Segurança em Redes - Conceitos Básicos

Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001.
Vide Distribuio / Cpia neste material

para maiores detalhes.
Segurana em Redes
Conceitos Bsicos
Romulo Moacyr Cholewa

S73417HN37@hotmail.com http://www.rmc.eti.br
09/2001
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
Contedo.
1. Distribuio / Cpia
2. Apresentao
2.1. Filosofia
2.2. Opinio
2.3. Ponto de vista sobre Hackers
2.3.1. White-hats
2.3.2. Black-hats
2.3.3. Defacers
2.3.4. Crackers
2.3.5. Phreakers
2.3.6. Wannabes / Script Kiddies
2.3.7. Exemplo: Estudo de Caso: TakeDown
2.3.8. Exemplo: ISP, Portal, Instituio Financeira
2.3.9. Exemplo: Operadora de Telefonia Celular
2.4. Canais de Divulgao
3. Entendendo Redes e a Internet
Introduo a Redes
3.1. Conceito de Redes
3.1.1. Interfaces de Rede
3.1.2. Transmisso de Dados
Camada
Camada
Camada
Camada
Fsica
de Rede
de Transporte
de Aplicao
3.2. A Conexo a uma Rede

3.3. Interligando Redes
3.4. TCP/IP
3.4.1. ARP (Address Resolution Protocol)
3.4.2. IP (Internet Protocol)
3.4.3. ICMP (Internet Control Message Protocol)
3.4.4. TCP (Transmission Control Protocol)
3.4.5. UDP (User Datagram Protocol)
3.5. Protocolos de Aplicao
3.5.1 DNS (Domain Name System)
3.6. Sockets (Soquetes de Comunicao)
3.7. Gerenciando Erros de Comunicao
3.7.1. PING (Packet INternet Grouper)
3.7.2. TRACERT (traceroute)
3.8. ... Ento, O que a Internet
4. Entendendo a Invaso
4.1. O porque da Invaso
4.1.1. Ponto de Vista do White-hat
4.1.2. Ponto de Vista do Black-hat
4.2. Vulnerabilidades no meu sistema
4.2.1. Que Componentes so Vulnerveis
4.2.1.1. Sistema Operacional
4.2.1.2. Instant Messaging
4.2.1.3. Correio Eletrnico
4.2.1.4. Gerncia Remota
4.2.1.5. Programas Diversos
5. Tcnicas de Invaso
5.1. Brechas de Configurao
5.2.
5.3.
5.4.
5.5.
5.6.
Trojan Horses e Back Doors

Buffer Overflow
Password Crackers
Exploits
Man-in-the-Middle
6 Outros Tipos de Ataques

6.1. DoS (Denial of Service Attack)
6.2. DDoS (Distributed Denial of Service Attack)
7.2.1. trin00, TFN, TFN2K, Schaft
7.2.2. CodeRed 1, CodeRed 2, Nimda (Code Rainbow)
6.3. IP Spoofing
6.4. DNS (Name Server) Spoofing / Poisoning
7. Ferramentas
7.1. Obtendo
7.1.1.
7.1.2.
7.1.3.
Informaes
Portscanning
Services fingerprinting
Sniffing
7.2. Automatizao do Estudo de Vulnerabilidades Conhecidas

7.3. Personal Firewalls
7.3.1. Introduo ao Conceito de Filtragem de Pacotes
7.3.2. ZoneAlarm
7.3.3. TPF Tiny Personal Firewall
7.4. Antivrus
8 Seu computador foi invadido ?
8.1. O que fazer?
8.2. Precaues
8.3. Anlise Forense
8.4. Onde obter mais informaes
9. Comrcio Eletrnico
9.1. Anlise de Vulnerabilidades
9.2. O Qu Pode dar Errado
10 Como Prevenir
10.1. Como configurar Corretamente o meu Acesso
10.2. Informao o melhor Remdio ? (Full Disclosure)
10.3. A Informao Moderada o melhor Remdio ?
10.4. Firewall (Incluindo Personal Firewalls)
10.5. IDS (Intrusion Detection Systems)
1. Distribuio / Cpia
A partir da presente data (30/04/2002), o autor deste material, Rmulo M. Cholewa, torna-o pblico e
notrio, autorizando aos interessados a copi-lo, imprimi-lo e distribu-lo livremente, desde que todo o seu
contedo seja necessariamente preservado, isto , que o mesmo permanea na ntegra e sem quaisquer
alteraes. Ressalte-se, ainda, que no ato da divulgao do mencionado material, independentemente da sua
natureza ou inteno, este dever ser referenciado e vinculado autoria de Rmulo M. Cholewa.
Outrossim, o autor informa e adverte, sob o amparo legal da Lei dos Direitos Autorais (LEI n. 9.610/98),
que est terminantemente proibida a publicao e/ou utilizao de seu material para fins de natureza lucrativa
ou remunerada, quer esta seja direta quer mesmo indireta.
Este material livre, e deve permanecer assim. O foco deste material no o profissional de segurana da
informao. A inteno orientar de forma bsica as pessoas que no possuem conhecimento especfico no
assunto, e que mais e mais procuram a Internet como meio de comunicao.
Todos os nomes registrados so propriedade de seus respectivos donos. As imagens de programas e
processos registrados contidos neste material tambm so devidamente creditadas, como observado, e so
usadas neste material apenas para fins ilustrativos e educacionais.
2. Apresentao
O Objetivo levar a todos o conhecimento sobre invases de computadores, desde o motivo at a sua
soluo, passando por vulnerabilidades e como torn-las sem efeito. Inclui tambm conceitos bsicos de rede
e de comunicao de dados, que so excenciais a completa compreenso do assunto, assim como outros
conceitos, incluindo funcionamento bsico de ferramentas usadas para obter informaes de computadores
em rede, bem como regras de filtragem de pacotes, usadas em firewalls.
O Material
Ao longo do material sero apresentadas informaes sobre hackers, como agem e o que querem,
como se proteger e como detectar um invasor. Sero mostrados alguns fatos acontecidos no mundo da
segurana, algumas histrias de hackers famosos, bem como algumas histrias dos bastidores.
Opinio
Sobre os Hackers
Conhea seu inimigo como a si prprio, e elabore sua estratgia de defesa e
ataque baseadas em suas vulnerabilidades.
O perfil tpico do hacker : jovem entre 15 ~ 25 anos, com amplo conhecimento de programao
(geralmente em linguagens como C, C++, Java e Assembler), e noes de redes e Internet. O mais
interessante que no Brasil, a grande maioria dos hackers comea cedo, algumas vezes com 12 anos, em
conhecimentos de programao nas linguagens citadas acima. Muitos destes se esquecem da importncia do
funcionamento da Internet e de redes em si, o que, de certa forma, algo bom. A atuao e fora de tais
hackers seriam bem mais poderosas caso aliassem o conhecimento em redes e Internet ao conhecimento
em linguagens de programao.
As afirmaes acima nos levam a uma concluso: a grande maioria dos hackers entre 12 ~ 25 anos
no desenvolve vulnerabilidades, apenas copiam vulnerabilidades publicadas em sites especializados, e fazem
uso destas em massa, antes que qualquer tentativa de correo destas vulnerabilidades seja humanamente
possvel ou vivel.
Notadamente, devemos deixar claro que muitos hackers trabalham verdadeiramente empenhados
em descobrir falhas e ajudar os usurios de tecnologia a se protegerem. O termo hacker tem sido muito
usado ultimamente, mas com uma conotao no muito acertada. Muitas vezes, o termo tem sido associado a
reportagens e publicaes que distorcem o seu verdadeiro sentido.
De qualquer forma, a maioria das empresas desenvolvedoras de software (principalmente sistemas
operacionais ou software com aplicaes especficas em redes ou segurana), publicam correes no perodo
de 24 a 48 horas aps a divulgao de uma vulnerabilidade na Internet (vide Canais de Divulgao, a
seguir). Isto s ocorre hoje por causa da presso natural do mercado em exigir uma resposta, diante da
publicao de uma falha. Devemos ento, agradecer, diretamente, aos especialistas em segurana, e aos
verdadeiros hackers por permitir que tal processo funcione.
Existem diversos tipos de hackers, dos que possuem mais experincia para os que apenas copiam
furos de segurana explorados por outros hackers. Podemos classific-los quanto a sua experincia,
conhecimento, e ramo de atuao, sendo este ltimo parmetro o mais usado.
White-Hats
Os white-hats so os hackers que explorarm problemas de segurana para divulg-los abertamente,
de forma que toda a comunidade tenha acesso informaes sobre como se proteger. Desejam abolir a
segurana por obscuridade, que nada mais do que tentar proteger ou manter a segurana pelo segredo de
informaes sobre o funcionamento de uma rede, sistema operacional ou programa em geral. Seu lema o
full disclosure, ou conhecimento aberto, acessvel a todos. Alguns adotam tambm a filosofia de moderated
disclosure, ou conhecimento moderado, liberando informaes sobre como funciona um bug ou
vulnerabilidade, mas sem liberar, na maioria das vezes, o que chamamos de exploit, ou cdigo que permite
explorar a vulnerabilidade.
Black-Hats
Ao contrrio dos white-hats, apesar de movidos tambm pela curiosidade, usam suas descobertas e
habilidades em favor prprio, em esquemas de extorso, chantagem de algum tipo, ou qualquer esquema que
venha a trazer algum benefcio, geralmente, e obviamente, ilcito. Estes so extremamente perigosos e difceis
de identificar, pois nunca tentaro chamar a ateno. Agem da forma mais furtiva possvel.
Defacers
Os defacers, na grande maioria das vezes, so organizados em grupos. So, geralmente, muito
jovens, algumas vezes comeando com apenas 12 anos. Usam seus conhecimentos para invadir servidores
que possuam pginas web, e tem por objetivo modificar estas pginas.
Obviamente, mudar a pgina principal de um site famoso ou no d uma certa quantidade de
exposio, tornando o hacker, ou o grupo, conhecido na comunidade. Muitos analistas sugerem que a
grande motivao destes grupos seja justamente se tornarem conhecidos na comunidade, e de certa forma,
provarem que so capazes. Muitas vezes ocorrem disputas entre grupos de defacers, para descobrirem
quem consegue desfigurar o maior nmero de sites no menor tempo. Apesar da maioria esmagadora dos
defacers negar, eles so, por amostragem, pixadores digitais.
Geralmente no criam ou descobrem novas vulnerabilidades. Apenas usam o que j foi descoberto
recentemente, se aproveitando do atraso entre a publicao de uma falha e a publicao / aplicao de
correes.
Existem inmeros grupos de defacers Brasileiros, e muitos deles so considerados os mais eficazes e
rpidos do mundo. Freqentemente, utilizam o IRC (Internet Relay Chat ou bate-papo online).
Estatsticas de sites como o Alldas.org demonstram que o Brasil, hoje, resguardando as devidas
propores, um dos Pases do mundo que mais sofre com defacements. Isso est diretamente relacionado
com a qualidade e nvel tcnico dos hackers em nosso Pas.
Crackers
As denominaes para os crackers so muitas. Alguns classificam de crackers, aqueles que tem por
objetivo invadir sistemas em rede ou computadores apenas pelo desafio. Contudo, historicamente, o nome
cracker tem uma relao com a modificao de cdigo, para obter funcionalidades que no existem, ou de
certa forma, limitadas. Um exemplo clssico so os diversos grupos existentes na Internet que tem por
finalidade criar patches ou mesmo cracks que modificam programas comerciais (limitados por mecanismos
de tempo por exemplo, como shareware), permitindo seu uso irrestrito, sem limitao alguma.
Phreakers
Apesar de muitos considerarem um cientista russo chamado Nicola Tesla (que na virada do sculo
realizava experincias assutadoras at para os dias de hoje com eletricidade) como o primeiro hacker da
histria, os primeiros hackers da era digital (ou seria analgica?) lidavam com telefonia. Sua especialidade
interferir com o curso normal de funcionamento das centrais telefnicas, mudar rotas, nmeros, realizar
chamadas sem tarifao, bem como realizar chamadas sem serem detectados (origem). Com a informatizao
das centrais telefnicas, ficou inclusive mais fcil e acessvel o comprometimento de tais informaes. Kevin
Mitnick, considerado o maior hacker de todos os tempos (veremos que nem tanto a mdia excerceu uma
influncia decisiva), era um timo phreaker. Na fase final de sua captura, quando os agentes de governo
ajudados pelo Sr. Tsutomu Shimomura, especialista de segurana do SDSC San Diego Supercomputing
Center, estavam chegando a um nome, ele conseguia enganar as investigaes atravs do controle que tinha
da rede de telefonia da GTE (uma das concessionrias telefnicas nos EUA).
Wannabes
Os wannabes ou script-kiddies so aqueles que acham que sabem, dizem para todos que sabem, se
anunciam, ou divulgam abertamente suas faanhas, e usam em 99% dos casos scripts ou exploits
conhecidos, j divulgados, denominados receitas de bolo, facilmente encontradas em sites como
www.rootshell.com, xforce.iss.net ou securiteam.com. Estes possuem relao direta com a maioria dos
usurios da Internet Brasileira. So facilmente encontrados em frums de discusso sobre o tema, e
principalmente no IRC. A maioria no possui escrpulo algum, portanto, tomar medidas de cautela
aconselhvel. Os wannabes geralmente atacam sem uma razo ou objetivo, apenas para testar ou treinar suas
descobertas, o que nos torna, usurios Internet, potenciais alvos.
Exemplo / Estudo de Caso: TakeDown

Para entender melhor o que pensa um tpico black-hat, um phreaker, e um white-hat, analisemos o
caso de Kevin Mitnick e Tsutomu Shimomura.
Kevin Mitnick a um bom tempo (meados dos anos 80) j havia sido investigado pela polcia, por
atividades ilcitas ligadas a segurana de computadores, sempre relacionadas a sua atuao como hacker. Por
volta de 1992 ~ 1994, Tsutomu Shimomura, e outro hacker conhecido, chamado Mark Lotto, desmontaram o
cdigo do sistema operacional de um celular da OKI, atravs de engenharia reversa. Tsutomu em si
trabalhava como consultor para a Motorola. Ningum sabe ao certo o que fez o Kevin tentar invadir as
mquinas de Tsutomu, contudo, a comunidade tem uma certeza: no foi um ataque simples, foi algo
planejado. Tudo indica que o objetivo de Kevin era conseguir obter os cdigos fonte dos celulares que
Tsutomu possua, para posteriormente vend-los.
Tudo comeou quando ele conseguiu controlar as centrais telefnicas da GTE. Kevin discava de um
celular, e raramente de casa, de uma cidade chamada Raleigh, na Carolina do Norte, USA. Assim, invadiu as
mquinas de um provedor chamado The Well, que usava para ter acesso a Internet. Ele usou como ponto de
partida os servidores do The Well para o ataque. Tambm comprometeu estaes e servidores no provedor
Toad.com. Perceba que, tanto o The Well como o Toad.com so considerados os pilares da comunidade
da Internet que conhecemos hoje.
Enquanto isso aproveitou seu acesso invisvel atravs do The Well para invadir um outro provedor,
chamado NetCom, de onde roubou milhares de nmeros de cartes de crdito. Aps o roubo dos nmeros,
invadiu uma mquina em toad.com. De l, iniciou o ataque rede de Tsutomu Shimomura. Atravs de um
antigo exploit do finger, e usando um pouco de port scanning, ele conseguiu descobrir que uma mquina de
Tsutomu, chamada Ariel, tinha uma relao de confiana com outra mquina na rede de Tsutomu. Ele tirou
esta mquina do ar (atravs de um ataque do tipo DoS), e utilizou uma tcnica chamada IP Spoofing, para a
mquina Ariel pensar que estava sendo acessada pela mquina na qual confiava. Da pra frente, ficou fcil.
Observe que Kevin usou de uma srie de artifcios para no ser detectado, desde a sua ligao telefnica at
seu acesso aos computadores de Tsutomu, e que sua motivao tambm era financeira. Inclusive, muitos dos
mtodos usados por ele so amplamente divulgados hoje em dia.
Tsutomu conseguiu chegar a Kevin devido a um rastro deixado em Ariel. Descobriu ento, que as
conexes tinham partido de toad.com. Assim, iniciou uma caada, que vrios meses depois, chegou em
Raleigh, e culminou com a captura do Kevin (com ajuda do FBI) em fevereiro de 1995, atravs do sinal de seu
celular, que usava para se conectar.
O mais interessante de tudo que Kevin no era especialista em UNIX (sistema usado por Tsutomu,
pelo toad.com, pela Well). Ele era na verdade especialista em VMS / VAX, um sistema da Digital. Ele parecia
ter profundos conhecimentos sobre sistemas da Digital. Tudo indica que Kevin seguiu vrias dicas de algum
em Israel, que at hoje, ningum coseguiu identificar. Kevin forneceu vrias informaes sobre como invadir
sistemas VMS / VAX, e recebeu as dicas de como usar o IP spoofing, que, na poca, era uma tcnica recente,
nunca testada, apenas discutida academicamente.
Existe um site na Internet que possui um log demonstrando at a sesso de telnet que Kevin usou,
algumas chamadas que ele teria realizado para o Mark Lotto, demonstrando seu interesse pelo cdigo fonte
dos celulares, e algumas gravaes da secretria telefnica do Tsutomu, que supostamente, teriam sido feitas
pelo Kevin . O site pode ser acessado em: http://www.takedown.com
Existem tambm dois livros que contam a histria. Um, com a viso de Kevin, escrito pelo Jonattan Littman, e
outro, com a viso de Tsutomu, escrito pelo John Markoff em conjunto com ele. Este ltimo possui uma edio
nacional, pela Companhia das Letras. Chama-se Contra-Ataque. O livro escrito pelo Littman chama-se The
Fugitive Game: online with Kevin Mitnick. Ambos os livros podem ser encontrados online, em livrarias como
Amazon.com, por menos de 20 dlares cada.
Kevin Mitnick foi solto em 21 de janeiro de 2000, e est sobre condicional. Boatos dizem que o governo
Americano est usando Kevin Mitnick como consultor de segurana.
Ningum sabe o paradeiro de Tsutomu Shimomura.
Exemplo: ISP, Portal, Instituio Financeira

Em meados de 1998, um provedor de acesso a Internet no Nordeste, um dos maiores do Brasil,
hackeado 2 vezes.
Apesar das portas de entrada usadas no terem sido 100% identificadas, ambas invases foram
usadas para, de certa forma, prejudicar sua imagem perante seus usurios.
No primeiro ataque, a pgina principal foi modificada (deface), e substituda por uma brincadeira
com a mascote do provedor, que inclua at uma pequena msica que tratava dos preos praticados pelo
mesmo, e de sua segurana falha.
No segundo ataque, a coisa se tornou um pouco mais sria. Os hackers colocaram na pgina principal
do provedor informaes de cadastro, como nmero de cartes de crdito de usurios. Apesar dos hackers
apenas conseguirem acesso a poucas informaes (cadastro de novos usurios realizados no perodo de 24
horas), colocaram no texto da nova pgina que, supostamente, teriam acesso a todo o banco de dados de
todos os usurios. O impacto na mdia local foi devastador.
Em ambos os casos, os hackers que tiveram sucesso em invadir um dos servidores do provedor
modificaram as pginas principais do mesmo, fazendo com que, qualquer usurio ou pessoa com acesso a
Internet, pudesse visualizar o resultado do ataque.
Este tipo de ao mais conhecido na Internet como deface, ou ataque de desfigurao de site. O
objetivo alterar de alguma forma a pgina principal da empresa, por se tratar de uma invaso relativamente
simples (o comprometimento de apenas um servidor), mas com resultados srios.
Dependendo do ramo de atuao da empresa que tem seu site desfigurado, as implicaes podem ser
profundas. No caso de provedores de acesso a Internet, entidades financeiras (como bancos, por exemplo),
portais e empresas de segurana, a pgina principal modificada indica comunidade em geral que a
instituio falha em manter a integridade de seus dados, e, obviamente, a segurana dos mesmos. O
impacto direto no produto que estas empresas comercializam.
Provedores de acesso a Internet tero sua credibilidade afetada, de forma que novos clientes optaro
por outros provedores justamente por no confiarem na segurana de seus dados.
Entidades financeiras talvez sejam as empresas mais afetadas. A segurana da informao nestas
entidades primordial, e o compometimento da sua segurana demonstrar a comunidade que tal instituio
no possui capacidade para manter seus dados seguros. No caso do provedor de acesso a Internet, a perda
de clientes significar uma perda direta de faturamento, mas na ordem de poucas dezenas de dlares por
cliente. No caso de uma instituio financeira, a perda poder significar potencialmente a descapitalizao da
instituio, ou uma perda da ordem de milhares de dlares por cliente.
No caso de empresas de segurana, a perda na prtica ser a descrena em seus servios,
diretamente. O mais interessante que uma empresa de segurana provavelmente terceiriza servios como
hospedagem de pginas, o que lhe isenta da responsabilidade em um caso desses. Contudo, o efeito causado
geralmente no consegue ser justificado. Quando isso ocorre, e, se realmente a empresa terceiriza seus
servios de web hosting, deve colocar em seu site um aviso para seus clientes e usurios sobre onde
ocorreram as falhas, e um resumo de responsabilidades.
Exemplo: Operadora de Telefonia Celular

No final do primeiro semestre de 2001, uma operadora de telefonia celular, no Brasil, teve um de seus
servidores Windows NT hackeados.
O servidor em questo era responsvel pelo envio de mensagens do tipo SMS (Short Messaging
System). Ao acessar a pgina, o usurio recebia uma pgina relatando o ocorrido, escrito pelo hacker. Mais
um caso de defacement.
Em resumo, uma constante em casos de defacements a quebra da credibilidade da empresa
afetada.
Canais de Divulgao
A Internet em si a melhor forma de se manter atualizado sobre novas vulnerabilidades, ferramentas,
bugs, patches e atualizaes, bem como sites hackeados, ou defacements.
Perceba que muitos destes canais de comunicao so os mesmos usados pelos maiores especialistas
de segurana da atualidade. Portanto, no difcil ver uma nova vulnerabilidade ser anunciada, e o prprio
fabricante ou desenvolvedor do software tomar conhecimento da mesma pelo mesmo canal. Em listas como a
bugtraq, e a ntbugtraq, comum isto ocorrer.
Isso considerado uma grande vantagem, pois quanto mais cedo ou mais rpido se toma
providncias contra uma falha de segurana, menor so as chances de ter problemas com hackers. A
desvantagem , na maioria das vezes, no ter correes disponveis quando a vulnerabilidade publicada.
Contudo, prepare-se para receber em mdia 400 mensagens dirias sobre o tema. Tal fluxo de
mensagens somente aceitvel para aquele profissional que lida com segurana da informao em sua
empresa, ou tem responsabilidades desta natureza.
Microsoft Security Site & Bulletins

A Microsoft mantm um site dedicado a questes de segurana em todos os seus produtos. L, voc
poder fazer o download de correes / patches para qualquer software que a Microsoft produza e possua
uma falha corrigida.
O site pode ser acessado em:
http://www.microsoft.com/security
A estrutura do site organizada em boletins. Cada falha de segurana publicada oficialmente
atravs de um boletim, enviado a uma lista de assinantes, e publicado no site. Cada boletim possui todas as
informaes pertinentes falha, bem como instrues sobre como se proteger.
Para fazer parte da lista de assinantes, basta visitar a pgina:
http://www.microsoft.com/technet/security/notify.asp
...E seguir suas instrues.
Bugtraq e demais listas em securityfocus.com

