquivos de Rede)
Protocolo para compartilhamento de dados numa rede independente da mquinas
UNIX.
DNS (Domain Name System ou Sistema de Nome de Domnio)
O DNS funciona como um catlogo de endereos na Internet. Ao requisitar no servidor
de internet um endereo, ele procura em seu catlogo se ano conseguir encaminha este
endereo para outros servidores e se nenhum servidor da rede conseguir identificar o
endereo, ele considerado inexistente e a pesquisa para enviando uma mensagem de
erro para o browser.
SMTP (Simple Mail Transport Protocol ou Protocolo de Transporte de Mail Simples)
Protocolo utilizado para a transferencia de correio eletrnico de um computador para
outro em uma rede TCP/IP.
POP3 (Post Office Protocol)
Protocolo usado pelo correio eletrnico para manipulao de arquivos de mensagens em
servidores de correio eletrnico.
HTTP (HiperText Transfer Protocol ou Protocolo de Transferncia de HiperTexto)
o protocolo mais utilizado na web, pelo qual os documentos so enviados do servidor
para o Browser.

Segurana na Web

CAT-Informtica

-21-

CBPF-NT-008/2000

UDP (User Datagram Protocol)

Neste protocolo, os pacotes so enviados ao destino sem uma preocupao se os dados
chegaram completos ao destino. Por no Ter esta preocupao durante a comunicao, o
UDP mais rpido que o TCP, porm menos confivel.
bastante til para evitar sobrecarga quando durante a transmisso, perder um pacote
ou outro no significa muito.
PERL (Practical Extraction and Report Language)
Linguagem de programao desenvolvida para
processamento de textos. Tambm umas das linguagens mais utilizadas para se
escrever
scripts CGI.
Java
Linguagem orientada objetos, que permite o desenvolvimento de aplicaes e Applets
Java muito utilizada na Web. Gera cdigo intermedirio (byte codes) que so
interpretados em tempo de execuo.
Javascript
Linguagem de formulao de scripts relacionada linguagem Java. No totalmente
orientada objetos interpretada. Oferece recursos avanados na construo de pginas
na Web em conjunto com a linguagem HTML.
ASP (Active Sever Pages)
Linguagem de programao da internet desenvolvida pela empresa Microsoft, que
permite entre outras coisas a manipulao de banco de dados via web e a criao de
pginas HTML mais dinmicas.
DHTML (HTML dinmico)
uma linguagem avanada de edio de documentos para Web, que permite atribuir
dinamismo e interatividade aos documentos.
Windows
Sistema operacional da Microsoft, no qual os aplicativos so apresentados de maneira
bem amigvel ao usurio atravs do uso de janelas que podem ser redimensionadas e
movidas.

Unix
Sistema operacional desenvolvido pela AT&T. O Unix escrito em linguagem C,
tambm desenvolvida pela AT&T. Esse sistema tem como principais vantagens o modo
multiusurio, e a grande capacidade de processar.

Linux
Conhecido como "Unix para PC". Foi desenvolvido em 1991, por Linus Torvald,
estudante de Cincia da computao na Finlndia.

Segurana na Web

CAT-Informtica

-22-

CBPF-NT-008/2000

C
Linguagem de programao que pode manipular o computador em baixo
nvel. A linguagem C pode ser compilada em
quase todos os computadores, permitindo o seu uso em uma ampla
variedade de micros, minis e computadores de grande porte.
C++
Verso orientada a objetos da linguagem C, criada por Bjarne Stroustrup.
O C++ tornou-se popular por combinar a programao em linguagem C
tradicional com a tcnica de orientao objetos.

Host
O Host computador qualquer
computador ligado rede, no necessariamente um servidor.
SSI (Server Side Includes)
So comandos extensivos a linguagem HTML que so processados pelo
servidor Web antes da pgina HTML ser enviada. No lugar do comando
enviado apenas o resultado do comando no formato normal de texto HTML.
Bug (Erro. Inseto voador, em ingls)
Este termo foi associado a ocorrncia de um erro na programao ou fabricao de um
Software ou Hardware.