Moderada pelo Elias Levy, a.k.a. Aleph One, uma das maiores e melhores listas de discusso (com
trfego de dezenas de mensagens diariamente), principalmente de segurana, em ambientes UNIX. Para se
inscrever, basta enviar um email em branco para:
bugtraq-subscribe@securityfocus.com
O site securityfocus mantm vrios frums de discusso sobre segurana, que abrangem os mais
diversos temas. Para visualizar uma relao de frums, visite o site:
http://www.securityfocus.com/cgi-bin/forums.pl
Pra visualizar instrues sobre como participar de cada lista, visite:
http://www.securityfocus.com/cgi-bin/subscribe.pl
O site possui, entre os que mantm, frums com fabricantes especficos, como Microsoft, Sun, e Linux.
Para aqueles que do suporte a produtos destes fabricantes, vale a pena dar uma olhada.
NTBugtraq
A lista NTBUGTRAQ uma lista moderada pelo canadense Russ Cooper. Ela discute segurana em
ambiente Windows NT e 2000. O nvel de barulho ou de informaes que no dizem respeito ao assunto
muito baixo (Russ bem rigoroso na moderao do grupo), portanto, a grande maioria das informaes de
nvel alto. Para assin-la, basta enviar uma mensagem para:
listserv@listserv.ntbugtraq.com
e no corpo da mensagem:
subscribe ntbugtraq Primeiro_nome Sobrenome
Contudo, antes de assinar esta lista, aconselhvel ler a FAQ da mesma em:
http://ntbugtraq.ntadvice.com/default.asp?pid=31&sid=1
Windows 2000 Mag. Security Administrator

O site www.ntsecurity.net j foi referncia sobre segurana em ambientes Microsoft. Contudo, a cerca
de 2 anos, foi deixado de lado, e assumido pela Windows 2000 Magazine, revista de renome mundial para
tudo que envolve Windows 2000 (se chamava antes Windows NT Magazine).
O site oferece diversas listas de discusso sobre segurana.
Ao acessar:
http://www.ntsecurity.net
Voc poder se inscrever nos frums de discusso. Instrues podem ser encontradas diretamente na
pgina principal.
SecuriTeam
O pessoal da securiteam.com rene, em uma nica lista de divulgao, as principais falhas de
segurana encontradas em qualquer software. Alm disso, divulga o lanamento de ferramentas de segurana
importantes.
Esta lista de mxima importncia para aqueles que levam segurana a srio. Para assin-la, envie
uma mensagem em branco para:
List-subscribe@securiteam.com
Para acessar o site:
http://www.securiteam.com
Alldas.org Defaced Archive

Os responsveis pelo site da Alldas.org assumiram a lista de sites desfigurados. Esta lista antes era
mantida pelo pessoal da attrition.org, que desistiu de manter o banco de dados pela quantidade de trabalho
que o mesmo necessitava.
Aparentemente, o alldas.org tambm est passando por problemas. O site est instvel, e no se sabe
a razo. Contudo, a lista est funcionando, na maioria das vezes.
Para assinar a lista, basta enviar uma mensagem para:
ml-manager@defaced.alldas.org
Com o corpo em branco, e
Subscribe alldas-defaced
No campo de assunto.
O servio tambm oferece diversas estatsticas sobre sites hackeados. Estes dados so muito
interessantes, pois voc poder listar as invases por sistema operacional, domnio, e at pelo nome do
hacker ou grupo que realizou o deface.
http://alldas.org
Destas pginas, podemos encontrar algumas informaes alarmantes:
O Brasil est em segundo lugar em domnios hackeados. Perde apenas para os .com;
Os grupos de defacers do Brasil esto no topo da lista com maior nmero de sites;
O sistema operacional mais invadido foi Microsoft; em segundo lugar, Linux;
Dezenas de sites so desfigurados diariamente.
Existe tambm uma espcie de search engine, onde possvel pesquisar por sites desfigurados. Voc
poder visualizar o site original, a pgina desfigurada, entre outras informaes.
ISS Internet Security Systems Forums

A lista NT Security uma lista moderada (espere por dezenas de mensagens diariamente), mantida
por uma empresa chamada ISS (Internet Security Systems). Para assin-la, a forma mais fcil ir ao seguinte
endereo:
http://xforce.iss.net/maillists/
L, voc encontrar diversas listas sobre segurana, tanto mantidas pela ISS, como tambm listas de
terceiros.
3. Entendendo Redes e a Internet

Introduo em Redes
Conceito de Redes
As redes de computadores foram criadas a partir da necessidade de se compartilhar dados e
dispositivos. Com a distribuio do dado, valioso ou no, tal ambiente passou a ser alvo de um estudo de
vulnerabilidades, tanto por parte dos administradores conscientes, quanto por potenciais ameaas (sabotagem
ou espionagem industrial, por exemplo).
Contudo, para que a comunicao de dados ocorra entre computadores, necessrio que uma srie
de etapas e requisitos sejam cumpridos. Podemos dividir a comunicao em rede, didaticamente, em 4
camadas: a parte fsica (meio de transmisso placas de rede, cabeamento...), a camada de endereamento /
roteamento (responsvel pelo endereamento e pela escolha do melhor caminho para entrega dos dados), a
parte de transporte (protocolo de comunicao responsvel pelo transporte com integridade dos dados), e a
camada de aplicao (que faz interface com o usurio). Se algum elemento de alguma destas camandas
falhar, no haver comunicao.
Interfaces de Rede
O principal contato que temos com uma rede, ou algo palpvel que a represente, provavelmente,
atravs de uma interface, ou placa de rede. Este equipamento, que pode vir na forma de uma placa para ser
instalada internamente (dentro do seu computador), ou na forma de um modem (para comunicao dos
dados via linhas analgicas), possui diversos padres, tipos, modelos, e fabricantes. Contudo, de forma
resumida, este componente responsvel por ligar o meio de transmisso (geralmente um cabo de rede, ou
uma linha telefnica) ao computador. Um dado importante: a grande maioria das placas de rede possui um
endereo nico, que determina seu fabricante, e sua impresso digital. Teoricamente, no existe nenhuma
outra interface de rede com o mesmo endereo fsico. Contudo, existem tcnicas para modific-lo. Este
endereo fsico e parte essencial na transmisso dos dados.
Transmiso dos Dados Camada Fsica

O principal conceito de transmisso de dados o da diviso em pacotes, ou frames de rede,
dependendo da camada analisada. De forma genrica, os dados trafegam dentro do meio (cabeamento, por
exemplo) organizados em lotes, chamados pacotes.
Cada pacote possui uma srie de controles para a transmisso dos dados, como delimitadores de
incio e fim, e uma checagem de erros (para quem receber o pacote, poder avaliar se ele chegou corretamente
ou se houve alguma perda durante a transmisso), e uma forma de endereamento (para identificao e
escolha da rota). Como a maioria dos meios de transmisso s permite um acesso por vez, a diviso em
pacotes resolve o problema de forma inteligente. Se cada ponto que deseja transmitir, o fizer em pedaos,
com intervalos de tempo entre as transmisses, para o usurio, parecer que a comunicao simultnea.
Contudo, em alguns tipos de rede, como no Ethernet, dois ou mais computadores podem tentar transmitir no
mesmo momento. Isso causar uma coliso: os pacotes sero corrompidos, e os computadores tero de
retransmitir os pacotes, observando desta vez, um certo tempo de espera, diferente, para que a coliso no
ocorra novamente. Essa forma de utilizar o meio de transmisso se chama CSMA/CD (Carrier Sense, Multiple
Access with Collision Detection).
Existem outras formas de transmisso mais eficientes, porm, bem mais caras. Uma delas se chama
Token Passing, ou passagem de token. Neste mtodo de acesso ao meio, cada computador transmite em uma
ordem pr-determinada, de forma que todos tenham o mesmo tempo de acesso ao meio, geralmente em uma
configurao lgica em anel. Outra forma seria o Frame Switching, ou Cell Switching, usado em redes ATM ou
Frame Relay (de altssima velocidade).
Transmisso dos Dados Camada de Rede

A camada de rede responsvel primariamente pelo endereamento lgico dos pacotes. Assim,
possvel determinar a origem, o destino, e escolher o melhor caminho para um pacote. Por exemplo, numa
rede complexa como a Internet, frequentemente, existem diversos caminhos entre seu computador e um
servidor, por exemplo, no Japo. Atravs do seu endereo de origem, alguns roteadores (equipamentos que
conectam redes distintas) decidiro qual o melhor caminho, baseado em trfego, distncia e etc., entre voc e
o servidor no Japo. Outra funo a quebra dos pacotes, caso a rede seguinte no suporte pacotes do
mesmo tamanho (tambm chamado de fragmentao de pacotes).
Transmisso dos Dados Camada de Transporte

Na camada de transporte, so desempenhadas tarefas de controle de trfego. Nesta camada, existem
mecanismos que determinaro se o pacote foi ou no transmitido corretamente, se o mesmo chegou em
sequncia (em caso negativo, alguma informao deve existir para que a ordenao seja possvel), bem como
adequao a velocidade de transmisso (mais rpido ou no, dependendo da capacidade da rede e nmero de
pacotes recebidos com erro).
Transmisso de Dados Camada de Aplicao

Nesta camada, esto presentes os protocolos que fazem direta interface com o usurio, ou que tratam
as informaes da rede, nos apresentando de uma forma compreensvel. Um exemplo tpico de camada de
aplicao: o Ambiente de Rede, presente em mquinas Windows 9x e Windows NT / 2000. Para que o usurio
consiga visualizar a rede, existe neste caso um protocolo, chamado NetBIOS, que torna possvel aquele tipo de
representao. Um outro exemplo seria o FTP (File Transfer Protocol), um protocolo da pilha TCPIP, usado
para transferncia de arquivos. Atravs dele, o usurio ganha um prompt de comando, de onde pode enviar
ou receber arquivos, depois de adequadamente autenticado.
A Conexo a uma Rede

A comunicao de um computador a uma rede se d atendendo as necessidades de todas as camadas
apresentadas. Primeiro, precisamos de uma interface fsica, que permita ao computador enxergar o meio de
comunicao da rede. Isso feito geralmente atravs de uma placa de rede, ou de um modem. No caso das
placas de rede, as formas mais comuns de conexo so atravs de cabeamento par tranado (inicialmente
projetado para telefonia, mas modificado para comportar o trfego de dados) ou atravs de cabeamento
coaxial (parecido com um cabo de antena externa de TV). A maioria das redes locais usa uma destas
tecnologias, ou, caso uma maior velocidade ou maior distncia seja necessria, alguma tecnologia baseada em
fibra tica ou transisso sem fio (via rdio, microondas, satlite, laser, etc.).
O interessante das redes locais com cabeamento par tranado ou coaxial sua facilidade de
instalao. No caso do cabo par tranado, sero usados conectores do tipo RJ-45 (parecidos com conectores
de telefone), e um hub ou switch (uma espcie de concentrador), que interligar os diversos segmentos de
cabo (em redes par-tranado, cada segmento nico do computador ao concentrador). No caso do cabo
coaxial, no necessrio o hub, pois o cabo passa em todos computadores. Porm, se o cabo for rompido,
toda a rede ser comprometida.
Interligando Redes
Dada a abrangncia de algumas redes como a Internet, determinadas pilhas de protocolo (linguagem
de comunicao entre computadores) foram projetadas para suportar a diviso dos endereos em regies,
similares aos bairros em nossas cidades. Estas divises permitem uma melhor configurao da rede, como a
organizao das mquinas e a transmisso dos dados de forma hierrquica. Alm disso, permitem uma melhor
utilizao do endereamento.
Contudo, para que diversas redes se comuniquem, faz-se necessria a presena de um determinado
tipo de componente: o roteador. Ele responsvel pela comunicao de dados entre redes distintas. Ele
desempenha esta tarefa analisando os campos de endereo origem e endereo destino, uma tabela de rotas,
e enviando o pacote pelo caminho presente na tabela (rota) ou pelo melhor caminho (caso existam vrias
rotas para um mesmo destino, e caso o roteador seja dinmico).
Em conjunto com o endereo fsico das placas de rede, tambm chamado de endereo de hardware, o
endereamento lgico fecha o conceito de endereamento. Repare que o endereo lgico, ou de protocolo,
usado pelos roteadores, geralmente pode ser determinado manualmente. J o endereo fsico no:
registrado pelo fabricante da interface de rede.
Ento, temos um problema: se um computador tiver sua placa de rede trocada, no conseguir mais
se comunicar na rede. Isto seria verdade se no existisse o endereamento lgico, pois ao se trocar uma
interface de rede, todas as tabelas de roteamento teriam de ser trocadas, pois o endereo mudou, e porque o
endereo fsico no possui nenhuma caracterstica hierrquica.
Para resolver o problema, as pilhas e protocolo criam uma associao entre o endereo fsico e o
lgico. Tomemos como exemplo a pilha de protocolos TCP/IP. Nela, existe um protocolo chamado ARP
(Address Resolution Protocol) responsvel por descobrir endereos fsicos e associ-los a endereos lgicos.
Funciona da seguinte forma:
1o caso: dois computadores numa mesma rede
1. Computador A deseja se comunicar com computador B
2. Computador A envia uma chamada ARP na rede, para todos os computadores, perguntando Qual o
endereo fsico do computador que possui endereo lgico ABCD?
3. Computador ABCD ouve, e responde: meu endereo fsico : XYZW
4. A partir deste momento, o computador A poder enviar os pacotes diretamente para o computador B,
pois todas as informaes de endereamento esto presentes (endeo fsico e lgico dele prprio, e
do destino).
2o caso: computadores em redes diferentes
1. Computador A deseja se comunicar com computador B
2. Computador A verifica o endereo lgico de computador B, e constata que o mesmo NO est na
mesma subrede que ele prprio
3. Computador A ento, tenta enviar pacote para seu roteador
4. Computador A estabelece comunicao com roteador, da mesma forma que exemplificado no 1o caso
5. Roteador estabelece comunicao com computador B, da mesma forma que exemplificado no 1o caso
Perceba a diferena. Os endereos fsicos somente so importantes dentro de uma mesma rede,
justamente porque no existe hierarquia em seu formato. Contudo, atravs do endereo lgico, computador A
pode determinar que computador B no pertencia a sua rede, e enviou o pacote para o componente
responsvel pela interligao de redes: o roteador, que, por sua vez, sabia para onde enviar o pacote, de
forma que o mesmo chegasse ao computador B. Caso o roteador no possusse esta informao, retornaria
uma mensagem para o computador A, dizendo: rede destino inalcanvel.
TCP/IP
O TCP/IP (Transmission Control Protocol / Internet Protocol), uma pilha de protocolos que vem
sendo modelada a dcadas, desde a criao de uma rede chamada ARPANET, em meados dos anos 60, nos
EUA. Ao contrrio do que muitos acham, no apenas um protocolo de comunicao, mas uma pilha deles.
Essa pilha de linguagens de comunicao permite que todas as camadas de comunicao em rede sejam
atendidas e a comunicao seja possvel. Todas as pilhas de protocolo, de uma forma ou de outra, tem de
atender a todas as camadas, para permitir que os computadores consigam trocar informaes.
Podemos fazer uma analogia de uma pilha de protocolos com a comunicao verbal. Se algum fala
com outra pessoa, e esta o entende, porque todas as camadas para que a fala seja interpretada foram
atendidas. Imagine, para que duas pessoas se comuniquem verbalmente, ser necessrio:
1. Que ambas saibam o mesmo idioma
2. Que ambas tenham toda a estrutura fisiolgica para que emitam som (voz cordas vocais, lngua,
garganta, pulmes, etc.)
3. Que ambas possuam toda a estrutura fisiolgica para que ouam o som (orelha, ouvido interno,
tmpanos, etc.)
Nesta pilha de protocolos, temos como mais importantes:
ARP (Address Resolution Protocol)

O ARP o protocolo responsvel pelo mapeamento ou associao do endereo fsico ao endereo
lgico, de computadores numa mesma rede. Ele faz isso atravs do processo exemplificado no tpico anterior.
IP
O Internet protocol o responsvel pelo endereamento lgico de pacotes TCPIP. Alm disso,
responsvel pelo roteamento destes pacotes, e sua fragmentao, caso a rede seguinte no possa interpretar
pacotes do mesmo tamanho. O mais importante para entendermos o funcionamento do IP entender como
feito seu endereamento lgico.
Um endereo IP algo parecido com isto:
200.241.236.94
Apesar de aparentemente no ter muita lgica, este endereo contm uma srie de informaes. A
primeira delas que, neste nmero esto presentes a identificao da rede na qual o computador est ligado,
e o seu nmero, em relao a esta rede. Detalhe: o computador NO interpreta este nmero acima como
quatro cadeias decimais separadas por pontos (esta representao apenas para tornar nossas vidas mais
fceis). Ele entende como quatro octetos, ou quatro campos de 8 bits:
11001000.11110001.11101100.01011110
Para facilitar a organizao das redes inicialmente, o endereamento foi dividido em 5 classes:
Endereo
Endereo
Endereo
Endereo
Endereo
de
de
de
de
de
classe
classe
classe
classe
classe
A;
B;
C;
D;
E.
Para identificar cada classe, necessrio observar o primeiro octeto.
Classe A
Se o primeiro octeto, no formato binrio, se iniciar com 0, ento o endereo de classe A. Para
descobrirmos seus equivalentes em decimal, basta converter o nmero mnimo e o mximo, de 8 bits, com o
primeiro bit igual a 0:
Binrio
00000000 a 01111111
Decimal
0 a 127
Portanto, qualquer endereo IP que tenha o primeiro octeto compreendido entre 0 e 127, um
endereo de classe A.
Classe B
Os endereos de classe B possuem o primeiro octeto, em binrio, iniciado por 10:
Binrio
10000000 a 10111111
Decimal
128 a 191
Assim sendo, endereos IP iniciados com nmeros compreendidos entre 128 a 191, so endereos de
classe B.
Classe C
Endereos de classe C possuem o primeiro octeto, em binrio, iniciado por 110:
Binrio
11000000 a 11011111
Decimal
192 a 223
Desta forma, endereos IP iniciados com nmeros compreendidos entre 192 e 223, so endereos de
classe C.
Os endereos de classe D e E no so usados para endereamento de computadores. A classe D
reservada para um servio chamado Multicast, enquanto a classe E, para experimentos (ambas so
reservadas).
Algumas concluses, fatos e padres sobre endereos IP:
1.
2.
QUALQUER endereo iniciado por 127, considerado endereo de diagnstico, e representa sua
prpria interface (tambm chamado de loopback);
O endereamento IP usado hoje chamado de IP verso 4. O nmero de endereos IP em uso
preocupa vrios especialistas. Um dos projetistas da pilha, Vincent Cerf, previu que at 2008, todos
os endereos estaro em uso. Para isso, j existe em funcionamento uma nova verso, chamada de
IP verso 6, que ter como endereamento 128 bits, ao invs dos 32 bits do IP verso 4;
3.
4.
5.
Para entender as vulnerabilidades e como funciona a maioria dos mecanismos de ataque e defesa,
necessrio enteder o conceito bsico do endereamento IP;
A pilha TCP/IP vem sendo modificada desde a dcada de 60. Como seu design / conceito bastante
antigo, existem diversas vulnerabilidades inerentes ao protocolo, que so bastante usadas por
hackers;
Cada octeto no pode ter um valor decimal acima de 255 afinal, 8 bits somente conseguem assumir
256 combinaes diferentes, o que d, em decimal, a contagem de 0 a 255.
Mscara
Ao contrrio do que muitos pensam, a classe do endereo NO determina ou fixa que pores do
endereo representam a rede, e que pores do endereo representam a mquina dentro da rede. Isto feito
pela mscara de subrede. O conceito da mscara bastante simples: ela possui o mesmo formato de um
endereo IP (4 octetos). Ela comparada posicionalmente ao endereo IP e, onde houver o bit 1, aquele bit
correspondente no endereo IP ser parte da identificao da rede. Onde houver o bit 0, ser parte da
identificao do endereo da mquina dentro daquela rede. Pensando estritamente desta forma, podemos
claramente perceber que a coisa pode ficar bem complicada. Contudo, existe um padro que regula a
utilizao destes bits, para que sua configurao nao fuja ao controle. Esse padro obedece as seguintes
regras:
1. A poro de rede se inicia
esquerda;
2. Endereos de classe A, tem,
3. Endereos de classe B, tem,
4. Endereos de classe C, tem,
da esquerda para a direita, enquanto a poro host, da direita para a

por padro, a mscara 255.0.0.0
Alguns exemplos:
Exemplo 1:
O endereo 200.241.35.46 um endereo de classe C. Possui, por padro, mscara 255.255.255.0, o que
significa que, a mquina que possuir este endereo, est na rede 200.241.35, e possui, dentro desta rede, o
endereo 46.
Octeto
End. IP dec.
Mascara dec.
End IP bin.
Mscara bin.
Separao
1O octeto
200
255
11001000
11111111
2o octeto
241
255
11110001
11111111
End. Rede
3o octeto
35
255
00100011
11111111
4o octeto
46
0
01011110
00000000
End. Host
Exemplo 2:
O endereo 10.126.46.99 um endereo de classe A. Possui, por padro, mscara 255.0.0.0, o que significa
que, a mquina que possuir este endereo, est na rede 10, e possui, dentro desta rede, o endereo
126.46.99.
Octeto
End. IP dec.
Mascara dec.
End IP bin.
Mscara bin.
Separao
1O octeto
10
255
00001010
11111111
End. Rede
2o octeto
126
0
01111110
00000000
3o octeto
46
0
01011110
00000000
End. host
4o octeto
99
0
01100011
00000000
Exemplo 3:
O endereo 190.23.56.89 um endereo de classe B. Possui, por padro, mscara 255.255.0.0, o que
significa que, a mquina que possuir este endereo, est na rede 190.23, e possui, dentro desta rede, o
endereo 56.89.
Octeto
End. IP dec.
Mascara dec.
End IP bin.
Mscara bin.
Separao
1O octeto
190
255
10111110
11111111
2o octeto
23
255
00010111
11111111
End. Rede
3o octeto
56
0
00111000
00000000
4o octeto
89
0
01011001
00000000
End. Host
Algumas concluses e fatos sobre a mscara:

1. O que define qual poro do endereo representa a rede e qual poro representa o host a mscara,
e no a classe do endereo IP (apesar de existir um padro que associa determinadas mscaras s
classes);
2. A mscara pode ser mudada, alterando a representao das pores rede/host do endereo IP;
3. Computadores com a poro rede do endereo diferentes SOMENTE se comunicaro se existir um
roteador entre eles (neste caso, o computador origem ir automaticamente enviar o pacote para o
roteador resolver o caminho at a rede destino);
4. Computadores com a poro rede do endereo iguais SOMENTE se comunicaro se NO existir um
roteador entre eles (estiverem na mesma rede fsica. Neste caso, o computador NO tentar enviar o
pacote para o roteador, pois o endereo destino est na mesma rede que a sua).
Problemas comuns de configurao IP:
1. Mscara errada;
2. Endereo do gateway (roteador) errado;
3. Poro rede errada, ou endereo IP duplicado.
ICMP (Internet Control Message Protocol)

A funo do ICMP basicamente de diagnstico e tratamento de mensagens. Atravs dele, possvel
determinar, por exemplo, quanto tempo um pacote est demorando em ir para uma mquina remota e voltar
(round trip), bem como determinar se houve perda de pacotes durante a transmisso. Com ele, tambm
possvel determinar qual o caminho que um pacote est seguindo a partir de uma mquina. O ICMP tambm
possui outras funes como o SOURCE_SQUENCH. Esta funo permite ao protocolo IP saber se a taxa de
transmisso est muito rpida entre redes. Quando um roteador recebe um pacote ICMP SOURCE_SQUENCH,
ele sabe que ter de diminuir a velocidade para no saturar o prximo roteador. Existem outros tipos de
pacotes ICMP, como o perigoso SOURCE_ROUTING, que possibilita a troca temporria de uma rota.
TCP (Transmission Control Protocol)

O protocolo TCP um protocolo de transporte, responsvel pela entrega correta dos pacotes. Sua
principal caracterstica a confiabilidade. Para cada pacote ou conjunto de pacotes que envia, espera do
destinatrio uma confirmao da chegada dos mesmos. Caso isso no ocorra, ou o pacote chegue corrompido,
ele tratar de efetuar a restransmisso. Ele tambm coloca nos pacotes um nmero de sequncia, para que o
destino possa remontar o dado original, caso os pacotes sigam por caminhos diferentes ou cheguem atrasados
(fora de ordem). Este nmero de sequncia tambm usado como recurso de segurana.
UDP (User Datagram Protocol)

O UDP assim como o TCP, tambm um protocolo de transporte. Contudo, no possui nenhuma
checagem de erros, confirmao de entrega ou sequenciamento. Ele muito utilizado em aplicaes que
necessitem de trfego urgente, e no sejam to sensveis a algumas perdas de pacotes. Exemplos de
aplicaes que usam UDP como transporte: transmisso de udio e video pela rede (RealPlayer, Realvideo ou
Media Player), jogos online (como Quake, Half-Life). Pela falta do nmero de sequncia ou confirmao de
conexo, trfego UDP muito mais vulnervel em termos de segurana.
Protocolos de Aplicao
Em cima da infra-estrutura fornecida pelos protocolos descritos at agora, funcionam os protocolos de
aplicao. Estes fazem a interface com o usurio, ou com a aplicao do usurio. Exemplos de protocolos de
aplicao: HTTP (HyperText Transfer Protocol), FTP (File Transfer Protocol), SMTP (Simple Mail Transfer
Protocol), SNMP (Simple Network Management Protocol), POP3 (Post Office Protocol v.3), TELNET, e assim
por diante. Cada protocolo de aplicao se comunica com a camada de transporte atravs de portas de
comunicao. Existem 65536 portas possveis, e por conveno, as portas de 1 a 1023 so conhecidas como
Well Known Port Numbers, portas privilegiadas ou portas baixas, que possuem servios mais comuns
previamente associados.
Cada protocolo de aplicao precisa de uma porta, TCP ou UDP, para funcionar. Os mais antigos
possuem suas portas padro j determinadas. Exemplo:
Protocolo / Aplicao
FTP
TELNET
SMTP
WINS NameServer
HTTP
POP3
SNMP
SNMP trap
Porta Padro
21
23
25
42
80
110
161
162
Transporte
TCP
TCP
TCP
UDP
TCP
TCP
UDP
UDP
As portas acima de 1023 so denominadas portas altas, e so usadas como end points, ou pontos de
devoluo de uma conexo. Imagine uma conexo como um cano de gua conectando duas casas. A
diferena que neste cano, a gua pode ir a qualquer sentido. Portanto, ao tentar ler seu correio eletrnico,
voc provavelmente usar um protocolo chamado POP3, que funciona na porta 110. Seu computador
estabelecer uma conexo com o servidor de correio, na porta 110 remota, e 1026 (por exemplo) localmente.
A porta local na maioria dos protocolos, uma porta acima de 1023, desde que no esteja sendo usada.
DNS (Domain Name System)

No final da dcada de 70, comearam a pensar numa forma mais fcil de tratar computadores ligados
a uma rede TCPIP. Imagine que, para estabelecer uma conexo, voc deve fornecer o endereo IP do destino,
e o servio que deseja usar (no caso, a porta), e o transporte. Decorar dezenas de endereos IP no uma
tarefa fcil, to pouco prtica. O DNS foi concebido para evitar este transtorno. Atravs dele, cada host recebe
um nome, mais fcil de aprender, dentro de uma hierarquia, o que ajuda ainda mais na hora de identific-lo.
Um exemplo seria www.rmc.eti.br. Este caso uma referncia ao servidor www, dentro do domnio
rmc.eti.br. No Brasil, a entidade que controla o registro de nomes (de forma a impedir fraudes e utilizao
indevida / registro indevido) a FAPESP Fundao de Fomento a Pesquisa do Estado de So Paulo
http://registro.br.
Sockets (soquetes de comunicao)

Os sockets so a base para o estabelecimento da comunicao numa rede TCP/IP. Atravs dele que a
transferncia de dados se torna possvel. Cada conexo montada por um socket, que composto de trs
informaes:
1. endereamento (origem e destino)
2. porta origem / destino
3. transporte
Portanto, no caso acima, ao tentar ler seu correio, um socket ser estabelecido entre sua mquina e o
servidor de correio. Para mont-lo, precisamos:
1. do seu endereo IP e do endereo IP destino
2. porta origem / destino (neste caso, porta destino 110, origem 1026)
3. transporte (TCP)
Gerenciando Erros de Comunicao

Por padro, existem alguns utilitrios presentes na pilha TCPIP que possibilitam ao usurio
diagnosticar problemas. Alguns dos utilitrios mais usados so:
PING (Packet INternet Grouper)

Este utilitrio utiliza o protocolo ICMP para diagnosticar o tempo de reposta entre dois computadores
ligados numa rede TCP/IP. A partir da, pode-se ter uma estimativa do trfego (se o canal de comunicao
est ou no saturado) bem como o tempo de latencia do canal. Ao contrrio do que muitos pensam, a latencia
de um link est tambm diretamente ligada a velocidade do roteador (em termos de processamento) e no
somente a velocidade do canal de comunicao.
TRACERT (traceroute)
O tracert tambm utiliza pacotes ICMP (em mquinas Windows) para realizar diagnsticos. Porm,
desta vez, voc poder determinar qual o caminho que os pacotes faro at um host destino. A funo do
tracert ou traceroute justamente essa: traar a rota entre uma origem e um destino. Ele mostrar todos os
ns (roteadores) entre a origem e o destino, com o tempo mdio que o pacote levou para atingir o
determinado n. Com este utilitrio tambm possvel determinar se existe um loop em algum roteador entre
a origem e o destino. Alguns roteadores entram em loop quando perdem um de seus links, ou simplesmente
quando no esto configurados corretamente. Vale citar que todo pacote possui um tempo de vida, que
representa a quantidade em segundos que ele pode passar sendo processado pelos roteadores. Suponha que
o tempo de vida (TTL Time To Live) de um pacote 127. Cada roteador por onde o pacote passar, diminuir
deste valor, o tempo que o pacote passou para ser processado internamente. Na grande maioria dos casos, os
roteadores processam o pacote em muito menos de 1 segundo, porm, mesmo assim, diminuiro pelo menos
uma unidade do TTL. Este valor evita que trfego morto seja mantido em circulao, tipicamente em loops
que potencialmente podem ser criados por configuraes de rotas erradas.
...Ento, O que a Internet

Uma vez explicados os conceitos da pilha de protocolos usada na Internet, e seu funcionamento, fica
mais fcil entend-la. A Internet nada mais do que uma rede enorme, a nvel mundial, que usa como
linguagem de comunicao, a pilha de protocolos TCP/IP. Como tal herda uma srie de vulnerabilidades
inerentes prpria pilha TCP/IP, alm de problemas e bugs que possam existir nas aplicaes que usam esta
infra-estrutura de rede.
Muitos perguntam naturalmente como a Internet pode funcionar. Seu conceito bastante simples. Na
dcada de 60, criou-se na Universidade de Berkeley, em Chicago, uma rede experimental, para utilizao
militar. Esta rede cresceu muito, dada a necessidade das prprias universidades de trocarem informaes. Ela
se chamava ARPANET. No incio da dcada de 80, esta rede passou a utilizar apenas uma pilha de protocolos
padro, que na poca passou a se chamar TCP/IP. Pouco tempo depois, ocorreu a abertura desta rede para
fins comerciais, o que, ao longo de pouco mais de 10 anos, a transformou no que conhecemos hoje.
A comunicao na Internet provida atravs de backbones, ou espinhas dorsais de comunicao (link
de altssima velocidade) mantidos por provedores, pontos de presena, governos, entidades de ensino, e
empresas privadas. Contudo, para participar dela, uma srie de requisitos precisam ser obedecidos. O primeiro
deles relativo ao endereamento.
Vimos que o endereo IP, numa rede, precisa ser distinto. Portanto, em toda a Internet, no podem
existir dois endereos IP iguais. Assim sendo, para uma mquina se comunicar com outras na Internet, ela
deve possuir um endereo vlido. Cada provedor de backbone possui um lote, ou intervalo de endereos IP
que pode fornecer aos seus clientes. Aqui no Brasil, podemos citar a Embratel como provedora de backbone.
Ao requisitar um link com a Internet Embratel, receber juntamente com o link, um intervalo de endereos
para ser usado por seus computadores, ligados ao seu backbone. A nvel mundial, o rgo que gerencia os
endereos IP vlidos chama-se IANA (Internet Assigned Numbers Authority).
Para que a comunicao seja possvel a nvel mundial, cada detentor de uma rede (ou espao de
endereamento) responsvel por estabelecer a comunicao com seu provedor de backbone, bem como
configurar seu roteador ou roteadores com as rotas necessrias ao funcionamento de sua sub rede. Se
levarmos isso a uma escala mundial, cada detentor de uma sub rede fazendo com que ela seja acessvel
atravs de um roteador corretamente configurado, entendemos como funciona a Internet a nvel
administrativo (por mais incrvel que parea).
4. Entendendo a Invaso
Na Internet Brasileira, a quantidade de vtimas, sejam corporativas ou o usurio final, s
no maior pela falta de divulgao, no pela quantidade de investimentos ou medidas de
contra-ataque adotadas, que so desprezveis.
O Porqu da Invaso
Os motivos so diversos. Variam desde a pura curiosidade pela curiosidade, passando pela curiosade
em aprender, pelo teste de capacidade (vamos ver se eu sou capaz), at o extremo, relativo a ganhos
financeiros, extorso, chantagem de algum tipo, espionagem industrial, venda de informaes confidenciais e,
o que est muito na moda, ferir a imagem de uma determinada empresa ou servio (geralmente, a notcia de
que uma empresa foi invadida proporcional a sua fama e normalmente um desastre em termos de RP).
As empresas hoje em dia investem quantias fantsticas em segurana, mas no no Brasil. O retrato do
descaso segurana de informaes no Brasil claramente traduzido na falta de leis neste sentido. Alm
disso, existe um fator agravante: quando existir o interesse em elaborar tais leis, sero por indivduos que no
tem por objetivo principal a segurana em si. O resultado sero leis absurdas, que iro atrapalhar mais do que
ajudar. Um exemplo disso o que vem ocorrendo em alguns estados nos EUA. Nestes estados, a lei chega a
ser to restritiva que at testes de vulnerabilidade so considerados ilegais, mesmo com o conscentimento da
empresa contratante do servio.
Isto no aspecto empresarial.
No caso do usurio final, esse est entregue sorte. No existe nenhum servio de segurana
gratuito, que possa ser utilizado pelo usurio: os provedores de acesso no garantem a segurana do usurio
conectado sua rede (assim como uma companhia telefnica no poderia ser responsabilizada por um trote).
De qualquer forma, existem diversas ferramentas e procedimentos que podem ser usados para
aumentar o nvel de segurana de seu computador, digamos, em casa, que acessa a Internet por um link
discado. justamente neste nicho de mercado em que esto as principais vtimas, que inclusive, no so
notcia no dia seguinte a uma invaso. A quantidade de wannabes enorme, e a tendncia aumentar. Os
wannabes esto sempre procura de um novo desafio, e o usurio final na maioria das vezes a vtima
preferida, JUSTAMENTE pela taxa de sucesso que os Wannabes tem em relao ao nmero de ataques
realizados.
A grande maioria das empresas no Brasil tratam o seu setor de informtica como um
custo, ou despeza, e no como um investimento. Portanto, se assim o em termos
genricos, podemos concluir que os recursos destinados a medidas de segurana so
desprezveis.
Ponto de Vista do White-hat

O white-hat geralmente um programador bem sucedido, que, na grande maioria das vezes,
contratado como consultor de segurana. Nestes casos, ele tambm recebe o nome de Samurai. Ao
descobrir uma falha ou vulnerabilidade, envia um how-to, ou procedimento para que o problema seja
recriado, para amigos ou pessoas de convvio prximo, que tambm estejam envolvidas com segurana ou
desenvolvimento. Uma vez confirmada a falha, ela reportada em listas de discusso que debatem o tema,
onde os maiores especialistas se encontram. Exemplos de listas:
Os white-hats (os black-hats e crackers tambm) se mantm muito bem atualizados. Ser inscrito em
diversas listas de discusso, ler muito sobre o tema e visitar sites de segurana essencial. Alguns sites muito
bons sobre o tema:
http://www.securityfocus.com/
http://packetstorm.securify.com
http://www.hackers.com.br
Ponto de Vista do Black-Hat

Os usurios finais bem como as empresas no tratam a segurana das informaes como
algo importante, ou de sua responsabilidade. Podemos fazer uma analogia com nossa
segurana na sociedade moderna. Se qualquer pessoa for a um estacionamento pblico,
visado por ladres de carro, com toda certeza no deixar seu carro aberto com a chave
em cima do banco, assim como tambm no deixar seu rdio mostra. Da mesma
forma, foram-se os tempos onde a maioria de ns dormia com nossas casas abertas, com
as portas destrancadas.
O black-hat possui tanta habilidade quanto o white-hat. Porm, ao descobrir uma nova
vulnerabilidade, no a publicar na Internet: usar para fins geralmente ilegais, em proveito prprio. Possui
tambm profundos conhecimentos de programao, e geralmente est empregado em alguma empresa de
desenvolvimento de sistemas, ou como programador-analista, ou como responsvel pelo suporte. Hoje em
dia, podemos encontrar black-hats em empresas de comunicao, assim como em provedores de acesso
Internet (ISPs).
Contudo, ao contrrio do white-hat, wannabe ou cracker, o black-hat far de tudo para manter sua
identidade secreta, bem como suas atividades ilegais. A prpria natureza ilegal de suas realizaes o mantm
afastado de qualquer publicidade. A maioria dos black-hats possui algum tipo de identidade digital, ou
pseudnimo na Internet, que afasta qualquer possibilidade de identificao, como um email free (contas free
de correio eletrnico, com cadastro errado), e acessa a Internet por servidores de Proxy alheios (uma lista de
servidores proxy pode ser encontrada nos anexos). Possui contas de acesso a Internet em diversos
provedores, de preferncia em provedores muito pequenos ou do interior, que no possuem um sistema exato
para identificao de chamadas ou conexes. Hoje em dia, provedores gratuitos fornecem este acesso de
forma bastante satisfatria, principalmente em grandes cidades.
Provedores gratuitos que no possuem senhas individualizadas, s podem identificar um usurio pelo
nmero da chamada. a onde entra o Phreaker. Contudo, no Brasil, em grandes cidades, as companhias
telefnicas NO utilizam o sistema BINA (B Identifica Nmero de A), por motivos de carga imposta s
centrais telefnicas. A troca das informaes de caller ID necessrias identificao do nmero origem de
uma chamada gera uma utilizao maior das centrais. Muitas centrais que j esto em sua capacidade mxima
no conseguiriam operar com as informaes de Caller ID habilitadas. Assim sendo, se torna praticamente
impossvel identificar a origem de uma chamada, por parte de um provedor de acesso.
Mesmo assim, teramos o sistema de tarifao da companhia telefnica, que, judicialmente, poderia
comprovar a origem de uma ligao. Contudo, existem vrias formas de se burlar a tarifao. Uma delas
discar de um telefone pblico isolado, em um horrio de nenhum movimento (madrugada). Outra opo
roubar uma linha telefnica diretamente em um quadro de conexes de um quarteiro, ou at mesmo no
prprio poste de iluminao pblica, ou em quadros de telefonia de um condomnio, por exemplo. A terceira
opo seria usar conhecimentos de phreaking para evitar que a companhia telefnica consiga obter a
identificao da chamada.
Independente do mtodo utilizado, o esforo empregado na identificao ser proporcional ao efeito
das aes de um hacker. Um black-hat pode perfeitamente usar os mtodos descritos acima, de conexo
atravs de um provedor gratuito, apenas para identificar ou obter informaes necessrias ao seu trabalho.
Uma vez determinada uma abordagem ou traada uma metodologia para se realizar uma invaso, a sim,
mtodos mais avanados podem ser usados, como roubo de linha (conhecido no Brasil como papagaio) ou
at phreaking, impedindo sua identificao.
Alm do black-hat, temos os crackers e os wannabes, que de certa forma, poderiam ser enquadrados
como black-hats, mesmo no tendo conhecimento para tal.
As empresas muitas vezes sequer oferecem a infra-estrutura necessria a um
administrador de redes e segurana competente. Analisam apenas a questo de
custo/benefcio imediata, sem levar em considerao o impacto que uma invaso poder
ter na imagem da empresa, e na perda direta de clientes a longo prazo.
Os crackers faro ou tentaro fazer uma invaso apenas pelo desafio, ou para enaltecer seu ego,
junto ao espelho, ou junto comunidade da qual participa. Neste aspecto, o wannabe possui mais ou menos o
mesmo ponto de vista. Contudo, o wannabe usa mais suas histrias para se afirmar dentro do seu grupo
social do que o cracker. Um exemplo clssico do comportamento de um cracker foi o demonstrado pelo Kevin
Poulsen, hacker bastante conhecido, que foi preso nos EUA por ter invadido a rede de defesa (ARPANET),
entre outras coisas, como forjar ligaes para uma emissora de rdio para vencer um concurso, que tinha
como prmio... um Porshe.
Hoje, consultor de segurana, e escreve artigos para diversos sites especializados sobre o tema.
colunista chefe em http://www.securityfocus.com/.
Como demonstrado, esta uma diferena bsica: o cracker possui algum conhecimento e mais
objetivo em suas realizaes. O wannabe geralmente no organizado, e tenta testar em tudo e em todos as
novidades que conseguir obter. Este mais perigoso, pois pelo fato de atirar em todas as direes, pode
atingir qualquer um, eu, voc, ou algum conhecido / famoso. tambm o mais fcil de cair nas mos da
justia, pela enorme trilha de pistas que deixa no caminho por onde passa.
O mais interessante disso tudo que a grande maioria dos black-hats do passado, hoje so Whitehats (at onde sabemos), e so bem sucedidos como colunistas e palestrantes. Contudo, poucos conseguiram
emplacar como consultores de segurana.
Alguns do hackers mais famosos podem ser encontrados em:
http://tlc.discovery.com/convergence/hackers/hackers.html
4. Vulnerabilidades em Meu Sistema

Todo e qualquer sistema, cdigo, script ou programa, vulnervel a bugs. Todos estes so escritos
por mos (dedos) humanas, e concebidos por mentes humanas, sujeitas falhas. Por consequncia, tambm
esto sujeitos falhas.
A grande maioria dos furos de segurana surge de bugs no cdigo original. Contudo, nem todos os
bugs so furos de segurana. Obviamente, se um bug surge em uma aplicao de editorao de imagens ou
texto, no necessariamente estar relacionada a segurana. Porm, se este bug descoberto e existe no
software do firewall que sua empresa usa, ou voc possui instalado em seu computador, a sim, estar
relacionado diretamente com segurana. inclusive importante observar que muitos destes bugs surgem pela
interao de programas. Digamos, que o programa original, instalado em um contexto onde realiza suas
tarefas sozinho, no apresente falhas. Mas, a partir do momento que posto para trabalhar em conjunto com
outro programa, expe algum bug ou falha operacional. Estas por sinal so as mais difceis de diagnosticar,
pois geralmente apresentam caractersticas intermitentes.
Que Componentes So Vulnerveis