Segurana na Web

CAT-Informtica

-23-

CBPF-NT-008/2000

APNDICE 1

Nome

Plataforma

AOLserver Digital

UNIX, HPUX, Linux, IRIX, Solaris

ArexxWebServer

Amiga

Alibaba

Windows 3.x, NT, Windows

Amiga Web Server

Amiga

Apache

Linux, FreeBSD, Solaris, IRIX,Digital UNIX,

BSDI, AIX,NetBSD, IBM OS/2, SCO,HPUX, NT
CERN httpd UNIX

Commerce Server/400

AS/400

EIT httpd

UNIX

EMWAC HTTP Server

NT

EmWeb Embedded Web Server

Digital UNIX, BSDI, AIX, SCO,

HPUX, Embedded, NT, Linux, Windows 95,
FreeBSD, IRIX, Solaris

Enterprise Server

Novell NetWare

Enterprise Web Secure/VM

VM/CMS

EnterpriseWeb/MVS

MVS

Segurana na Web

CAT-Informtica

-24-

CBPF-NT-008/2000

EnterpriseWeb/VM

VM/CMS

GLACI-HTTPD

Novell Netware

GN Gopher/HTTP

UNIX

HTTPd for OS/2

IBM OS/2

HTTPS

NT (baseados em Intel e Alpha)

Internet Information Server

NT

Java Server

IBM OS/2, HPUX, NT, Linux,

Windows 95, IRIX, Solaris

KA9Q

MSDOS

Lotus Domino Go Webserver

Digital UNIX, AIX, IBM OS/2, HPUX, NT,

Windows 95, IRIX, Solaris

NCSA HTTPd

NetBSD, Digital UNIX, BSDI, AIX,

SCO, HPUX, FreeBSD, IRIX, Solaris

Netscape Enterprise Server

Digital UNIX, AIX, HPUX, Windows, NT, IRIX

Netscape Netsite Servers

Windows, IBM OS/2 e NT

Open Market Web

UNIX

Oracle Web Application Server

HPUX, NT, Windows 95, Solaris

OS2HTTPD

IBM OS/2

Segurana na Web

CAT-Informtica

-25-

CBPF-NT-008/2000

Phttpd

UNIX

Plexus

UNIX

Purveyor

NT

Roxen Challenger

NetBSD, Digital UNIX, BSDI, AIX,

SCO, HPUX, Linux, FreeBSD, IRIX, Solaris

SerWeb

Windows

Spinnaker

NT, Windows 95

Spyglass MicroServer

Embedded, NT, Linux, Solaris

The Major BBS

MSDOS

Viking

NT, Windows 95

vqServer

Be OS, NT, Linux,

Windows 95, Solaris

WebControl

WebControl (TM)

Segurana na Web

NetBSD, Digital UNIX, BSDI, AIX,

Windows 3.x, SCO, HPUX,
Embedded, NT, Linux,
MS-DOS, Windows 95, FreeBSD,
IRIX, Solaris

NetBSD, Digital UNIX, BSDI, AIX,

Windows 3.x, SCO, HPUX, NT,
Linux, MS-DOS, Windows 95,
FreeBSD, IRIX, Solaris

WEB4HAM

Windows

Windows httpd

Windows
CAT-Informtica

-26-

CBPF-NT-008/2000

WebSite Professional

NT, Windows 95

WebTen

Macintosh

WN

UNIX

Xitami

Zeus Web Application Server

Segurana na Web

NetBSD, Digital UNIX, BSDI, AIX,

IBM OS/2, Windows 3.x, SCO, HPUX,
NT, Linux, MS-DOS,VMS, Windows 95,
FreeBSD, IRIX, Solaris

Digital UNIX, AIX, HPUX,

NT, Linux, IRIX, Solaris

CAT-Informtica

-27-