Qualquer um.
Principalmente se est ligado diretamente a algum servio de rede.
Existem diversos tratados, estudos e documentos discutindo estatsticas de produo de bugs.
Contudo, uma regra bsica que sempre trar um bom aproveitamento com relao segurana a seguinte:
menos cdigo no ar, menos bugs, menos problemas de segurana.
Axioma 1 (Murphy) Todos os programas tm bugs.
Teorema 1 (Lei dos Programas Grandes) Programas grandes possuem ainda mais bugs do que o seu tamanho pode indicar.
Prova: por inspeo
Corolrio 1.1 Um programa relativo a segurana possui bugs de segurana.
Teorema 2 Se voc no executar um programa, no importar se ele possui ou no bugs.
Prova: como em todos os sistemas lgicos, (falso verdadeiro) = falso.
Corolrio 2.1 Se voc no executar um programa, no importar se ele possui ou no bugs de segurana.
Teorema 3 Mquinas expostas devem rodar to poucos programas quanto possvel; os que rodarem, devem ser to pequenos quanto o
possvel.
Prova: corolrios 1.1 e 2.1
Corolrio 3.1 (Teorema Fundamental dos Firewalls) A maioria dos hosts no consegue atender s nossas necessidades: eles rodam
programas demais que so grandes demais. Desta forma, a nica soluo isolar atrs de um firewall se voc deseja rodar qualquer
programa que seja.
(Firewalls and Internet Security: Repelling the Wily Hacker
William Cheswick / Steven Bellovin)
Concluso: quanto menos servios no ar, menor a possibilidade do computador apresentar uma falha
de segurana.
Sistema Operacional
No existe sistema operacional seguro. O que existe um administrador consciente e
capaz, que, a partir das ferramentas disponibilizadas com o sistema operacional, ter como
tarefa us-las para garantir a segurana desejada.
Um dos maiores mitos que existem hoje na Internet e no meio de segurana relativo a sistemas
operacionais. O mito existe em torno da rivalidade entre Windows NT / 2000 contra solues baseadas em
UNIX. Qualquer programa est sujeito a falhas, inclusive programas da Microsoft, E programas feitos pela
comunidade, para uso em alguma das diversas plataformas UNIX, como o Linux.
Tradicionalmente, os profissionais de segurana que hoje existem vieram do ambiente de
programao, ou foram um dia, hackers (sejam white-hats ou black-hats). Cada um destes profissionais
possui suas preferncias de uso, e tendero a recomendar aquele sistema que dominam, ou que se sentem
mais confortveis em operar / configurar. Porm, alguns destes profissionais, por no conhecerem bem outras
solues, de uma forma ou de outra tm a tendncia a no recomend-la (seja por uma preferncia pessoal
ou at comercial, pois deixar de vender uma consultoria caso seu cliente escolha outra soluo que no
domine).
Outro problema bastante comum, mas que poucos tem a coragem de admitir, que a grande maioria
dos administradores de sistemas UNIX possui conhecimentos bsicos sobre redes, segurana e administrao
destes ambientes. Contudo, a maioria dos administradores para a plataforma Microsoft no possui estes
conhecimentos bsicos, o que torna as instalaes desta plataforma mais susceptveis a ataques bem
sucedidos. Neste caso, a facilidade em operar o sistema prejudica de forma indireta a sua segurana, a
longo prazo.
Regra bsica nmero 1 de segurana em sistemas operacionais:
Mantenha todo o sistema, e, principalmente os servios de rede que nele so executados, atualizados ao
mximo principalmente se a atualizao for relativa a algum problema de segurana.
(seguindo o Teorema Fundamental dos Firewalls)
Execute somente servios necessrios. Qualquer programa, servio, cdigo de algum tipo que no seja
necessrio, deve ser tirado do ar, e, se possvel, removido da instalao, ou impossibilitado de ser executado.
Senhas ou contas de administrador ou equivalente NO devem ser usadas (ou apenas em algum caso onde a
tarefa EXIJA tal privilgio), bem como no devem ser de conhecimento pblico.
Segurana fsica tudo. Somente permita ter acesso console do servidor, aqueles que detenham acesso de
administrao. A grande maioria dos exploits de segurana somente funcionaro se o hacker possuir acesso
fsico / local console do computador. Evite ao mximo compartilhar um computador e, se for impossvel
evitar, nunca digite, use ou acesse nada confidencial neste computador / servidor.
Se um servidor for invadido, e uma conta de administrador ou equivalente for comprometida, no h forma
de medir o estrago causado. Um invasor com poderes de administrao poder realizar qualquer tarefa no
ambiente. Portanto, o tempo que se levar para apurar os danos ser muito maior que o suportvel. Colete
todos os dados que achar pertinente, para apurar posteriormente a invaso, e comece do zero: reinstale o
servidor.
Plataforma Windows: Windows 9x / ME
O Windows 9x / ME (95, 98 ou ME) no foi concebido com segurana em mente. Contudo, a Microsoft
esqueceu que, com o advento da Internet, alguma segurana deveria existir por padro no sistema para evitar
ataques, para usurios deste sistema. De qualquer forma, existem alguns procedimentos que qualquer um
pode adotar para tornar seu computador Windows 9x mais seguro. Obviamente, praticamente impossvel ter
uma funcionalidade de servidor de algum tipo, exposto Internet, aliada segurana, com este sistema
operacional.
Existem vrias vulnerabilidades documentas e bastante exploradas nesta famlia de sistemas
operacionais. Tentar manter um computador Windows 9x/ME seguro, relativamente possvel, desde que:
1. No existam programas servidores rodando no mesmo, principalmente se forem Microsoft,
incluindo o compartilhamento de arquivos e impressoras para redes Microsoft, ou Novell;
2. No seja possvel obter acesso a console do computador. Caso o computador seja compartilhado,
esquea qualquer tipo de segurana. Caso o computador esteja em um quiosque, cybercaf ou
semelhante, devemos partir do princpio de que ele j est comprometido;
3. Caso o computador no esteja compartilhado, que possua um personal firewall instalado;
4. Caso o computador no esteja compartilhado, que possua um antivrus instalado.
Programas servidores
Por padro, uma instalao default do Windows 9X no possui nenhum programa servidor de rede
instalado. necessria a interveno do usurio para efetuar a instalao de algum. Neste caso, este sistema
operacional no possui nenhuma segurana local, ou atravs de sistema de arquivos, o que torna impossvel
manter uma configurao segura, caso algum programa seja usado para acessar os arquivos do computador.
Como podemos ver ao lado, os sistemas de arquivos que o Windows 9x

suporta so o FAT12, FAT16 e FAT32, alm do CDFS (presente apenas em CDs).
Nenhum destes sistemas de arquivos suporta definir permisses de acesso. Isto
uma limitao dos sistemas de arquivos, o que torna impossvel definir uma ACL
(Access Control List lista de controle de acessos) baseada em uma lista de
usurios vlidos ou no.
Aliado a este fato, o Windows 9x no possui contextos de segurana
associados a usurios. A funcionalidade de definio de usurios que o Windows 9x
possui apenas para diferenciar as configuraes individuais de cada um, como
cores, papel de parede, Menu Iniciar, etc. Baseado nisto, podemos concluir que,
para o Windows 9x, a regra bsica no. 5 sempre se aplica: qualquer um que tenha
acesso ao sistema localmente considerado um administrador.
Muitos usurios deste sistema instalam componentes servidores, como Web Server (A Microsoft
possui um para esta plataforma: chama-se Personal Web Server), servidor FTP (como o SERV-U), e o prprio
Compartilhamento de arquivos e Impressoras para Redes Microsoft.
Se formos definir graus de periculosidade para estes componentes, diria que o Personal Web Server
ganha disparado. Alm de ser um componente que exige um conhecimento diferenciado para operar, possui
diversas vulnerabilidades que tornam o computador susceptvel a ataques.
Em segundo lugar, temos o Compartilhamento. Este componente de rede no instalado por padro,
mas muito comum usurios com pequenas redes domsticas, ou na empresa, instal-lo para permitir a troca
de arquivos na rede local.
Para instal-lo, existem dois mtodos, que resultam no mesmo efeito.
O primeiro deles, indo s propriedades do ambiente

de rede, e adicionando o servio Compartilhamento de
Arquivos e Impressoras para redes Microsoft, como podemos
ver ao lado, atravs do boto Adicionar, opo Servio /
Microsoft, onde o componente pode ser encontrado.
O segundo mtodo clicando no boto Compartilhamento de arquivos e impressoras, que pode ser
visto na imagem acima...
... e selecionando algumas das opes ao lado.
Em qualquer um dos casos, o componente
ser instalado. Porm, a instalao deste
componente NO torna o computador vulnervel em
uma rede, pelo menos no a uma invaso; apenas a
ataques do tipo DoS (vide seco Outros Tipos de
Ataques / DoS (Denial of Service Attack), pois este
componente tem se provado susceptvel a este tipo
de ataque.
Uma vez instalado esse componente far com que o sistema operacional torne disponvel, no menu de
click secundrio do mouse, sobre qualquer pasta ou unidade de disco, a opo Compartilhamento, que pode
ser vista abaixo:
Atravs desta opo, o usurio poder acessar o menu

ao lado...
... Que permite que o usurio compartilhe a pasta ou
disco em questo para a rede.
Contudo, ao clicar em OK, a pasta ser
compartilhada para toda a rede, sem distino de usurio ou
senha. Desta forma, potencialmente qualquer outro
computador que tenha contato atravs de qualquer tipo de
rede a este computador, e que possua funcionalidades de rede
Microsoft, poder acessar a pasta.
Neste caso, a nica forma de proteger este servio, definindo o Tipo de acesso como Depende de
senha, e definindo uma senha para leitura ou escrita. Porm, apesar de definir uma senha tornar a pasta
relativamente segura, nada impede que um potencial invasor tente tcnicas de ataque por fora bruta, ou
seja, tentando vrias combinaes de senha at descobrir a mesma. E, descobrindo a senha, mesmo que seja
somente a de escrita, o estrago j ser imenso, como podemos ver a seguir.
Compartilhamento atravs de dial-up
Se j existe o risco de um compartilhamento mal configurado ser acessado em uma rede local,
imagine atravs da Internet. As possibilidades so as mesmas, porm, o risco elevado em ordens de
grandeza.
Qualquer componente (servio) de rede instalado no Painel de Controle \ Redes, ou atravs das
propriedades do Ambiente de Rede pode ou no estar associado s interfaces de rede a qual ir funcionar.
Neste caso, se um servio estiver associado a uma interface de rede local, ento a rede local ter
acesso ao mesmo. Caso o servio esteja associado ao adaptador de rede dial-up, ento, a rede a qual se
conectar via adaptador dial-up ter acesso tambm ao servio.
rede:
Estas associaes, ou ligaes, podem ser checadas na opo de propriedades dos componentes de
Ao pedir propriedades do protocolo TCP/IP, associado ao adaptador de rede dial-up, conseguimos

chegar janela de configurao que possui a ligao.
Repare que, por padro, pelo fato do computador possuir um adaptador dial-up, e de ter instalado o
compartilhamento de arquivos e impressoras para redes Microsoft, os dois estaro ligados. Portanto, o
compartilhamento estar funcionando atravs da Internet, caso o adaptador dial-up (um modem, por
exemplo) esteja conectado grande rede.
Caso o computador em questo faa parte de uma rede corporativa ou domstica, por exemplo, a
check Box que associa o adaptador dial-up ao Compartilhamento de arquivos e impressoras para redes
Microsoft DEVE ser desmarcado.
Acesso a console
considerado acesso a console quando qualquer usurio pode manipular o computador a partir do
prprio teclado e mouse, localmente. Em um ambiente como Windows 9x, como vimos anteriormente, por no
existir definio de usurios em um contexto de segurana, bem como no existir a definio de permisses,
qualquer acesso local considerado tambm como acesso de administrao.
Neste caso, a primeira coisa que um potencial invasor tentar instalar um cavalo de tria, ou Trojan
Horse, que permitir que o mesmo acesse este computador posteriormente, atravs da rede. Existem
diversos cavalos de tria disponveis na Internet, como o Back Orifice e o Netbus, que veremos mais adiante.
Em segundo lugar, o acesso local permite que o invasor copie os arquivos .pwl. O Windows 9x, por
padro, se possuir os componentes de rede instalados, salva a lista de senhas de cada usurio, em arquivos
nomedous.pwl, onde nomedous o nome do usurio que efetuou logon, truncado em 8 caracteres, da
esquerda para a direita, dentro do diretrio do Windows.
Veja:
Apesar deste arquivo guardar as senhas criptografadas, a criptografia usada muito fraca, facilmente
quebrada por diversos programas que existem na Internet, justamente para este fim.
Portanto, se um invasor tiver acesso a estes arquivos, seja atravs de um compartilhamento, ou
atravs da console, potencialmente ter acesso a uma lista de senhas. Aliado ao fato de que raramente
usamos senhas diferentes para os diversos servios que usamos hoje em dia, imagine o que pode ocorrer.
Voltando questo do compartilhamento, a metodologia que provavelmente ser usada para acessar
uma configurao realizada de forma incorreta, poder ser a seguinte:
Visualizao dos compartilhamentos de um computador:
Uma vez visualizados os compartilhamentos, o invasor pode simplesmente acessar todos aqueles que
no possuem senha, das seguintes formas:
...Por mapeamento:
A partir da, o compartilhamento remoto do drive C: (C) foi associado ao drive local X:. Repare que
todos os arquivos remotos esto acessveis. Existem tambm outras informaes que podem ser acessadas
atravs do servio de compartilhamento, descritas mais adiante em Ferramentas / Services Fingerprinting.
...Por interface grfica
Atravs da interface grfica se torna ainda mais fcil acessar o compartilhamento. Veja:
Boto iniciar, executar, \\ip_remoto\compartilhamento [enter] e o suficiente. Substitua ip_remoto

pelo endereo IP do computador remoto que possui o compartilhamento a ser acessado, e
compartilhamento pelo nome do compartilhamento.
Personal Firewall / Antivrus
Estes dois temas sero abordados em outra seco (Ferramentas) mais adiante. Contudo, so de
primordial importncia. Estudos comprovam que, hoje em dia, cerca de 80 a 90% das infeces por vrus ou
cavalos de tria se do atravs de correio eletrnico. Portanto, um bom antivrus poder detectar, corrigir ou
eliminar uma mensagem que contenha um vrus ou cavalo de tria, assim como um personal firewall poder
potencialmente evitar que, uma vez instalado, o vrus ou cavalo de tria funcione atravs da rede (apesar de
no impedir o efeito destrutivo que um vrus pode potencialmente carregar localmente, como deleo ou
corrupo de dados).
Programas e aplicativos iniciados automaticamente
Finalmente, um aspecto que deve ser checado em relao a que servios seu computador est
iniciando automaticamente ao ser ligado / inicializado. Olhe dentro do grupo Iniciar por programas
estranhos. Tambm verifique se existe, dentro da pasta/diretrio do Windows, um arquivo chamado
winrun.bat. Qualquer cone ou programa dentro do grupo Iniciar (StartUp), bem como qualquer linha de
comando dentro do arquivo winrun.bat, ser executado quando o sistema carregar (o winrun.bat
executado quando o sistema carrega a interface grfica herana do Windows 3.x. O grupo Iniciar
executado quando o usurio efetua logon, ou se identifica. Caso o Computador no esteja configurado para
mltiplos usurios, ou no participe de uma rede local, ele executado como parte da carga da interface
personalizada do computador.
Tambm possvel iniciar programas e aplicativos direto do registro. As chaves:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\C
urrentVersion\Run ... Especificam que programas sero executados quando o Windows carregar.
Por padro, apenas o systray e algum programa anti-virus devem estar listados. Se em algumas
destas linhas est aparecendo algum programa que voc tenha baixado da Internet recentemente,
aconselhvel instalar um anti-virus atualizado o mais rpido possvel. Provavelmente um cavalo-de-tria.
Veja:
Neste caso, esto listados:

AVG_CC:
MBM 5:
Mirabilis ICQ:
NvCplDaemon:
Promon.exe:
RealTray:
Synchroni...:
WinVNC:
Antivrus
Programa de monitorao da CPU (temperatura, voltagem, etc.)
Programa de mensagens instantneas ICQ
Programa de controle da placa de vdeo
Programa de controle da placa de rede
RealPlayer
Componente do Windows XP
Programa para acesso remoto console do computador
Perceba que nenhum dos programas acima um cavalo de tria. Contudo, se verificar a existncia de
alguma linha que aponte para um arquivo recuperado da Internet recentemente, deve executar um antivrus
urgente.
Indo um pouco mais alm, voc pode executar o comando netstat an para verificar se seu
computador est configurado para escutar em alguma porta suspeita. Isto tambm pode indicar algum
cavalo-de-tria.
Ao digitar o netstat an voc ter como resposta algo assim:
C:\WINDOWS\Desktop>netstat -an
Conexes ativas
Proto
TCP
TCP
TCP
UDP
UDP
Endereo local
200.249.213.241:137
200.249.213.241:138
200.249.213.241:139
200.249.213.241:137
200.249.213.241:138
Endereo externo
0.0.0.0:0
0.0.0.0:0
0.0.0.0:0
*:*
*:*
Estado
LISTENING
LISTENING
LISTENING
C:\WINDOWS\Desktop>
Essa a tpica resposta de um computador com uma placa de rede, que no est conectado
Internet, e que acabou de ser iniciado. Note que ele est escutando nas portas 137, 138 e 139. Para um
computador Windows 9x, isso normal. Contudo, se voc no realizou a instalao de nenhum programa de
rede em seu computador que o transforme em algum tipo de servidor, e ainda assim portas estranhas
aparecerem listadas, isto quer dizer que algo est errado. Uma lista de portas que indicam cavalos-de-tria
pode ser encontrada no anexo 3. Porm, alguns destes cavalos-de-tria usam portas que por padro, so
usadas por servios conhecidos, como FTP File Transfer Protocol (porta 20 e 21), HTTP Hypertext Transfer
Protocol (porta 80) e assim por diante. Portanto, antes de imaginar que est infectado, certifique-se de que
tais servios no estejam rodando em seu computador. Uma lista com as portas privilegiadas (conhecidas
como Well known port numbers) pode ser encontrada no anexo 4, bem como uma lista de portas no
privilegiadas, acima de 1024, podem ser encontradas no anexo 5. Caso o material no esteja mo e uma
consulta seja necessria, dentro da pasta \WINDOWS\ (Windows 9x) ou \WINNT\SYSTEM32\DRIVERS\ETC
(Windows NT/2000) existe um arquivo chamado services que contm as principais portas.
Plataforma Windows NT / 2000 / XP

O Windows NT/2000/XP foi concebido para suportar e operar sobre padres de segurana, ao
contrrio do Windows 9x. A inteno deste material no escrever um tutorial de segurana no Windows
NT/2000/XP, pois isso foraria a escrita de um material inteiramente novo. Porm, existem alguns tpicos que
podem e devem ser abordados, que contm conceitos bsicos de proteo usando este sistema operacional.
A principal diferena em termos de segurana do Windows NT/2000 para o 9x, ns podemos
reconhecer logo no incio: apenas um usurio vlido pode usar o computador localmente, bem como via rede,
de acordo com as permisses configuradas. Voc precisa ser autenticado para ter acesso a console. Portanto,
manter um cadastro de usurios necessrio. Este cadastro deve forar os usurios a trocar de senha
priodicamente, bem como exigir que senhas de um determinado tamanho mnimo sejam usadas (em sistemas
seguros, recomendado usar o mximo de caracteres suportados pelo NT: 14. No caso do 2000/XP, tambm
podemos usar 14, pois um bom valor. Contudo, o Windows 2000 permite senhas de at 256 caracteres).
A primeira coisa que se deve fazer ao usar NT/2000/XP escolher que sistemas de arquivos voc
usar. Se segurana um requisito, o sistema NTFS deve ser usado. Contudo, o sistema NTFS no ser visvel
por outro sistema operacional, apenas pelo NT/2000/XP (O Linux pode enxergar parties NTFS para leitura).
Este sistema de arquivos nativo do NT/2000/XP permite a definio

de uma ACL, ou lista de controle de acesso, baseada nos usurios
que existem cadastrados no computador, ou servidor de rede.
Assim, voc poder especificar quem pode acessar que arquivo, com
que nvel de permisso, mesmo localmente.
As permisses podem ser difinidas atravs da janela de propriedades de qualquer disco,

diretrio/pasta ou arquivo que esteja em um sistema NTFS...
... e escolhendo a tab Security ou Segurana.

Nesta tab, voc pode definir todas as permisses que cada
usurio ou grupo de usurios ter sobre o objeto. Poder tambm
escolher se este objeto receber suas permisses por herana, a partir
do objeto acima na hierarquia, como tambm, se deseja que as
permisses sejam diferentes deste ponto em diante.
Alm disso, cada usurio pode ter permisses individuais, e
com caractersticas diferentes.
Outra possibilidade que o Windows 2000 / XP traz a criptografia de um arquivo ou diretrios,

bastando ir mesma janela de propriedades, boto avanado, e marcando a opo correspondente.
Ao clicar nesta opo, o Windows ir criptografar o arquivo

ou pasta, com a chave de criptografia do usurio atualmente
logado. Isto tornar o arquivo ou pasta virtualmente
impossvel* de ser acessado por outro usurio, MESMO que
a unidade de disco seja removida e colocada em outro
computador.
* desde que a opo de recuperao de emergncia esteja
desabilitada.
Porm, deve se ter bastante cuidado com mudanas de permisses em arquivos do sistema, assim
como criptografia. Alterar as permisses de um arquivo usado pelo NT / 2000 / XP pode tornar o computador
inutilizvel, pois o prprio sistema no ter permisso para acessar os arquivos. Em caso de dvida, devem-se
sempre adicionar permisses de leitura e escrita tambm para o item SYSTEM, que representa o prprio
sistema operacional.
Quanto ao recurso de criptografia, deve ser usado apenas em arquivos de dados.
Outro ponto que deve ser observado : caso seja usurio de um sistema Windows NT 4.0. Ao se
converter uma partio para NTFS, as permisses estaro em branco. A seguinte tabela demonstra as
permisses que podem ser aplicadas, segundo recomendao da prpria Microsoft:
Pasta
Permisso
\WINNT e todas as sub-pastas.
Administrators: Full Control

CREATOR OWNER: Full Control
Everyone: Read
SYSTEM: Full Control
Uma vez aplicadas as permisses acima, as seguintes permisses devem ser feitas:
Pasta
Permisso
\WINNT\REPAIR
\WINNT\SYSTEM32\CONFIG

Everyone: List
\WINNT\SYSTEM32\SPOOL

Everyone: Read
Power Users: Change
\WINNT\COOKIES
\WINNT\FORMS
\WINNT\HISTORY
Everyone: Add
\WINNT\OCCACHE
System : Full Control
\WINNT\PROFILES
\WINNT\SENDTO
\WINNT\Temporary Internet Files
Observao: as permisses acima s necessitam ser aplicadas caso o computador em questo possua
o Service Pack 5 ou anterior.
Caso deseje rever as permisses de um ambiente Windows 2000, a tabela acima pode servir de guia,
apenas alterando o diretrio \WINNT\PROFILES para \Documents and Setings na mesma partio em que
o sistema est instalado.
Tambm recomendado que, caso deseje testar permisses em arquivos de sistema, que seja feito
em um computador para esta finalidade, pois como visto anteriormente, a aplicao de uma ACL incorreta em
arquivos usados pelo sistema operacional pode deixar o computador bloqueado. Neste caso, o disco com o
sistema deve ser colocado em outro computador com o mesmo sistema operacional, e ter suas permisses
revogadas para Everyone full Control
Auditoria
Em um sistema seguro, primordial que exista algum tipo de auditoria, onde certos erros de
permisso sejam armazenados para anlise. recomendado que no NT/2000/XP, todos os objetos sejam
auditados quanto falha de acesso. No caso do objeto Logon/Logoff, tambm recomendado que o
sucesso seja auditado, para que uma anlise de quem efetuou ou no logon no computador, localmente ou
via rede, seja possvel. No acione a auditoria em processos ou em arquivos, a no ser que seja para
depurao de um problema de segurana eminente. Estes dois objetos causam muita atividade de log,
deixando o computador / servidor mais lento.
Parando / desabilitando servios desnecessrios

Alguns servios que so instalados por padro so considerados ou vulnerveis a ataque, ou servios
que podem divulgar informaes reservadas do sistema, via rede. recomendado parar tais servios para
impedir que isto ocorra.
Os seguintes servios precisam ser parados, e configurados para inicializao Manual:
Alerter
Permite que um suposto hacker envie mensagens de alerta para a console
Messenger
Permite que um suposto hacker via rede visualize o nome do usurio atualmente logado na console, atravs
do comando nbtstat. Isso d ao hacker um nome de usurio vlido para um ataque de fora bruta em
sua senha.
Clipbook Server
Permite que um usurio via rede visualize o contedo da rea de trabalho
Index Server
um servio geralmente instalado juntamente com o pacote de servios de Internet (Option Pack no caso do
Windows NT 4.0), ou por padro, no Windows 2000/XP. Permite a pesquisa via string de texto em qualquer
arquivo indexado. recomendado no usar tal servio (no Windows 2000/XP, se chama Indexing Service).
Vulnerabilidades conhecidas, como o caso do CodeRed I e II, worm que assolou a Internet em Julho de 2001,
so baseadas em falhas deste componente.
Spooler / Print spooler
o servio de impresso. Em servidores que ficam expostos Internet diariamente, e no possuam nenhum
servio de impresso ativo, recomendado que seja desabilitado (no Windows 2000/XP, se chama Print
Spooler). Existem ataques do tipo DoS contra este servio.
SNMP Service / SNMP Trap Service
So dois servios que pemitem a utilizao do Simple Network Management Protocol. Se no possurem uma
inteno especfica (como instalado pelo administrador para monitorao do computador) ou se no estiver
corretamente configurado, podem revelar muitas informaes sobre o computador em si, como interfaces de
rede, rotas padro, entre outros dados. recomendado ter cautela com tais servios. Mesmo que exista a
necessidade de monitorar, por exemplo, o trfego nas interfaces de rede, neste caso, recomendado que o
trfego seja monitorado a partir do swith ou roteador.
Perceba que no existem falhas correntes publicadas para este servio, mas o seu uso em si pode divulgar
informaes sobre o computador. Maiores detalhes em Ferramentas / Services Fingerprinting.
Scheduler
um servio que permite o agendamento de tarefas no sistema. Voc pode programar para que tarefas sejam
executadas numa determinada hora. Cuidado: por padro, qualquer pograma iniciado pelo sistema de
agendamento, possuir o contexto de segurana do prprio sistema, tendo acesso praticamente qualquer
informao (no caso do Windows NT 4.0). Caso seja realmente necessrio, crie um usurio sem direitos (com
direito apenas de executar a tarefa desejada) e programe este servio para ser inciado no contexto de
segurana deste usurio criado. Em relao ao Windows 2000 e ao XP, no existe esta preocupao. Contudo,
no recomendado dar ao grupo Server Administrators o poder de agendar tarefas. Apenas o administrador
deve possuir este direito. (no Windows 2000, o servio se chama Task Scheduler).
No Windows XP, parar este servio pode prejudicar a performance do sistema. Diversas tarefas internas de
otimizao de performance, como desfragmentao das unidades de disco so agendadas atravs deste
servio. Portanto, no caso especfico do Windows XP, no recomendado par-lo.
Em computadores que so usados exclusivamente em casa, e que no participam de nenhuma rede,
apenas acessam a Internet atravs de um modem, recomendado tambm parar os seguintes servios:
Computer Browser
Servio essencial a uma rede Microsoft. Permite que este computador seja eleito um Browser Master, ou
controlador de lista de recursos de um grupo de trabalho ou domnio. Numa configurao de apenas uma
mquina, no necessrio estar no ar.
Server
O Server Service o equivalente no Windows NT/2000, ao Compartilhamento de arquivos e impressoras

para redes Microsoft, do Windows 9x. Da mesma forma, se seu computador no participa de nenhuma rede,
e apenas acessa a Internet via modem, este servio pode ser parado, e configurado para no iniciar
automaticamente, assim como os demais.
Para interromper os servios, no Windows NT 4.0, basta ir ao painel de controle, Servios. No caso
do Windows 2000 / XP, clique com o boto direito no Meu Computador, escolha Gerenciar. Depois,
expanda a opo Servios e aplicativos. Veja:
Alterao das configuraes de rede

Caso voc se enquadre no tipo de usurio que possui um computador Windows NT, sem estar
conectado a nenhuma rede, e apenas acessa a Internet via modem, este passo no necessrio. Contudo,
caso seu computador faa parte de uma rede, os servios Computer Browser e Server no devero ser
parados (consulte o administrador da rede antes de realizar tais alteraes, caso o computador esteja no
trabalho). Mesmo assim, possvel se proteger contra suas vulnerabilidades.
No painel de controle, escolha a opo Redes (Network). Na ltima opo, em Ligaes (Bindings),
escolha no campo Mostrar as ligaes para (Show bindings for), a opo Todos os adaptadores (All
adapters).
Se seu acesso Internet estiver corretamente configurado, pelo menos duas das opes devero ser
Remote Access WAN Wrapper. Expanda as duas (clicando no sinal de +). Na opo que possuir Cliente
WINS (TCP/IP) (WINS Client (TCP/IP)), clique em cima, e depois, no boto Desabilitar (Disable).
Os servios SNMP e Simple TCPIP Services podem ser facilmente removidos, caso tenham sido
instalados e no estejam em uso. Para isso, no caso do Windows NT 4.0, basta ir ao cone Rede no painel de
controle, ir s configuraes de servios, e remov-los.
No caso do Windows 2000 ou XP, deve-se ir ao painel de controle, adicionar e remover programas,
instalao do Windows, e remov-los.
Alm destas configuraes bsicas de segurana, bom manter em mente o fato de que o Windows
NT / 2000 / XP vulnervel a ao de alguns vrus e cavalos-de-tria, assim como qualquer sistema
operacional. Usar por padro um bom software antivrus uma boa medida, caso tenha o hbito de usar o
computador logado como administrador ou equivalente.
O Windows XP possui incorporado ao sistema funcionalidades de firewall. Veja a seo Ferramentas
/ Personal Firewalls para maiores detalhes.
Instant Messaging
Existem diversos programas desta categoria na Internet. A maioria deles possui a funo bsica de
permitir a troca rpida de mensagens entre dois computadores ou mais. Muitos tambm possuem funes que
permitem troca de arquivos e imagens, e at voz pela Internet. Vejamos os trs mais usados: ICQ (I Seek
You), AIM (Aol Instant Messenger) e o MSN Explorer.
ICQ (I Seek You)

O ICQ o programa mais usado da Internet, depois do browser, com dezenas de milhes de usurios
no mundo inteiro. Foi criado por uma empresa de Israel, chamada Mirabilis que, posteriormente, foi comprada
pela AOL (Amera Online). um programa de mensagens instantneas: permite que voc envie mensagens em
tempo real para qualquer um em sua lista de contatos. Alm de mensagens, voc pode realizar um bate-papo
(chat) ou enviar e receber arquivos. Contudo, o programa tenta deixar bem claro para seu usurio que ele no
possui nenhuma preteno de ser seguro. Ao realizar uma instalao padro do ICQ, vrias telas de aviso
sero mostradas ao usurio, deixando claro que o programa no seguro. De qualquer forma, continua sendo
usado por todos, principalmente por ser gratuito.
http://www.icq.com
Infelizmente, todos os avisos que o programa nos mostra relativos segurana so verdadeiros, e
algumas medidas de precauo so interessantes ao se fazer uso deste programa. A principal medida deve ser
com relao a que informaes pessoais colocar na configurao do sistema, pois a maioria das informaes
estar disponvel para outros usurios do ICQ. Evite colocar informaes pessoais como endereo residencial,
telefone, ou mesmo endereo de correio eletrnico principal ( sempre uma boa medida ter uma conta em
algum servio de correio free, como hotmail.com, para estas ocasies). Muitas pessoas na Internet usam
aquelas informaes, principalmente o endereo de correio eletrnico, para envio de SPAM.
Em seguida, configure seu ICQ para NO mostrar seu endereo IP. Isso torna muito mais fcil para
um suposto hacker tentar invadir seu computador (tudo comea pela obteno de um endereo IP). Mesmo
assim, existem formas de se descobrir o endereo IP de algum, mesmo que ela tenha configurado seu ICQ
para no mostr-lo. Ao enviar ou receber uma mensagem, seu computador ter uma conexo estabelecida
com o computador do outro usurio. Assim, um simples comando netstat an revelar o endereo IP. Para
testar:
Abra ums sesso DOS, e digite no prompt: netstat an

Envie uma mensagem para quem voc deseja descobrir o endereo IP
Novamente, digite no prompt: netstat an
(voc pode at usar um programa que seja mais prtico do que o netstat na linha de comando, como o Netmon discutido na seo
Ferramentas / Services Fingerprinting)
O novo endereo que aparecer, ser o endereo IP do outro usurio, para quem enviou a mensagem.
Outra forma, mais prtica, usar uma ferramenta como o ISOAQ. Feito para verses antigas do ICQ,
ainda funciona muito bem para esta finalidade, como podemos ver:
No. ICQ
O
nome
e
o
propositalmente.
UIN
foram
omitidos
Endereo IP
A lista de UINs foi omitida
propositalmente.
Perceba que este programa fornece todos os endereos de todos em sua contact list, desde que
estejam conectados. Tambm fornece a verso do ICQ que cada um usa, obviamente, os endereos IP, entre
outras coisas.
Ele pode ser baixado de: http://isoaq.hosted.ru/index.html
Existem ainda outras configuraes de segurana dentro do ICQ, que dificultam o trabalho de algum
que tente lhe prejudicar. Existem algumas falhas no ICQ e alguns servios que NO devem ser usados. A
principal falha o servidor Web que o ICQ possui incorporado. Este servidor web permite que pessoas se
conectem a seu computador, e JAMAIS deve ser usado...
...Uma falha no programa permite que algum acesse qualquer contedo do seu disco, onde o ICQ estiver
instalado. Portanto, deixe esta opo abaixo sempre desligada (Services, My ICQ Page, Activate Homepage
ela est presente em verses antigas do programa):
Esta opo apenas est disponvel em verses

antigas. Na verso mais recente, a opo chama-se
My ICQ Web Front.
Existem algumas outras opes rudimentares de segurana no ICQ, que devem ser usadas, como, por
exemplo, ignorar um usurio (qualquer contato que seja indesejado ser ignorado caso seja configurado nesta
lista).
Nesta opo ao lado, o usurio pode escoher o nvel

de segurana, se sua autorizao requerida para
adio na lista de algum, se permite uma conexo
direta com outros usurios, e se o seu status ser
publicado na Web, em cada uma das tabs de opes.
AIM (Aol Instant Messenger)

Por design, o AIM mais seguro que o ICQ. Obviamente, se todas as medidas forem tomadas, o ICQ
pode ser to seguro quanto qualquer outro software de mensagens instantneas. Contudo, o AIM no permite
conexes diretas entre usurios.
Cada cliente AIM se conecta aos servidores da Amrica Online, e envia mensagens atravs dele.
Assim, fica mais difcil de descobrir o endereo IP de algum.
Porm, o AIM possui uma funo para envio de arquivos, e imagens na prpria janela do programa.
Ao escolher esta opo, o programa fechar uma conexo diretamente com a pessoa na qual est
conversando, e deseja enviar/receber o arquivo ou imagem.
Esta opo habilita a conexo direta. De qualquer forma, se o

usurio desejar enviar um arquivo, seja atravs do menu ao lado, ou
arrastando uma imagem para a tela de Chat, o programa ir adverti-lo
que, para continuar, uma conexo ser estabelecida diretamente entre
os dois computadores.
Pelos motivos explicados anteriormente, este tipo de funo
deve ser evitado.
Windows Messenger
A Microsoft obviamente descobriu o mercado para os programas de mensagens instantneas, e
embarcou nele. O software da Microsoft chama-se Windows Messenger, e usa como protocolo de comunicao
apenas http (o mesmo usado para o servio web de pginas).
O Windows Messenger, por ser o mais simples, trazendo menos recursos,

um dos menos susceptveis a falhas. Ele tambm usa o princpio do AIM, onde a
mensagem circula atravs do servidor que provm a infra-estrutura. Vantagem de
ambos, pois a lista de contatos fica guardada l, e no se perde.
Porm, ele possui uma funo de conversao, onde possvel estabelecer
contato com algum de sua lista via voz, como em um telefone, usando os
recursos multimdia do computador. Ele tambm permite enviar e receber arquivos.
Nestes casos, uma conexo direta entre os dois computadores ser estabelecida, e
ser possvel descobrir o seu endereo IP. Devem ser evitados.
Em todos os casos, a principal preocupao com os servios de mensagens instantneas a
divulgao de seu endereo IP. No caso do AIM e do MSN Explorer, isto pode ser ainda evitado, com algumas
medidas simples, como vimos. J o ICQ, por ser o mais usado em todo o mundo, e o mais complexo, o que
rene o maior potencial para insegurana.
Contudo, deve ficar claro que todos eles, corretamente configurados, podem ser usados. Lembre-se
que, qualquer um que receba um arquivo que seja um cavalo de tria, e o execute, no poder colocar a
culpa no mtodo usado para compartilh-lo. Neste caso, apenas uma questo de educao e hbito.
Correio Eletrnico
O correio eletrnico, hoje em dia, claramente o meio mais usado para disseminao de vrus e
cavalos-de-tria. O email de certa forma uma aplicao bastante invasiva hoje em dia, e, por este motivo,
todo cuidado pouco ao receber qualquer mensagem que seja, com um arquivo anexo. A maioria dos
usurios de rede e Internet hoje no mundo todo, acessam suas contas de correio atravs de um protocolo de
recepo de mensagens chamado POP3 (Post Office Protocol v. 3). Este protocolo, aliado configurao
padro da maioria dos programas clientes de correio, faz com que, ao checar sua caixa postal, todas as
mensagens sejam baixadas de forma no interativa. Caso algum dos correios esteja infectado com um script
ou cavalo-de-tria, o usurio somente saber quando o correio j estiver dentro de sua caixa postal local.
Assim sendo, muito comum o usurio, movido pela curiosidade, tentar abrir qualquer documento
anexo mensagem. Boa parte dos cavalos-de-tria so programinhas grficos apelativos, com mensagens que
alimentam a curiosidade do usurio, como pequenas animaes, desenhos, ou coisas do gnero. Ao executar
algum programa destes, o usurio tem a impresso de que nada ocorreu. Contudo, o cavalo-de-tria tem uma
segunda funo, que geralmente abre o computador para um ataque via Internet. Os cavalos-de-tria sero
discutidos mais a frente.
Exemplo de uma mensagem de
correio com o happy99.exe anexo. Este
trojan/worm foi lanado no final de 1998, e
ainda hoje, circula em grande quantidade na
Internet.
Foi o primeiro vrus a realmente
popularizar a onda que vemos hoje de
disseminao pelo correio. Isto forou os
fabricantes e desenvolvedores de programas
antivrus a adatar seus softwares, de forma
que eles chequem no vo as mensagens que
so depositadas na caixa postal local.
O grande problema que tira o sono da maioria dos administradores de rede de empresas a queda do
conceito que se tinha de que, se no executar um anexo, nunca ser infectado. Esta frase perdeu a
validade, uma vez que existem scripts e programas que exploram falhas nos software de correio, e se autoexecutam.
Obviamente, este definitivamente no o comportamento padro que um programa de correio deve
ter. Estes scripts ou programas maliciosos usam falhas para se executarem automaticamente, e isso s
possvel por causa delas. Para ficar protegido contra este tipo de ameaa, a melhor sada sempre manter o
seu sistema atualizado. Estas falhas so corrigidas antes que algum script seja difundido o suficiente
(infelizmente, a maioria das pessoas no costuma manter seus sistemas atualizados).
Contudo, o risco maior neste caso passa a ser dos administradores de grandes ambientes, que tero
de efetuar atualizaes praticamente durante noite, para poder concluir o trabalho antes que as falhas se
tornem perdas reais, no dia seguinte. Todo administrador de rede j possui trabalho o suficiente, pois por
mais que instrua os usurios de uma rede a no executarem arquivos anexos, os avisos no funcionam.
Agora, imaginemos este ambiente, com vrus e worms que sequer precisem ser executados.
Apesar dos antivrus hoje em dia detectarem estes

vermes que usam falhas de segurana, pela caracterstica
de alguns, quando o arquivo ou o email chega ao
antivrus, pode j ter sido interpretado pelo ncleo do
programa. Isto acontece com o browser, ao visitar uma
pgina que possua o JS.Exception ou o Happytime. O
js.exception.exploit basicamente explora uma falha de
javascript, e o Happytime, de VB Script.
Para maiores informaes sobre o js.exception.exploit e o Happytime:

http://www.symantec.com/avcenter/venc/data/js.exception.exploit.html
http://www.symantec.com/avcenter/venc/data/vbs.haptime.a@mm.html
Como o email a forma mais usada para disseminao de vrus e programas maliciosos, alguns
programas j incorporam funcionalidades que impeam o usurio de executar ou abrir arquivos anexos a
mensagens, com extenses suspeitas.
O Personal Firewall ZoneAlarm possui o recurso de renomear automaticamente arquivos anexos em
mensagens com extenses perigosas, como .exe, .com, .pif, .vbs, entre outras (falaremos dele na seco
Personal Firewalls). Programas de correio, como o Outlook XP (que faz parte do Office XP) por padro, no
aceitaro arquivos com estas extenses, automaticamente ignorando-os. Isso infelizmente no os torna mais
seguros, diante da avalanche de falhas que estes programas tm apresentado.
Gerncia Remota
Hoje em dia, existem diversos programas para gerncia remota disponveis. Com o aumento da
velocidade dos meios de comunicao de dados, vemos que as facilidades para gerncia remota tm
melhorado, principalmente, em qualidade. Hoje, apenas com uma linha discada, analgica, a 33.6 Kbps,
conseguimos capturar a console de um computador ou servidor, ou at abrir uma sesso grfica
remotamente, isto tudo com um nvel de usabilidade impressionante.
Contudo, quando estamos falando destas facilidades, devemos lembrar tambm que o acesso a um
computador atravs de um mtodo destes praticamente a mesma coisa que estar na console do
computador. Muitas vezes, no lembramos deste detalhe e no tomamos as devidas precaues.
Podemos classificar estes programas / servios em dois tipos:
1. Captura de console
2. Sesso remota
Captura de console
Os programas que permitem capturar a console fazem exatamente isso. Permitem que, remotamente,
se consiga ver e usar o ambiente grfico (GUI) presente na console do computador, desde que devidamente
autenticado. Geralmente, este tipo tem a pior performance, devido ao alto trfego causado pelas imagens da
interface grfica (a imagem geralmente passada como uma matriz de pontos).
VNC (Virtual Network Computing)
(http://www.uk.research.att.com/vnc/)
O VNC tem se tornado uma febre recentemente
em empresas. um utilitrio gratuito, que pode ser
baixado diretamente do site da AT&T acima.
O VNC simplesmente um utilitrio que permite a captura da tela de um computador, seja ele um
Linux, Windows ou Macintosh. Isso por sinal o que faz dele um sucesso.
Outra grande vantagem do VNC o cliente Java. O VNC possui um componente servidor (instalado no
computador que se deseja gerenciar) e um componente cliente (instalado no computador que se deseja usar
para acessar o servidor). Contudo, o prprio componente servidor possui um servidor Web incorporado, o que
dispensa ter o cliente. Em resumo, possvel capturar a tela de um computador remotamente, apenas atravs
de um browser.
O VNC possui duas falhas de segurana em potencial.
A autenticao inicial do VNC criptografada. Porm, todo o trfego a partir da clear text (sem
criptografia de nenhum tipo). Portanto, sua utilizao recomendada apenas em redes confiveis (trusted
networks), ou que faam uso de canais privados de comunicao criptografados, como VPNs (Virtual Private
Networks).
Como abre inicialmente duas portas TCP, fcil detectar que um computador possui o VNC instalado.
Um mtodo bastante simples apontar um browser com suporte a Java para o endereo IP que se deseja
testar, especificando a porta, como por exemplo:
http://servidor_a_ser_testado:5800
... Substituindo o servidor_a_ser_testado pelo nome ou IP do computador. Caso este computador possua o
VNC instalado, e no exista nenhum filtro ou firewall que bloqueie estas portas, receber no browser uma
janela assim:
A tela ao lado comprova que o

computador Zeus possui o VNC instalado. Caso
saiba a senha e a digite corretamente, a console
do computador remoto se abrir.
Um pequeno detalhe: com o Windows NT
/ 2000 / XP, a console pode ficar bloqueada,
atravs das teclas CTRL+ALT+DEL [ENTER].
Neste caso, apesar de capturar a console remota,
o cliente no poder prosseguir, a no ser que
possua a senha para desbloque-la.
Portanto, uma recomendao bsica para
quem usa o VNC com o NT/2000/XP manter o
hbito de sempre deixar a console travada.
Veja:
Uma vez de posse da informao de que um determinado computador em rede possui o VNC
instalado, um potencial hacker poder usar uma ferramenta de ataque por fora bruta, e tentar quebrar a
senha de acesso do VNC, como o VNCrack:
http://www.phenoelit.de/vncrack/
Este utilitrio ter maior eficincia contra a verso 3.3.3r7 e anteriores. Como administradores
instalam o VNC e nunca atualizam, muito comum encontrar verses at bem mais antigas.
difcil admitir, mas os invasores geralmente conhecem tudo sobre voc e seu sistema.
Por outro lado, ns no conhecemos quem so, e o que pretendem. Alm disso, o tempo
est a seu favor, e absolutamente contra ns.
PCAnywhere
(http://www.symantec.com/pcanywhere/index.html)
O PCAnywhere um dos produtos de acesso remoto mais conhecidos e difundidos. Ele fabricado
pela Symantec, a mesma empresa que fabrica o Norton Antivirus. O PCAnywhere fornece o controle total de
um computador remotamente, seja atravs de uma rede, seja atravs de uma linha discada (modem).
A maioria dos usurios desta ferramenta, quando a configuram para acesso via modem, acham que
no necessrio colocar uma senha de acesso, e confiam completamente no nmero de telefone como
barreira segurana (quem vai adivinhar que no fone 2225522 existe um modem para gerncia via
PCAnywhere ?). Infelizmente, existe uma tcnica chamada war dialing, usada para descobrir, dentro e um
intervalo de nmeros telefnicos, quais respondem voz e quais respondem dados. Basicamente, um
programa que usa um computador para tentar, um a um, vrios nmeros telefnicos e emitir um relatrio
sobre quais destes responderam com sinal de modem. A maioria das grandes empresas possui suas prprias
centrais telefnicas, e contratam um servio da companhia telefnica chamado DDR (Discagem Direta Ramal).
Assim, os nmeros telefnicos desta empresa so sequenciais, facilitando ainda mais a tcnica de war dialing.
Quando isto no ocorre, o hacker tem por prazer configurar o programa de war dialing para discagem
randmica, e deix-lo trabalhando por semanas (s vezes at meses). Mais cedo ou mais tarde, ele achar
algum nmero telefnico com um modem na ponta. Apesar de parecer uma tcnica tipo loteria, sua eficcia
bastante alta, principalmente em empresas que usem servios telefnicos de DDR.
Alm disso, o prprio PCAnywhere possui bugs, como qualquer outro programa. De acordo com o
teorema fundamental dos firewalls, qualquer programa possui bugs. Um programa relativo segurana ter
bugs relativos a segurana. A ltima vulnerabilidade detectada no PCAnywhere permitia um ataque do tipo
DoS, que impedia o programa de ser acessado remotamente depois de um ataque (verso 10.0). Porm,
observe que a m configurao de um programa relativo a segurana pode ser desastrosa, muitas vezes pior e
mais abundante do que qualquer problema relativo a bugs.
Veja mais informaes sobre problemas com o PCAnywhere em:
http://www.securiteam.com/windowsntfocus/5FP0C1F55G.html
http://www.securiteam.com/exploits/5BP0G201FO.html
http://www.securiteam.com/windowsntfocus/5YP0C0K3FI.html
Sesso remota
Os programas de sesso remota permitem abrir uma nova sesso para um usurio, onde um novo
ambiente carregado, independente da console. Imagine um terminal remoto, com uma diferena: grfico.
Estas aplicaes possuem a melhor performance, porque, apesar de tratarem partes da tela como
uma matriz de pontos, mostram alguns itens na tela com comandos pr-definidos. Assim, como a utilizao da
rede menor, h um ganho em velocidade.
TSC (Terminal Services)

O terminal services faz parte de qualquer instalao de Windows 2000 / XP. No Windows NT 4.0, era
um sistema operacional parte, chamado Microsoft Windows NT 4.0 Terminal Server Edition. Foi projetado
por uma empresa chamada Cytrix, como um produto de nome Winframe. A Microsoft adiquiriu a licena de
uso do mesmo, e agora faz parte do ncleo do sistema.
O TSC permite que uma console remota seja aberta para um usurio, de forma que o ambiente do
mesmo ser totalmente carregado, independente da console. Com um desempenho fantstico mesmo em
redes de baixa velocidade (modem), foi projetado originalmente para permitir o uso dos Thin clients, ou
computadores simples que executariam suas tarefas remotamente. Foi a poca da volta centralizao.
Contudo, esta onda no durou muito, e hoje, difcil justificar uma licena de terminal service, para
aplicaes (o produto tarifado baseado em quantas sesses simultneas permite). Porm, todo Windows
2000 / XP permite at duas conexes simultneas, para fins de gerncia remota.
O servio usa a porta 3389/tcp. No existem vulnerabilidades detectadas at hoje nele, e todo o
trfego entre o programa cliente e o servidor criptografado. Contudo, J foi descoberto um problema que
permite um ataque do tipo DoS no servidor como um todo. Maiores informaes em:
http://www.microsoft.com/technet/security/bulletin/MS01-040.asp
http://www.securiteam.com/windowsntfocus/5QP0M2A4UI.html
Um detalhe: O sevio de terminal s est disponvel no Windows NT 4.0 Terminal Server Edition ou no
Windows 2000 Server em diante. Com o Windows XP, ele tambm est disponvel na verso Professional, e
permitir conexes com console remota da mesma forma.
Repare que a captura das informaes digitadas no lado cliente tambm possvel. Assim sendo,
recomendada sua utilizao apenas em computadores que no sejam compartilhados, e que sejam confiveis.
Estes so trs dos programas de gerncia remota mais usados hoje pela comunidade. Cada um deles
requer uma certa experincia em sua manipulao, pois se feita de forma errada, der a um invasor, a
possibilidade de controlar o computador ou servidor remotamente, de qualquer lugar.
Poucos administradores tomam cuidado ao usar uma destas ferramentas, ou qualquer outra, de
gerncia remota. O maior erro fazer uso delas em computadores compartilhados, ou que estejam
conectados redes no confiveis (untrusted networks). Existem diversos programas disponveis livremente
na Internet que armazenam em um arquivo, para posterior anlise por parte de um hacker, todas as teclas
digitadas em uma mquina comprometida. A concluso bvia: se algum utilitrio de gerncia remota for usado
a partir de uma destas mquinas, estaro no arquivo armazenadas informaes sobre host, usurio e senha
usados para ativ-la.
Portanto, no adianta garantir apenas a segurana do componente de controle (servidor) da aplicao.
A utilizao do cliente de gerncia deve ser feita de um computador confivel, restrito, e que no seja
compartilhado, preferencialmente, conectado a uma rede confivel (afinal, o trfego da rede pode tambm
estar sendo monitorado por um suposto hacker).
Programas Diversos
Vrios programas usados amplamente possuem problemas de segurana. Como regra padro, nunca
salve a senha em nenhum programa que permita esta opo. Nosso comodismo sempre forar para que
deixemos as senhas salvas nos programas (e podem ser facilmente retiradas do registro do computador, ou
de arquivos especiais no disco). Alguns exemplos clssicos so:
FTP Voyager / FTP Explorer / WS_FTP

Estes trs programas de FTP so bastante usados como clientes FTP. As senhas de acesso a sites FTP
so salvas ou no registro ou em arquivos dentro da pasta do programa, e so criptografadas com um
esquema bem fraco. Existem tambm programas na Internet que podem ser usados para retirar destes
arquivos as senhas dos sites FTP. Recomendao: caso use um destes programas para efetuar acesso FTP a
algum site que tenha acesso diferente de anonymous, NO escolha a opo de salvar a senha, ou lembr-la.
Esta uma recomendao vlida para qualquer programa que seja.
Microsoft SQL Enterprise Manager

O Microsoft SQL Enterprise Manager uma console de gerncia de servidores Microsoft SQL, que
utilizam como base o MMC (Microsoft Management Console). Foi descoberta uma vulnerabilidade quando o
usurio registra um banco de dados para gerncia, e opta por salvar a senha para uso posterior. A senha
armazenada no registro do sistema com criptografia fraca, sendo possvel descobrir qual a senha.
recomendado NO salvar a senha, e, ao registrar um novo banco de dados, marcar a opo de no salvar a
senha e perguntar pela informao de autenticao todas as vezes que entrar no Enterprise Manager. Esta
vulnerabilidade est presene na verso 7.0 do banco de dados, e no na verso 2000.
Microsoft Option Pack / Internet Information Server 4.0 ou posterior

O servidor web da Microsoft, o IIS (Internet Information Server) tem a m fama de ser inseguro.
Contudo, isso se deve configurao padro do mesmo, logo aps a instalao. Tambm seguindo o Teorema
Fundamental dos Firewalls, quanto menos software existir, menor a quantidade de bugs, e por consequncia,
menor a quantidade de problemas relativos segurana. A instalao padro do IIS / Option Pack trs uma
srie de exemplos e a documentao do software. Alguns destes componentes possuem diversos problemas
de segurana (pelo prprio fato de serem exemplos). No processo de instalao, desmarque qualquer opo
relativa a exemplos, e documentao. Alm disso, desmarque quaisquer componentes que no sero usados.
Aps a instalao, PARE os sites web, FTP, SMTP ou NNTP instalados por padro, e NO os use em um
ambiente de produo. Deixe-os desativados. Crie o seu site web, por exemplo, do nada. Com isso, voc ter
absoluta certeza de que nenhum arquivo alheio ao seu site estar acessvel.
Tambm cosidere no usar o RAD, componente usado para desenvolvimento, e o WebDAV, em
ambientes de produo. Lembre-se, servidores de desenvolvimento JAMAIS devem ser usados como
servidores de produo. A maioria dos ataques possvel justamente porque o mesmo servidor usado para
o desenvolvimento de programas e pginas, assim como servi-las para a Internet.
Extenses de FrontPage
O FrontPage um programa que permite a edio de pginas web com recursos WYSIWYG (What You
See Is What You Get), mesmo que a pessoa no saiba uma linha sequer de HTML.
Contudo, o FrontPage dividido em duas partes: o programa cliente, e a poro servidora (chamada
de extenses do programa).
possvel criar um site com FrontPage localmente, e depois, transferi-lo para o servidor web, atravs
do componente servidor. Caso o servidor remoto no suporte as extenses de FrontPage, as pginas podero
ser transferidas atravs de FTP.
Entretanto, as extenses tambm so usadas por outros programas para editorao e publicao de
pginas, como o Visual Interdev, que permite a edio de pginas web de contedo dinmico, suportando
ASP, VBScript, e etc.
As primeiras verses destas extenses possuam dezenas de vulnerabilidades, entre elas, a
possibilidade de se escrever em qualquer arquivo do servidor, sem senha. Elas tambm permitiam que a
senha do site fosse recuperada, porque eram guardadas em um arquivo texto (Access.cnf) dentro do diretrio
/_vti_pvt do servidor.
Dentro deste mesmo diretrio, embaixo da raiz, possvel ver arquivos que contm a configurao do
servidor. Exemplos:
Access.cnf
config de segurana
Linkinfo.cnf
informaes sobre links no site principal
Service.cnf
vrias informaes sobre a configurao do servidor, como tambm que extenses executveis esto
associadas
Services.cnf
webs que o servidor possui
Como se no bastasse, diversos componentes das extenses, que permitem a utilizao de recursos
chamados bots, possuem vulnerabilidades de buffer overflow, o que permite us-los para executar
comandos remotamente.
Uma documentao detalhada sobre as falhas das Extenses do FrontPage pode ser encontrada em:
http://www.insecure.org/sploits/Microsoft.frontpage.insecurities.html
Perceba que estas vulnerabilidades so antigas. Hoje em dia, as novas verses no exibem mais estas
vulnerabilidades. recomendado que qualquer site / servidor que use extenses de FrontPage, seja
atualizado.
Para tal: http://msdn.microsoft.com/library/en-us/dnservext/html/fpovrw.asp
... ou v no site do produto (http://www.microsoft.com/frontpage) e clique nos downloads ao lado.
Ao proceder com a instalao das extenses, o produto ir perguntar se deseja reforar a segurana
dos sites que as usem. Responda que sim.
Voc
tambm
pode
acessar a mesma funo, clicando
com o boto direito no site, indo
em All Tasks, escolhendo Check
Server
Extensions.
Qualquer
inconsistncia ser corrigida, e a
opo ao lado apresentada.
Contudo, lembre-se
atualizar as extenses.
de
Browsers / Navegadores
Hoje em dia, existem quatro browsers usados normalmente na Web. O Internet Explorer, o Netscape,
O Mozilla, e o Opera.
Todos eles possuem falhas de segurana. Portanto, primordial mant-los atualizados. Sempre use a
ltima verso, mesmo que isso implique em um download considervel.
Alm disso, devem-se instalar as correes publicadas.
Internet Explorer
Para instalar as correes do Internet Explorer, basta realizar o Windows Update, que existe nos
sistemas da Microsoft desde o Windows 98. Caso seja usurio do Windows 95, deve visitar a pgina do
browser, e baixar as atualizaes, que podem ser encontradas em:
http://www.microsoft.com/windows/ie/downloads/archive/default.asp
Para baixar a verso atual:
http://www.microsoft.com/windows/ie/downloads/ie6/default.asp
Para visualizar a verso do Internet Explorer que possui, clique no

menu Ajuda, Sobre o Internet Explorer.
Netscape
O Netscape possui uma ferramenta de atualizao que pode ser acessada tambm atravs do menu
de ajuda (Centro de Segurana, ou Security Center).
Mozilla
De todos os browsers, talvez o Mozilla
seja considerado o mais seguro, devido a sua
poltica de atualizaes freqentes, e suas
opes bastante avanadas para deputrao de
erros, assim como to um roteiro para detectar,
analisar e sanar problemas. Para acessar uma
pgina com uma lista de bugs encontrados, e
atualizaes, basta ir ao menu QA, e clicar em
Known Bugs.
Opera
O Opera aparentemente no possui nenhum esquema de atualizaes automticas, ou de distribuio
de patches. recomendado que o usurio cheque com freqncia a pgina do produto para avaliar se est
executando uma verso atualizada.
http://www.opera.com/download/
Contudo, o Opera utiliza as bibliotecas Java da Sun, caso deseje suporte a Java. Neste caso,
interessante manter o runtime Java atualizado.
http://java.sun.com/j2se/
5. Tcnicas de Invaso
Vrias tcnicas bsicas de invaso ou de DoS exploram problemas gerados pela m configurao de
computadores e servidores em rede, que so os alvos primrios caso algum hacker se interesse em invadir
uma determinada rede.
Existem diversas tcnicas de invaso, que poderamos tratar melhor se chamssemos de abordagens.
Existem diferentes abordagens para diferentes ambientes de rede. A abordagem usada na invaso de uma
rede corporativa ser completamente diferente da abordagem usada em uma pequena rede que talvez nem
esteja conectada diretamente Internet, como tambm ser diferente da abordagem usada para invadir um
usurio apenas.
Em termos de facilidade, uma rede pequena, corporativa, que no tem contato com a Internet, em
escritrios de pequeno a mdio porte, a mais vulnervel, numa abordagem de dentro para fora. Contudo,
tentar invadir uma rede destas de fora para dentro muito difcil, pois no existem conexes permanentes
com a Internet. Nestes casos, um potencial hacker tentar compromenter qualquer computador que esteja
localmente conectado a rede, mas que possua um modem, ou algum outro mtodo de acesso a Internet.
Nestes casos, tcnicas de engenharia social so muito usadas, pois a falta de conexo permanente limita
muito a gama de ferramentas que podem ser usadas para extrair informaes.
Uma rede conectada 24 x 7 Internet j possui pelo menos um canal permanente. Caso a rede no
tenha nenhum servidor para a Internet, e use alguma tcnica de acesso como Proxy ou NAT, estar
relativamente segura.
Por ltimo, ambientes que acessam a Internet atravs de canais permanentes, e que possuem
servidores tambm conectados nesta estrutura, com endereos reais, disponibilizando servios, so os mais
vulnerveis.
Desta forma, os seguintes passos podem ser detectados:
Probing
Hackers tentaro investigar sua rede para determinar: que servios rodam em qu servidores;
quais so as verses destes servios; quais so os servidores, e onde esto localizados na rede; um
esboo ou um mapa da rede; relaes de confiana entre os servidores; sistemas operacionais
utilizados; possveis estaes de gerncia na rede; filtragem de pacotes (se existir); sistema de deteco
intruso IDS (se existir); honeypots ou potes de mel (se existirem); portscanning (passivo e com
spoofing se possvel). Se for justificvel, utilizao de war dialing. Descobrir qual a relao da rede
interna da empresa, com a rede de gerncia (entenda-se por rede interna, aquela usada pelos
funcionrios).
Observao importante: dependendo da inteligncia do suposto hacker, a fase de probing ser
realizada atravs de algum mtodo que impossibilite sua identificao, como atravs de provedores gratuitos
ou atravs de linhas telefnicas roubadas. O probing em si poder ser detectado, mas sua origem no ser.
Hoje em dia, com o advento dos provedores de acesso a Internet gratuita, se torna muito fcil
esconder a natureza de um ataque. A grande maioria dos provedores gratuitos no exige cadastro, nem
monitoram os acessos atravs de contas usurio / senha individuais. Assim, qualquer um se conectar atravs
de um provedor gratuito ter seu vnculo de identificao ligado apenas ao seu endereo de rede IP, e o
telefone de origem.
Entretanto, em vrias cidades, as companhias telefnicas desabilitam as funes de rastreamento de
telefones, mais conhecido como BINA (B Identifica Nmero de A), devido sobrecarga nas centrais
telefnicas em horrios de pico.
Devemos tambm lembrar que o horrio de pico de utilizao do sistema telefnico (horrio
comercial) difere do horrio de pico de utilizao da Internet no Brasil (das 20 a 01 hora). Quando isto ocorre,
o provedor perde a nica informao que pode associar uma conexo / endereo de rede IP a um telefone de
origem.
Nestes casos, a nica forma de rastrear a origem da chamada atravs da prpria companhia
telefnica. Todas elas possuem restries quanto a isto, e no podem divulgar informaes sobre ligaes, a
no ser perante deciso judicial.
Se passarmos a pensar como um potencial hacker, veremos que, dependendo do nvel do ataque, e
de seu risco, o fato de o seu nmero de telefone apenas poder ser rastreado e conhecido atravs de deciso
judicial uma barreira de proteo privacidade que no ameaa o ataque em si.
Caso o potencial invasor sinta que, dada a gravidade dos atos e conseqncias que podero se
desenvolver, ele poder ser alvo de um processo judicial, ento valer apena, para ele, utilizar uma tcnica
alternativa, como o roubo de uma linha telefnica ou a utilizao de um telefone pblico.
Por mais incrvel que parea, esta ltima alternativa no est muito longe da realidade. A linha
telefnica que alimenta um orelho, ou telefone pblico, praticamente a mesma linha telefnica que
alimenta uma empresa ou residncia. Assim sendo, e com pouco conhecimento de eletrnica, se consegue
grampear esta linha, e us-la para um ataque.
Engenharia Social (Social Engineering)
O prximo passo, ou realizado em paralelo, ser a utilizao de tcnicas de engenharia social.

Atravs destas tcnicas, informaes valiosas podero ser obtidas. Descobrir informaes pessoais sobre
o(s) administrador(es) da rede; informaes sobre fornecedores de suprimentos e manuteno;
descobrir quem tem acesso privilegiado a qualquer servidor ou estao; avaliar o grau de conhecimento
desta pessoa (quanto menor, melhor, se possuir acesso privilegiado); descobrir nmeros de telefone
importantes (o nmero de telefone do administrador, das pessoas envolvidas com a administrao da infraestrutura, telefones de departamentos como comercial); tentar tambm obter uma lista de endereos
de correio eletrnico importantes. Tentar obter informaes do suporte telefnico da empresa, caso
possua. Obter acesso ao lixo da vtima, se possvel (sim, os filmes que falam de hackers o fazem geralmente
de forma bastante errada: contudo, nisso eles acertaram: uma das maiores fontes de informao sobre a
vtima ser seu lixo).
Quem trabalha em uma empresa que possua servidores de dados e uma rede, sabe que a maioria dos
cargos do alto escalo so ocupados por empresrios que no possuem muito conhecimento tcnico, e
facilmente caem vtimas de cavalos de tria. Aliado a este fato, tambm sabe que estes mesmos empresrios,
apesar de no terem a real necessidade, e dependendo do tamanho da empresa, conhecem as senhas de
acesso aos servidores, com direito de administrao, isso quando suas prprias contas de acesso rede no
so equivalentes a administradores.
A partir da, o prximo passo ser tentar relacionar as informaes coletadas at agora. Baseado nas
informaes levantadas no primeiro passo, o hacker ir pesquisar na Internet e na sua comunidade sobre
vulnerabilidades existentes nas verses dos programas, servios e sistemas operacionais usados pela rede.
Alm disso, caso a relao da rede interna com a rede de gerncia seja direta, uma abordagem
baseada em cavalos-de-tria ser interessante. O objetivo passar a ser conseguir ter acesso ao trfego da
rede interna. Isto pode ser feito enviando trojans para departamentos administrativos, comerciais, e
financeiros. A maioria dos funcionrios destes departamentos leiga e no saber a diferena entre um
documento do Word e um executvel anexo ao seu correio eletrnico. bem provvel que, com alguns dias
de investigao do trfego da rede interna, voc consiga alguma senha com direitos de administrao. Como
administradores de rede tem o hbito de usar a mesma senha para diversas ferramentas, se na primeira fase
alguma ferramenta de gerncia remota foi achada, ento, mais do que provvel que as senhas sero
idnticas.
Muitos hackers consideram a utilizao de cavalos-de-tria algo condenvel, tecendo duras crticas.
Contudo, estatsticas comprovam que a utilizao desse mtodo bastante difundida.
Independente da abordagem adotada, o hacker ter duas coisas em mente: objetividade, e mxima
dissimulao. Tudo ser feito sem pressa, para no levantar suspeitas. Ele poder at tentar fazer amizade
com algum que trabalhe na empresa (isso mais fcil do que parece: basta visitar os mesmos lugares que
essa pessoa visita, principalmente se estes lugares forem escolas, universidades ou clubes, pois nestes lugares
existe um sentido maior de unio). Obviamente, tudo isso depender da informao que se deseja obter: o
hacker avaliar se todo o esforo vale a pena. Contudo, lembre-se que muitos fazem pelo desafio, e superaro
enormes dificuldades somente para provar a si mesmos que so capazes.
Programas Usados para Obter Informaes

Diversos programas podem ser usados para obter informaes sobre a rede ou computadores /
servidores remotos. Todos eles sero vistos em detalhes na seco Ferramentas. Alguns deles so:
SNMP
O SNMP (Simple Network Management Protocol) um protocolo de rede usado para gerncia de
equipamentos em rede.
Atravs dele, possvel consultar informaes de computadores e quipamentos que possuam o
servio. Ele tem uma abordagem bastante simples, e consiste em ter, no equipamento ou computador, um
agente SNMP, que coletar dados sobre o mesmo. O formato e as informaes que cada equipamento
possui conhecido como MIB (Management Information Base). Possuindo a MIB de um equipamento ou
computador, pode-se ento consultar estas informaes, e, algumas vezes, alter-las.
Contudo, este protocolo / servio bastante inseguro. Para acess-lo, no necessrio usurio ou
senha, apenas conhecer a comunidade na qual o agente est configurado.
Com essa informao, e com qualquer programa que interprete a sada de dados do agente, pode-se
literalmente montar o mapa de uma rede, e consultar informaes como utilizao de disco, CPU e rede de
computadores e equipamentos, bem como tabela de rotas.
Existem programas que usam o SNMP prara construir o mapa de uma rede. Podemos citar o Tivoli, o
Lucent NavisAccess, e o SNMPc. Porm, qualquer ferramenta SNMP pode ser usada.
Por exemplo, qualquer computador UNIX que possua as funcionalidades SNMP instaladas possui um
utilitrio chamado Snmpwalk para consultar um agente. Existe uma ferramenta similar para Windows,
presente no Resource Kit do Windows NT/2000/XP, chamada SNMPUTIL, com a mesma funo. As portas 161
e 162/udp sempre devem estar sendo filtradas e monitoradas.
Essential Net Tools
(http://www.tamos.com/)
Programa fantstico que explora a m configurao de computadores Windows conectados a Internet. Atravs
dele, possivel, dado um intervalo de endereos IP, visualizar quais destes esto com o compartilhamento de
arquivos e impressoas ativado, e com algo compartilhado. Voc ficaria surpreso com a quantidade de
computadores que possuem a raiz do drive C: compartilhada, permitindo acesso a qualquer arquivo dentro do
disco, inclusive o .pwl, arquivo que possui a senha salva dos usurios deste computador. Para evitar que o
EssNetTools seja efetivo, necessrio filtrar no firewall as portas usadas pelo NetBIOS (135, 136, 137, 139 e
445, tcp/udp).
CIS (Cerberus Internet Scanner / Typhon)
(http://www.cerberus-infosec.co.uk/cis.shtml)
(http://www.nextgenss.com/)
O CIS um pequeno programa de anlise de vulnerabilidades. Apesar de pequeno, impressionante.

Ele roda sob Windows NT 4 / 2000 e, dado um endereo IP, ele produzir uma pgina HTML com todos os
testes realizados. O CIS testa por vulnerabilidades conhecidas, como finger, VRFY (SMTP), DNS, Web, entre
outras. O mais impressionante quando ele consegue acessar as informaes de contas de usurios de uma
mquina Windows NT, m configurada. Para evitar a efetividade do CIS, aconselhvel usar ele prprio,
analisar quais vulnerabilidades foram encontradas, e san-las uma a uma.
O projeto do CIS parece no estar sendo atualizado. Contudo, o pessoal da Next Generation Security
Software criou o Typhon, em cima do CIS, atualizado. O Typhon extende as ferramentas do CIS, com novos
recursos e uma nova interface. Fantstico.
Nmap
(htp://www.insecure.org/nmap)
"If your goal is to understand your network from a 40,000-foot view, then Windows port
scanning tools will suffice. But if you're serious about your security and looking for the
holes that crackers will find, then take the time to install a Linux box and use nmap." -Info World
nmap a ferramenta de portscanning mais fantstica conhecida. Com ele, possvel realizar desde
um scan ativo de um nico endereo, at scans passivos de uma rede inteira, de forma automatizada,
revelando inclusive o sistema operacional da vtima, atravs da assinatura da conexo TCP. Possui inclusive a
opo de realizar o scan com o endereo de origem spoofado, ou mudado (no caso de scan passivo). Ele
roda sobre Linux. uma das ferramentas mais usadas. No site acima, existe at uma verso grfica dele.
Evitar a ao do nmap praticamente impossvel. De qualquer forma, primordial configurar um firewall para
apenas permitir trfego entrando na rede, para as portas / servios que tem de ser acessveis de fora.
WhatsUp Gold
(http://www.ipswitch.com)
O WhatsUp um programa desenvolvido pela empresa IPSwitch, com a inteno de ser uma
ferramenta de monitorao de rede. Porm, ele possui internamente uma funo usada para descobrir, dado
um intervalo de endereos, quais esto ou no ativos, bem como outras informaes, como o nome das
mquinas. Bastante eficiente em redes Microsoft, com ele voc poder ter uma idia de quantas mquinas
esto ativas numa determinada classe, por exemplo. Para barrar o WhatsUp, basta filtrar as portas do
NetBIOS e trfego ICMP.
TELNET
O prprio telnet do Windows pode ser usado para descobrir que verso um determinado servidor est
rodando, por exemplo, de sendmail, servidor web, POP3 ou FTP. Para isso, basta disparar um TELNET para a
porta do servio desejado. Vejamos:
telnet xyzwabcd.com.br 25
220 dominus.elogica.com.br ESMTP Sendmail 8.9.3/8.9.3; Wed, 29 Mar 2000 20:38:40 0300
Agora, sabemos que o servidor um sendmail, versao 8.9.3. Aliado ao nmap, descobrimos qual o
sistema operacional.
Trojan Horses e Back Doors

Trojan Horses / Cavalos de Tria
Os trojan horses so programas que demonstram um determinado tipo de comportamento, ou se
propem a uma determinada tarefa, geralmente a realizam, prom, sem que o usurio saiba, executam
alguma outra tarefa. Esta segunda funo na maioria das vezes abre o computador para invases ou acesso
remotos.
Hoje em dia, existem inmeros programas do tipo trojan horse, ou cavalo-de-tria, mas o conceito
aplicado a informtica existe a dcadas. O primeiro programa usado como trojan horse que ganhou a
comunidade foi o NetBus. Aps o NetBus (que tido como um software de gerncia remota, e no como um
trojan horse), surgiram diversos outros, sendo o mais famoso deles, o Back Orifice. Este, foi criado por um
grupo de hackers que se entitulam The Cult of the Dead Cow, ou cDc (http://www.cultdeadcow.com/)
Veja nos anexos, uma coletnea de telas de trojans conhecidos. Cada um destes programas pode ser
removido atravs de um bom programa de anti-virus, como o Norton anti-virus, o AVP, ou o TrendMicro.
Todos estes anti-virus possuem download para avaliao (30 dias) e podero salvar sua pele, mesmo que
voc no compre o programa (desisntale em seguida).
http://symantec.com/avcenter e http://www.avp.com
AVG gratuito:
http://www.grisoft.com
O mais famoso de todos os trojans o Back
Orifice. Ele capaz de tomar o controle COMPLETO
de um computador com qualquer verso do
Windows. Atravs dele, podemos at visualizar
remotamente a tela do computador. Enviar
mensagens, dar boot, travar, copiar arquivos,
capturar todas as teclas pressionadas, entre outras
funes.
Apesar de ter sido lanado a mais de um
ano, ele ainda assola a Internet, principalmente
aqueles usurios que no tomam precaues
bsicas, como receber arquivos de desconhecidos,
executveis, e abri-los.
Ele possui requintes como suporte a plugins. Vem em dois componentes: a parte Server ou servidor,
e a parte Client ou cliente. A parte servidora a enviada para a vtima, e a parte cliente, usada para
controlar o componente servidor.
Conjunto de telas de controle (cliente):
Backdoors
J os backdoors podem ter mais ou menos a mesma funcionalidade de um trojan, mas possuem
outras intenes. Quando um hacker consegue acesso a um sistema, uma de suas primeiras atitudes ser
instalar backdoors no sistema. Estas backdoors lhe permitiro voltar a ter acesso a este sistema se por acaso o
dono / usurio ou administrador descobrir que sua segurana foi violada. Uma backdoor pode ser na forma de
um programa (assim como os trojans), como um script (principalmente em ambiente UNIX), ou at como uma
srie de procedimentos (criar uma conta com direitos de administrao, com um nome comum). Esta a
principal diferena para um trojan, que geralmente um arquivo executvel.
Buffer Overflow
Buffer overflows so conseqncia direta de pssimos hbitos de programao. Consiste em enviar
para um programa que espera por uma entrada de dados qualquer, informaes inconsistentes ou que no
esto de acordo com o padro de entrada de dados. De forma resumida, seria mais ou menos tentar encaixar
uma bola de basquete em um buraco de golf.
Em programas que no tratam a consistncia dos dados de entrada, pode haver uma desestruturao
do cdigo em execuo, permitindo que cdigo estranho seja enviado e executado. Imagine um buffer de
entrada de dados configurado para receber 32 bytes. Imagine agora que este mesmo buffer no possui uma
checagem da consistncia dos dados. Agora, tente enviar mais do que 32 bytes. Isso normalmente estourar
o buffer (buffer overflow), e normalmente, o que passar de 32 bytes, invadir outras reas de memria do
sistema. Dependendo de que reas sejam estas, possvel fazer com que esta carga extra tambm seja
executada. exatamente a onde mora o perigo.
As formas mais comuns de buffer overflow so encontradas em servidores web e de FTP. Ao se
submeter uma URL muito grande (geralmente acima de 150 caracteres) o servidor para de responder. Vrios
softwares servidores Web e FTP famosos j foram vtimas de tais vulnerabilidades, como o Apache Web
Server, o Internet Information Server, o Serv-U FTP Server, War FTP d, entre outros. No ambiente UNIX,
existem ou existiram diversas vulnerabilidades deste tipo nos servidores de SMTP (envio de correio) e POP3
(recebimento de correio).
A critrio de exemplo, uma pesquisa sobre buffer overflow em um site de segurana como o
http://www.securiteam.com retorna em mdia 1300 pginas, APENAS relativas segurana.
Password Crackers
Os password crackers so em sua grande maioria programas de ataque de fora bruta, que tentaro,
dada uma combinao possvel, cada combinao at descobrir qual a senha. Os algoritmos de criptografia
empregados geralmente so conhecidos publicamente. Sua segurana reside em sua chave. Contudo, esta
chave secreta. Asim sendo, o password cracker aplicar o algoritmo em cada combinao possvel de letras
at achar aquela que seja igual a senha criptografada original.
Geralmente os password crackers so lentos, e sua eficincia depende inteiramente da qualidade das
senhas. Senhas dfcieis para um passowrd cracker so aquelas que possuem letras, nmeros, e caracteres de
pontuao, como ! @#$%&*()[]{}-_=+<,>.?/. Contudo, a melhor senha sempre ser aquela sem
sentido, randmica, e que use tais caracteres.
Um tpico password cracker levar algo em torno de 2 a 3 anos de trabalho para quebrar uma senha
de 7 caracteres, com estas caractersticas. Para cada novo caractere adicionado ao tamanho da senha, a
dificuldade e o tempo sobem em ordem exponencial. Uma senha com 14 caracteres com tais caractersticas
levaria milhares de anos. Com isso, chegamos a concluso de que a senha ideal hoje possui pelo menos 12 a
14 caracteres, e as caractersticas descritas acima.
Alm dos password crackers tpicos, que usam a fora bruta, existem aqueles que se baseiam em
vulnerabilidades dos algoritmos de criptografia empregados. Estes no atacam por fora bruta, mas
revertendo o processo de criptografia, geralmente baseado em algoritmo, ou quanto se tem o conhecimento
das chaves.
Alguns dos password crackers mais famosos:
L0pht Heavy Industries / @StakeL0phtCrack ou LC3 (Windows NT/2000)
http://www.atstake.com/research/lc3/index.html
Crack 4.1 / 5.0 (UNIX)
http://www.crypto.dircon.co.uk/download/c50-faq.html
http://www.deter.com/unix/software/crack_4.1.tar.gz
Winzip / RAR / ARJ Password Crackers
http://www.password-crackers.com/crack.html
NAT (NetBIOS Auditing Tool)
http://bbs.ee.ntu.edu.tw/boards/Security/6/16.html
http://nmrc.org/faqs/hackfaq/hackfaq-14.html#ss14.6
http://www.fastlane.net/~thegnome/files/snt/index.html
Diversos
http://www.lostpassword.com/
Para acelerar o processo de quebra / descoberta das senhas, a maioria dos password crackers podem
ser alimentados com um dicionrio de palavras construdo pelo usurio. Assim, voc pode alimentar o
dicionrio com palavras mais objetivas, aumentando a possibilidade de acerto.
Exploits
Exploits so pequenos scripts ou programas que exploram uma vulnerabilidade de segurana. Seria
mais ou menos como encontrar um furo numa cortina, enfiar os dois dedos, e arrebentar o furo. Geralmente
so cdigos locais (precisam ser executados no computador que se deseja comprometer), apesar de existirem
exploits remotos (via rede). O nome exploit tambm atribuido as vulnerabilidades descobertas em
softwares (sistemas operacionais, servidores, programas em geral). Existem diversos sites de segurana que
falam sobre exploits mais recentes. Os mais famosos so:
RootShell
http://www.rootshell.com
Internet Security Systems Xforce
http://xforce.iss.net
SecuriTeam
CIAC (Computer Incident Advisory Capability)
http://ciac.llnl.gov/
CERT (Computer Emergency Response Team)
http://www.cert.org
Man-in-the-Middle
Os ataques do tipo man-in-the-middle so usados em sistemas de segurana baseados em token.
Consiste em interceptar o trfego entre dois computadores, e, para ambos, continuar parecendo que a
comunicao direta. Contudo, a entidade que intercepta o trfego tambm o altera, de forma que a
requisio de rede parea original e autntica. So ataques bastante difceis de ocorrer, pois geralmente
requerem grande conhecimento de programao e da rede que se deseja comprometer. Normalmente,
ataques MITM (Man-in-the-Middle) requerem que um dos pontos de conexo j tenha sido comprometido
(como o provedor a qual voc est conectado, ou o fornecedor da rede onde se encontra o servidor que se
deseja acessar). A maioria dos ataques MITM usada contra sistemas criptogrficos. Para maiores
informaes:
How to brake RSA
http://gaia.cs.umass.edu/cs653-1998/notes/ch9-1/sld001.htm
6. Outros Tipos de Ataques

Existem outros tipos de ataque que, se no permitem uma quebra de segurana direta, como o
comprometimento das informaes armazenadas em um servidor, ajudam nos ataques de invaso, muitas
vezes at tornando-os possveis.
DoS (Denial of Service)

Como o prprio nome sugere, ataques deste tipo geralmente no compromentem a privacidade dos
dados. A finalidade de um ataque DoS tirar um servio, servidor, computador ou at mesmo uma rede do ar.
Os ataques do tipo DoS so usados muitas vezes em conjunto com invases, ou porque alguns tipos de
invases exigem que determinados computadores no estejam funcionando (como no caso do spoofing) ou
para despistar / desviar a ateno da invaso em si. Ataques DoS tambm so usados simplesmente para
atrapalhar ou desacreditar um servio.
Os ataques DoS na sua grande maioria usam buffer overflows para conseguir obter sucesso. Contudo,
qualquer forma de tirar um computador, servio ou rede do ar considerado um ataque DoS. Por exemplo, a
maioria dos servidores que possuem alguma segurana possuem tambm logs de acesso (arquivos de sistema
onde so armazenadas informaes crticas, como acesso, autenticao e etc). Imagine que o administrador
coloque os logs no mesmo espao em disco do sistema. Assim, se gerarmos milhares (talvez milhes) de
entradas no log, o arquivo ir crescer at ocupar todo o disco. Outro tipo de ataque DoS comum: vrias redes
possuem programadas uma ao, caso um login tente por diversas efetuar logon e erre suas credenciais. Esta
ao geralmente o bloqueio indeterminado da conta (login), que apenas pode ser restaurado com a
interveno do administrador. Forar o travamento de uma conta destas considerado um ataque DoS,
principalmente quando esta conta a usada por algum servio (se a conta for bloqueada, o servio sair do
ar).
J ataques que visam tirar do ar uma rede, ou um servidor atravs de trfego excessivo, ou enviando
pacotes invlidos tambm so possveis. Em meados de 1997, foi lanada na Internet uma vulnerabilidade em
pilhas TCPIP de computadores Windows. Consistia em enviar para um determinado servio, pacotes TCP com
uma sinalizao de urgncia. Contudo, o contedo do pacote era composto de caracteres invlidos. Este
ataque DoS ficou conhecido como OOB (Out Of Band data). Hoje em dia, a grande maioria das pilhas TCPIP
protegida contra este tipo de ataque, e variaes. Porm, como no velho ditado gua mole em pedra dura
tanto bate at que fura, se a quantidade de informao invlida for realmente muito grande, ainda existe a
possibilidade de tirar do ar o computador. Para se obter a quantidade suficiente de pacotes, o ataque do tipo
DoS foi extendido, para o que conhecemos hoje como DDoS (Distributed Denial of Service).
Entretanto, devemos observar o fato de que o ataque DoS OOB, apesar de ter sido descoberto
originalmente para a plataforma Windows (servios NetBIOS / SMB), provou-se eficaz contra uma gama de
protocolos e plataformas, incluindo diversos UNIX, e at equipamentos de rede.
DDoS (Distributed Denial of Service)

http://staff.washington.edu/dittrich/misc/ddos/
http://www.research.att.com/~smb/talks/nanog-dos/index.htm
Os ataques do tipo DDoS consistem geralmente em enviar para uma nica mquina ou rede, milhes
de pacotes de rede ou requisies de servio, em um dado momento. Obviamente, no existe maneira de
gerar este trfego todo de um nico ponto.
Imagine que um computador,
atacker, deseje derrumar o computador
Agora, de forma simples, imagine que
conectado via modem (50 Kbps) enquanto a
via ISDN (64 Kbps).
que chamaremos de
vtima, com trfego.
nosso atacker est
vtima est conectada
Neste Exemplo tpico, podemos entender de forma fcil a

dificuldade: por mais pacotes de rede que atacker envie para a
vtima, o canal de comunicao da vtima nunca ficar saturado.
Por sua vez, se os pacotes enviados utilizarem como transporte TCP, atacker corre o risco de se derrubar,
visto que para todo trfego que ele gerar, a vtima tentar estabelecer uma conexo TCP (three way
handshake). Da, concluimos que praticamente todos os ataques do tipo DDoS utilizam UDP como transporte
(se forem ataques direcionados).
Concluimos ento como surgiu a idia do DDoS: vrias mquinas espalhadas por toda a Internet,
enviando trfego simultaneamente, para um mesmo servidor, estao ou rede. Assim, no importa o tamanho
da conexo do servidor, estao ou rede, ela ficar potencialmente saturada.
O DDoS ficou conhecido a partir dos ataques realizados contra sites populares na Internet, como
yahoo.com, amazon.com, zdnet.com, entre outros. Contudo, utilitrios que exploram ou criam ataques DDoS,
apesar de difceis de obter, j existiam desde meados de 1999.
A lgica de um ataque DDoS bem simples. Imagine um servidor de pginas web, que normalmente
recebe 100.000 acessos por dia. Agora, imagine que 200 ou 300 computadores espalhados pela Internet, ao
mesmo tempo, e continuamente, enviem requisies de acesso pgina. Dependendo do nmero de
requisies, o servidor poder deixar de responder simplesmente porque chegou ao seu limite de conexes.
Existem outros tipos de pacotes ou requisies de conexo que tm uma eficcia muito maior do que
uma simples requisio de acesso web. Contudo, o segredo est em como gerar este trfego ou requisies,
de vrias mquinas espalhadas pela Internet. Isto feito atravs de dois componentes de software: o agente
ou server (software, programa ou daemon que executado nas mquinas espalhadas pela Internet), e o
cliente (componente que controla a ao dos agentes).
Os agentes ou servers so colocados para rodar em servidores espalhados pela Internet por hackers,
que invadem os sistemas. Existe uma ferramenta de ataque DDoS chamada trin00 onde o agente um vrus
para a plataforma Windows ( colocado em execuo em computadores como um trojan ou cavalo-de-tria).
Uma vez disseminados os agentes, o hacker atravs do cliente, envia um comando de ataque para os
agentes, ao mesmo tempo, atacarem uma determinada rede ou mquina.
Trin00, TFN (Tribe Flood Network, Schaft)

Estes so trs exemplos clssicos de ferramentas de ataque DDoS. O trin00 j foi portado para a
plataforma Windows, enquanto o TFN o mais usado. J o Schaft, apesar de relativamente antigo, bem
mais raro de ser achado. Atualmente, existe uma forma do agente do trin00 que infecta computadores como
um cavalo-de-tria. J o TFN possui uma verso chamada TFN2K, com vrias melhorias, incluindo at
criptografia da conversao entre o cliente e os agentes, de forma a burlar a deteco destas ferramentas.
Em ambientes corporativos ligados Internet, a forma mais comum de deteco atravs da
quantidade de trfego. Na maioria das redes que possuem monitorao de trfego, a caracterstica ser uma
srie de tentativas de conexo, ou trfego, gerado de diversas mquinas da rede interna, paraum nico
endereo na Internet. Trfeo abundante utilizando como transporte o UDP tambm sinal de um ataque
DDoS, caso os pacotes tenham o mesmo destino, sejam saindo de sua rede, ou tentando entrar nela.
Contra estes tipos de ataques, existem poucas medidas, principalmente se o objetivo do hacker for
realizar um ataque DDoS por ocupao de banda. Contudo, um bom firewall pode dificultar bastante a eficcia
de um ataque destes. Algumas regras bsicas de filtragem em firewalls para evitar ataques DDoS:
1. Filtrar qualquer trfego ICMP entrando ou saindo da rede
2. Filtrar qualquer trfego entrando na rede, em portas (servios) que no esto em uso
3. Filtrar qualquer trfego saindo da rede, a partir de computadores que fiquem 24 horas no ar, e que
NO precisem emitir tal trfego
4. No firewall, configur-lo de forma a impedir conexes a partir do localhost (127.0.0.0)
5. De qualquer mquina que possua filtragem de pacotes (Windows 2000, Linux, etc.) impedir conexes
a partir de interfaces internas e / ou localhost (127.0.0.0)
A regra bsica impedir trfego no autorizado, no s entrando na rede, mas tambm, a partir
dela, de forma que computadores em sua rede interna no possam ser usados como agentes. Veja o captulo
a seguir, Ferramentas / Personal Firewalls. L, filtragem de pacotes ser tratada com maiores detalhes.
O que mais importante percebermos no DDoS a dificuldade de se proteger. Imagine que um
ataque seja inciado contra um host dentro da rede interna de sua empresa. Imagine tambm que o firewall da
empresa no permita que o trfego entre na rede interna, descartando todos os pacotes (UDP). Neste cenrio,
entenda que os pacotes chegaram at a porta do roteador, portanto, mesmo que o firewall descarte os
mesmos, j ocuparam a banda do link de WAN. Neste caso, apesar do ataque no ter sido eficiente contra
especificamente o servidor ou host em questo, ir tirar toda a rede do ar.
CodeRed I, CodeRed II, Nimda

e afins
Apesar de serem considerados worms, ou vermes, uma espcie de vrus, eles possuem funes
internas que se assemelham bastante a um ataque do tipo DDoS, apesar de no ser possvel direcionar tais
ataques.
Em 1988, a Internet foi assolada por um verme, ou prova de conceito criado por um estudante de
graduao de Cincia da Computao, da Universidade de Cornell, nos Estados Unidos. O ento desconhecido
Sr. Robert Morris, no tinha a mnima idia dos efeitos do cdigo que tinha acabado de construir, e
inicialmente, no pensava que sequer funcionasse.
O programa escrito por ele visava explorar uma falha no sendmail, software usado para troca de
mensagens eletrnicas (email). Contudo, algo no saiu como planejado: o verme que acabara de construir
entrou em colapso (loop infinito) ao infectar os servidores, e, como efeito disso, passou a utilizar todos os
recursos dos servidores, como CPU e memria.
O caos se instalou nas principais instituies de ensino (universidades) e algumas instituies
controladas pelo governo americano. Mais de 6000 hosts foram infectados pelo verme, e todos eles se
transformaram em "zumbis", ou agentes, na tentativa de propagar-se.
Em julho de 2001, a histria se repetiu.
Code Red
A Internet foi atacada novamente por um verme com as mesmas caractersticas. O Code Red, ou
"Cdigo Vermelho", utiliza uma falha no servidor web da Microsoft, o IIS - Internet Information Server, e,
atravs desta falha, uma vez infectado, o servidor passa a se comportar como zumbi, ou agente, tentando de
forma randmica, descobrir novos servidores que usem o IIS, vulnervel, para infect-los.
http://www.cert.org/advisories/CA-2001-19.html
O mais interessante disso tudo, que, 13 anos aps o Internet Worm original, de Robert Morris, o
mesmo princpio ainda obteve sucesso. Pior, um patch, ou atualizao, que corrige a falha explorada pelo
Code Red, tinha sido publicado um ms antes.
http://www.microsoft.com/technet/security/bulletin/MS01-033.asp
Entretanto, o primeiro Code Red, ou Code Red I, no possui uma carga que podemos classificar como
realmente prejudicial ao servidor infectado. No nos termos que incluem roubo ou comprometimento das
informaes. Seria mais adequado classificarmos o mesmo como uma prova de conceito, ou "proof of
concept", apesar do aumento de trfego que acarreta. Alm disso, o seu cdigo possui um bug. Ele gera
randomicamente, endereos de rede (IP) que ir tentar infectar. O bug fez com que estes endereos no
fossem realmente randmicos, fazendo com que o Code Red I atacasse uma faixa limitada de endereos,
diminuindo seu raio de ao.
Uma anise COMPLETA do Code Red pode se encontrada em:
http://www.eeye.com/html/advisories/codered.zip
Code Red II
Como se no bastasse, pelo fato do Code Red I no possuir uma carga diretamente prejudicial, foi
lanado na Internet uma nova verso, chamada Code Red II. Esta verso possui o bug corrigido, de forma
que seu algoritmo usado para gerar endereos de rede funcione corretamente.
Alm de gerar endereos de rede com maior eficincia, desta vez, trouxe uma carga extremamente
prejudicial.
Ao ser infectado pelo verme em sua mais nova verso, o servidor ter a raiz de cada partio
(unidades de disco) vlidas adicionadas estrutura de diretrios do servidor web. Isso faz com que qualquer
arquivo em todo o servidor se torne disponvel a Internet, atravs de um browser.
O verme tambm copia, para dentro do dietrio /scripts do servidor web, uma cpia do arquivo
cmd.exe. Este arquivo, no Windows NT 4.0 / 2000, o prompt de comando. Com o comando certo enviado
atravs de uma URL, para o servidor infectado, e com a ajuda do cmd.exe, possvel executar QUALQUER
comando no mesmo, at mesmo criar um usurio, e adicion-lo ao grupo de administradores.
Ele tambm cria um novo explorer.exe, na raiz do drive C:, que executado quando algum efetua
logon na console do servidor. Atravs dele que o Code Red II realiza a maioria de suas tarefas, como descrito
acima.
Nimda / Code Rainbow

http://www.symantec.com/avcenter/venc/data/w32.nimda.a@mm.html
O Nimda s no considerado o worm mais perigoso de todos os tempos porque utiliza uma
vulnerabilidade encontrada a quase um ano, e corrigida em 17 de outubro de 2000 (unicode traversal
vulnerability - Microsoft Bulletin MS00-078 - http://www.microsoft.com/technet/security/bulletin/ms00078.asp).
O Nimda to perigoso porque alia s funes de um worm, trs formas de contgio, uma delas
normalmente encontrada em vrus hoje em dia: contaminao atravs de mensagens de correio eletrnico.
Para os trs modos que o nimda pode infectar o sistema, em todas as trs, ele usa falhas de
segurana encontradas e consertadas a bastante tempo. De qualquer forma, muito comum encontrarmos
usurios e administradores de sistema que simplesmente no fazem seu dever de casa, atualizando seus
computadores e servidores.
Ele infecta sistemas de forma quase idntica ao Code Red - atravs de uma falha do servidor web IIS
- Internet Information Server - apesar de no ser exatamente a mesma. Ele compartilha a partio que
contm os arquivos de dados do servidor web, habilita a conta de "guest", e a coloca dentro do grupo de
administradores (isso no Windows NT 4.0 / 2000).
Da mesma forma que o Code Red II, sistemas servidores infectados com o Nimda devem ser
formatados e reinstalados, devido ao comprometimento de uma conta de administrador ou equivalente. O que
mais impressiona neste worm o fato de que ele tambm infecta atravs de mensagens de correio, e na visita
de pginas infectadas (servidores web infectados pelo Nimda exibiro pginas que tambm contaminaro
computadores que as visualizar - desde que no estejam atualizados).
Concluses
Apesar do Internet Worm original, que aparentemente no foi colocado na Internet com a inteno de
prejudicar computadores conectados rede, os worms de hoje em dia so bem mais perigosos. Perceba que
estes exploram falhas de segurana presentes em sistemas operacionais, j corrigidas a pelo menos um ms
do incio do contgio, o que levanta uma questo alarmante: administradores de sistema no esto cumprindo
com suas tarefas bsicas, como atualizao / instalao de patches.
Tambm podemos concluir que daqui pra frente, com o aumento do poder computacional, iremos
presenciar uma onda de worms e vrus cada vez mais sofisticados. Quase 100% dos vrus hoje em dia utilizam
alguma funcionalidade de rede, seja para sua propagao, ou como sua funcionalidade principal.
E pensar que tudo isso poderia ter sido evitado apenas se os sistemas estivessem atualizados. Estudos
comprovam que o Code Red I infectou cerca de 250.000 servidores pelo mundo, em apenas 9 horas, no dia
19 de julho de 2001. O Code Red II, que utiliza a mesma falha do Code Red I, ainda conseguiu atingir mais de
100.000 servidores. A anlise dos worms indica que o Code Red II infectou TODOS os sistemas vulnerveis
em menos de 48 horas. Alm das falhas de segurana j explicadas, o Code Red foi responsvel pelo aumento
de cerca de 300% do trfego na Internet, deixando toda a rede cerca de 3 vezes mais lenta; ou seja, afetando
a todos, mesmo aqueles que no estavam vulnerveis ao ataque direto.
Outra lio que pode ser tirada destes acontecimentos recentes: como eles infectam servidores web, e
realizam esta tarefa enviado comandos diretamente para qualquer servidor que encontrarem randomicamente,
tambm foram responsveis por tirar do ar equipamentos de rede que possuem servidores web embutidos, de
diversos fabricantes, simplesmente porque estes componentes no possuam uma checagem correta de
buffers de entrada. Com isso, at equipamentos de rede como switches e roteadores foram afetados.
Para se proteger de worms e vrus no futuro, a melhor forma manter o sistema atualizado, e com
um bom antivrus instalado. Estas medidas teriam transformado estes worms em absolutamente... nada.
Apesar destes worms terem cargas potencialmente nocivas, e terem como seu objetivo principal
explorar uma vulnerabilidade em um software servidor, causaram o efeito colateral de elevar em at 300% o
trfego na Internet. Vrios computadores e equipamentos de rede foram tirados do ar devido ao trfego
causado pelos worms. Mesmo no tendo sido considerados ataques DDoS com uma natureza direcionada,
acarretaram este efeito indiretamente. Este, por sinal, o saldo mais perigoso e comentado sobre a ao dos
mesmos.
IP Spoofing
http://www.fc.net/phrack/files/p48/p48-14.html
http://www.pcwebopedia.com/TERM/I/IP_spoofing.html
A tcnica de spoofing possui uma lgica bastante simples. Muitos servios antigos que so executados
em hosts UNIX dependem de uma relao de confiana, baseada no endereo de rede de um determinado
host. Digamos que um servio determinado, s aceite comandos ou conexes de um computador que esteja
em um determinado endereo IP pr-configurado. A tcnica de spoofing consiste em personificar este
computador na qual a vtima confia. Basicamente, precisa-se ter o endereo IP da vtima, o endereo IP do
computador confiado, ter algum modo de tirar o computador confiado do ar, saber como quebrar o
nmero de sequncia TCP da vtima. Teoricamente, quaquer servio que tenha sua segurana dependente
apenas da confirmao de um endereo origem de rede, vulnervel a este tipo de ataque. uma tcnica
bastante apurada, e que requer geralmente uma certa dedicao. Nos anexos, a tcnica e descrita em
detalhes em um timo whitepaper.
Para maiores detalhes sobre como proteger uma rede de IP Spoofing, veja o captulo Ferramentas /
Personal Firewalls, que possui maiores detalhes sobre como implementar segurana com filtragem de pacotes.
DNS (Name Server) Spoofing / Poisoning

Como vimos anteriormente, o servio de DNS adiciona uma nova camada de identificao para rede.
As conexes so feitas atravs de endereos IP, que fecham sockets, descritos anteriormente. Contudo, fica
praticamente impossvel hoje em dia decorar centenas de endereos IP para tentar estabelecer uma
conexo. Assim sendo, existe o servio de DNS, que de certa forma elimina esta dificuldade. Ao invs de
decorar endereos de rede, estes so associados a nomes, que obedecem a uma regra de nomenclatura bem
especfica. De acordo com este regra, podemos identificar rapidamente um servidor ou servio.
Contudo, a maioria das pessoas digita em seus programas de acesso endereos DNS ou FQDN (Fully
Qualified Domain Name). Se voc deseja acessar o site da Receita Federal, para tentar ler informaes sobre
sua declarao de imposto de renda, dificilmente digitar no browser:
http://161.148.231.100
provvel que digite:
http://www.receita.fazenda.gov.br
Ao digitar este endereo no seu browser, ele consultar o servidor DNS configurado em seu
computador e perguntar: qual o endereo IP do servidor www.receita.fazenda.gov.br ? A resposta ser:
161.148.231.100. A partir da, a conexo ser estabelecida com o endereo IP destino.
O DNS Spoofing consiste em modificar as informaes do servidor DNS de forma que a resposta seja
diferente. Assim, seu computador acessar OUTRO servidor, sem seu conhecimento.
Alm do spoofing, existe o poisoning. Todas as perguntas feitas a um servidor de DNS so
guardadas, e aquelas perguntas mais frequentes so armazenadas, e reutilizadas, evitando gerar trfego para
cada requisio (se eu j sei a resposta de uma pergunta, no preciso faz-la). O poisoning significa alterar
estas informaes de cache, ou mudar a resposta para uma determinada pergunta que o servidor DNS j
possui. Em resumo, ao perguntar para o servidor DNS qual o endereo IP do servidor
www.receita.fazenda.gov.br ?, ao invs de responder 161.148.231.100, ele responder outro endereo de
rede, provavelmente de uma mquina previamente preparada por um hacker para tal fim.
Portanto, temos dois cenrios:
1. Quando o servidor DNS a autoridade de um domnio
2. Quando o servidor DNS no a autoridade de um domnio, e resolve o IP pelo seu cache.
Nestes dois casos, o resultado o mesmo. Contudo, esta tcnica de ataque requer acesso ao servidor
DNS, de forma a modificar o arquivo que contm as informaes do domnio, ou modificar o cache do
servidor.
7. Ferramentas
Existem diversas ferramentas prontas para testar vulnerabilidades em hosts, ou redes. Estas
ferramentas podem ser classificadas basicamente em:
Portscanners
Service Fingerprinter
Sniffer
Estas ferramentas so usadas para recuperar informaes do computador remoto, ou da rede na qual
ele est. Finalmente, estas inormaes so usadas para dar a vantagem ao invasor, que, numa segunda parte
de um possvel ataque, ir listar quais falhas de segurana cada componente descoberto possui.
Estas ferramentas no tm muita utilidade sozinhas, se no forem aliadas a algumas tcnicas. Estas
tcnicas que permitem explorar as falhas que as ferramentas podem potencialmente apresentar.
Portscanners
Portscanners so a base de qualquer tentativa de invaso. Da mesma forma, so a base para qualquer
teste de vulnerabilidade que possa ser feito.
O portscan basicamente consiste em tentar estabelecer, com um determinado host, conexes TCP em
todas as portas, da 0 a 65535. Devido ao princpio de negociao de conexo do TCP, o three-way handshake,
para cada tentativa de conexo em uma porta aberta, o host que est sendo testado ir responder. Quando
isto ocorre, sabemos ento que a determinada porta est aberta.
Na maioria das implementaes de pilhas TCP, mesmo que uma determinada porta no esteja aberta,
geralmente o host responder com uma recusa de conexo. Neste caso, sabemos que o host existe, est
online, que a porta no est no ar, mas que provavelmente, no existe um firewall entre voc e o host.
Chegamos a esta concluso porque existe uma diferena entre connection refused, e
connection time out. Quando uma conexo recusada, o host envia um pacote de volta, determinando o
estado da porta (fechada). Quando existe um firewall corretamente configurado, ele simplesmente descarta o
pacote de requisio de conexo do portscanner, e o mesmo assumir que a porta est fechada por time out
(o pacote foi enviado, mas nenhuma resposta foi recebida, seja qual for).
Portanto, quando um hacker usa um portscanner e recebe connection refused como resposta, ele
sabe que potencialmente, nenhum firewall existe. Quando um firewall est presente, e corretamente
configurado, nenhum pacote de resposta ser enviado, no importa de que tipo.
Isto implica em 2 resultados: se o firewall estiver presente, o portscan demorar minutos, s vezes,
dezenas de minutos. Quando o host sendo testado responde com connection refused, o portscan demora
poucos segundos.
Mais frente, em Introduo ao Conceito de Filtragem de Pacotes, veremos que um firewall pode
simular a rejeio de um pacote, ou o descarte do mesmo.
Existem diversos portscanners disponveis na Internet. A maioria dos bons portscanners est
disponvel para a plataforma UNIX. Entretanto, existem opes interessantes para Windows, apesar de no
to poderosas (vide nmap, em Tcnicas de Invaso).
Entretanto, devido natureza de uma transferncia de dados UDP, a maioria dos scanners usam TCP.
Os que possuem a opo UDP no obtm resultado confivel, pois uma porta UDP pode estar aberta, mas no
enviar resposta caso a requisio no seja exata.
LANGuard Network Scanner
http://www.gfi.com/lanselm/lanselmdownloads.htm
O LANGuard Network Scanner uma ferramenta poderosa para Windows. Ele rene em um nico
utilitrio um service fingerprinter, e um portscanner eficiente. Basta entrar com o endereo IP inicial, e o
endereo IP final. Ele ir consultar cada um dos endereos no intervalo, e listar os servios existentes. Alm
disso, captura as informaes de cada porta.
LPS Local Port Scanner

http://www.jpsoft.dk/products.php
Apesar de ser direcionado para scanear a mquina localmente, nada impede que seja informado
qualquer endereo IP vlido. bem eficiente, e permite diversos modos de scan, como stealth, quick e full.
Enquanto no sai uma compilao decente do NMAP para Windows, o LPS faz seu trabalho, mas costuma ser
lento.
Services Fingerprinting
O service fingerprinting uma tcnica que consiste em determinar que servio est rodando em uma
determinada porta. Uma vez descoberto o servio, determinar sua verso e reviso, se possvel, e listar
tambm vulnerabilidades.
O portscanner s faz parte do trabalho. por isso que o service fingerprinting considerado uma
tcnica, e no um programa ou utilitrio (apesar de existirem programas que automatizam o processo,
deixando a coisa mais fcil).
Se formos analisar de forma prtica, veremos que o portscanner apenas detecta a presena de uma
porta aberta, mas no identifica que servio est rodando naquela porta. Um exemplo clssico disso so
servidores Web (http) ou FTP rodando em portas diferentes do padro, o que perfeitamente possvel e fcil
de se fazer, e desejvel quando se quer esconder este servio. muito comum vermos na Internet servidores
Web rodando em portas como 8000, 8080, ou 8888, diferentes da porta padro (80), ou servidores FTP
rodando em portas como 2020, 2121 ou 2021 (diferentes do padro 21).
Alm de tentar determinar o tipo de servio presente em uma determinada porta, a tcnica consiste
em identificar qual o desenvolvedor / produtor do programa que disponibiliza servio. Imagine que existem
diversos servidores Web disponveis no mercado, como Apache, Internet Information Server, Netscape
Enterprise Server, entre outros, assim como dezenas de servidores FTP, como Internet Information Server,
Serv-U, WFTPD, e etc.
Alguns dos programas usados para desenvolver esta tcnica, alm de classificarem o que est
rodando em uma determinada porta, analisam sua verso e j classificam quais so as vulnerabilidades
conhecidas do mesmo.
Todos os programas que ajudam nesta tcnica utilizam padres de resposta enviados durante uma
conexo para tentar adivinhar qual o servio que est em execuo em uma determinada porta. Portanto,
so sujeitos a falhas, e a melhor forma de analisar e utilizar a tcnica atravs de experincia, e
manualmente.
Imagine que uma das formas mais eficientes de service fingerprinting usar o telnet. Voc estabelece
uma conexo TCP com um determinado host, especificando uma porta, digita alguns comandos e descobre,
na maioria dos casos, qual o programa que est rodando.
Exemplo 1: Servidor Web.
Um simples comando como telnet endereo_ip 80, e depois, get ../.. (requisio invlida) nos
revelou MUITA coisa. Sabemos agora que o servidor roda o Internet Information Server verso 5.0 (presente
apenas em computadores Windows 2000). Descobriu-se com um comando simples, 2 informaes primordiais.
Exemplo 2: Servidor FTP.
O comando telnet endereo_ip 21 estabeleceu uma conexo com a porta 21 do servidor. Como
podemos ver na imagem, ele j se identificou como um Windows NT 5.0 (Windows 2000). Atravs dos
comandos user e pass foi efetuado login como usurio annimo. Aps o login, o comando SYST nos
devolveu novamente a verso do sistema.
E toda ferramenta que foi necessria: o telnet do Windows.
No tpico Automatizao do Estudo de vulnerabilidades Conhecidas ainda neste captulo, veremos
algumas das ferramentas bsicas para service fingerprinting.
Sniffing
O sniffing uma tcnica bastante antiga, que explora uma vulnerabilidade de qualquer rede que
possua trfego compartilhado. Mais comum e simples de realizar em redes Ethernet, consiste em programar a
interface de rede do computador para escutar todo e qualquer pacote de rede que por ela trafegue,
independente do destinatrio. Por padro, as placas de rede somente retiram da rede aqueles pacotes
endereados fisicamente para si. Porm, voc pode colocar a placa em modo promscuo, que far com que
ela recupere da rede qualquer pacote que passar por ela. Assim, voc poder observar qualquer pacote que
trafegue na rede.
Muitos servios TCPIP antigos no utilizam criptografia para trocar senhas, transmitindo na rede
informaes de autenticao em modo texto, simples. Atravs de um software de sniffering, voc pode
observar todo o trfego e eventualmente capturar usurios e senhas vlidas para determinados servios, como
HTTP (Web), FTP (transferncia de arquivos), TELNET (emulao de terminal, ou terminal remoto) e POP3
(leitura de correio eletrnico).
Alguns sistemas operacionais j vem equipados com sniffers. o caso do Windows NT Server /
Windows 2000 Server, e do Linux.
Entretanto,
existem
timos
sniffers para Linux (os melhores
so para sistemas UNIX, alm de
serem free ou open-source),
como
o
Ethereal
(http://www.ethereal.com/).
Para Windows, temos o Iris, da Eletronic Eye, que pago, mas possui download de teste limitado por tempo
(http://www.eeye.com/html/Products/Iris/index.html).
Automatizao do Estudo
de Vulnerabilidades Conhecidas
Como j foi explorado anteriormente, existem diversas ferramentas que automatizam a busca por
vulnerabilidades. Estas ferramentas procedem da seguinte forma:
1. Realizam um portscan no host;
2. Identificam o sistema operacional;
3. Internamente, em seu banco de dados prprio, listam quais as vulnerabilidades conhecidas deste
sistema operacional, e dos servios detectados;
4. Testam as vulnerabilidades conhecidas, e listam as que obtiveram sucesso.
Os melhores programas com tais caractersticas geralmente so pagos, e custam caro. Eles
incorporam as funcionalidades acima, e, alm disso, fazem a atualizao do banco de dados de
vulnerabilidades frequentemente, atravs da Internet. Assim, sempre estaro testando por falhas que so
atuais.
eEye Retina
http://www.eeye.com/html/Products/Retina/index.html
O Retina uma das ferramentas mais fantsticas disponveis, para anlise automatizada de
segurana. Alm de realizar os passos descritos acima, mostra, para cada vulnerabilidade encontrada, caso
seja problema de bug ou furo no programa, o link para o site do fornecedor, contendo a correo. Caso seja
um problema de configurao, mostrar onde obter a soluo.
Infelizmente, a poltica comercial da eEye bastante agressiva. Alm dos preos serem bastante altos,
cobrado at o servio de atualizao. Entretanto, o site dispe de verses de demonstrao para download,
com timebomb de 15 dias, o que j mais do que o suficiente para se ter uma idia de como o programa
funciona.
Typhon
CIS (Cerberus Internet Scanner)
(http://www.nextgenss.com/)
(http://www.cerberus-infosec.co.uk/cis.shtml)
O Typhon j foi abordado em tcnicas de invaso.

Contudo, podemos dar uma olhada no que ele capaz.
Ele possui mdulos para testar cada um dos servios ao
lado. O mais interessante que ele tambm funciona contra hosts
UNIX, pois possui mdulos para esta plataforma, tornando-o uma
ferramenta valiosa, e sem custo algum.
Depois de realizar o teste no endereo de rede selecionado, o programa montar uma pgina com
todos os detalhes do teste, e o que foi encontrado, como segue:
O Typhon um programa pequeno e de grande ajuda na hora de realizar testes de vulnerabilidade.

Contudo, importante notar que, para um teste ter informaes reais, e teis, deve ser realizado de uma rede
externa, e a partir de um computador que no possua nenhuma relao de confiana com o host a ser
examinado, como usurio, senha, ou permisso no firewall. Caso esta observao no seja atendida, o teste
no ter validade.
Essential Net Tools

(http://www.tamos.com/)
Talvez o programa mais difundido entre os hackers wannabe, pois torna a pesquisa de hosts
vunlerveis, e o acesso a esses hosts, MUITO fcil. Entretanto, voltado para apenas uma funcionalidade de
rede, o NetBIOS / SMB (Server Message Block), que a base de uma rede Microsoft, o que inclui todo e
qualquer programa que seja compatvel, como Samba (para UNIX).
Essa
ferramenta,
como
outras
do
gnero
(como
o
rhino9
legion
http://www.dsinet.org/tools/mirrors/rhino9/), no explora uma falha de segurana no software da Microsoft,
ou no Samba. Por sua vez, ela tenta achar falhas de configurao. Quanto a isto, impressionante a
quantidade de computadores conectados Internet que demonstram tais falhas de configurao.
O Essential NetTools, em sua mais nova

verso, traz uma srie de utilitrios interessantes.
Ele agora incorpora um netstat em tempo real, um
NAT (Netbios Auditing Tool), ou brute force para
NetBIOS, traceroute, ping, nslookup e lista de
processos.
Apesar de ser uma ferramenta bastante
simples, ele demonstra claramente como existem
computadores configurados de forma errada
conectados Internet. Isto, aliado ao fato de que
tais ferramentas so fceis de achar e usar,
estabelecem um quadro bastante inseguro.
Neotrace
http://www.neotrace.com
O Neotrace um timo programa que permite, dado um endereo IP, traar em um mapa mundi a
rota que o pacote de dados percorre de seu computador at o destino. um excelente recurso para descobrir
a localizao geogrfica de potencial invasor, por exemplo.
Alm de traar a rota, ele identifica todas as redes as quais os endereos dos roteadores no meio do
caminho pertencem.
Finalmente, importante observar que nenhuma dessas ferramentas substitui a real experincia de
um profissional qualificado.
Personal Firewalls
Introduo ao Conceito de Filtragem de Pacotes
Ao contrrio do que muitos acham, um firewall no um componente de software ou hardware (ou os
dois). Um firewall um conceito, uma srie de regras, que devem ser implementadas, para que ao final, se
consiga obter o efeito de firewalling.
Estas regras so bastante simples, contudo, imutveis.
Todo o trfego (em qualquer sentido que seja) deve passar pelo firewall
Apenas trfego autorizado, a partir da ACL (Access Control List) dever passar pelo firewall, em
qualquer dos sentidos
O firewall em si deve ser imune invaso.
(Firewalls and Internet Security: Repelling the Wily Hacker
William Cheswick / Steven Bellovin)
Apesar destes conceitos, a idia do firewall, ultimamente, tem sido bastante deturpada, infelizmente.
Hoje em dia, temos no mercado diversos produtos denominados Personal Firewalls, ou firewalls pessoais, com
a inteno de proteger o computador de ataques. Eles resumem as 3 premissas de um sistema firewall em um
nico produto, ou programa / software, que voc pode instalar em seu computador.
Estes programas funcionam de forma bastante simples. Eles utilizam a forma universal de filtragem de
pacotes para determinar se um determinado pacote de dados pode ou no passar. A nvel lgico, eles ficam
entre a interface de rede e o sistema operacional, atuando antes que o mesmo possa processar o dado.
Padro universal de filtragem de pacotes

Todo e qualquer componente de filtragem de pacotes, em qualquer esquema de firewall, seja via
software ou hardware, utiliza o seguinte padro:
Funo
Valor
Pol.
Aceitar (accept), Rejeitar (reject), Descartar (deny) pacote
Funo / Sentido
Entrada (inbound), Sada (outbound), Repassagem (forward)
Interface
Designao da interface, A qual a regra ser aplicada
Proto
TCP, UDP, ICMP
Nmero
Nmero da regra ou identificador
Origem
IP Origem
Destino
IP Destino
Opes
Opes de filtragem, como SYN, ACK, regra reversa, regra de escluso
Logging
Habilitar ou no opes de logging
A seguir, vemos um esquema simples de firewall:
Firewalls: Filtragem
I
n
t
e
r
n
e
t
Rede Segura
Invasor
Permitido
Firewall
Invasor
Existem outros modelos lgicos para uso com firewalls. O modelo mais eficiente o de zona
desmilitarizada. Nele, servidores e computadores crticos so protegidos tanto da rede interna quanto da rede
externa.
Veja:
Screened Zone / DMZ

(Demilitarized Zone)
R
e
d
e
I
n
s
e
g
u
r
a
Zona Desmilitarizada
Firewall
Firewall
Sub-rede
limitada
Gateway
Internet
Servers
R
e
d
e
S
e
g
u
r
a
Componentes de filtragem de um firewall sempre usaro as funes acima. Entretanto, os personal
firewalls associam tais funes aplicao que est tentando acessar a rede, ou que est tentando colocar
algum componente servidor no ar.
Portanto, os personal firewalls exibiro alertas baseados na utilizao dos programas. Digamos por
exemplo, que voc acabou de instalar um personal firewall e, pela primeira vez, ir usar o correio eletrnico.
Ao abrir o programa de correio, quando ele tentar acessar os servidores remotos para enviar ou receber
mensagens, voc recber um alerta do personal firewall, identificando o programa, e qual a funo que ele
deseja realizar.
Esta a parte mais importante para a correta configurao do mesmo.
Devemos sempre ficar alerta para programas que no conhecemos, que tentem acessar a rede.
Nestes casos, podemos de forma fcil identificar um cavalo de tria, por exemplo.
Veja:
No caso ao lado, o personal firewall detectou

que a aplicao Microsoft Telnet Client est tentando
acessar a Internet. Ele est tentando acesar o
endereo IP 200.29.213.250, porta destino 8008.
Podemos tambm perceber ao lado que temos
a opo de permitir ou no o acesso, bem como
gravar nossa deciso para o futuro.
ZoneLabs ZoneAlarm
http://www.zonealarm.com
Definitivamente, o ZoneAlarm o personal firewall para a plataforma

Windows mais usado hoje em dia. Seu sucesso devido ao fato de que ele
torna um tipo de configurao potencialmente complicado, em algo
relativamente fcil.
Ele separa a rede em duas reas. As redes internas, tratadas como
local, e a Internet, que qualquer endereo que no esteja na rea local.
Assim, voc pode ter duas configuraes distintas, uma para cada rea.
Infelizmente, o ZoneAlarm no permite a definio de regras
complexas.
Tiny Pesonal Firewall
http://www.tinysoftware.com/home/tiny?s=3782371648935103301A3&pg=download
O TPF to eficiente quando o ZoneAlarm. Contudo, possui alguns recursos bem mais avanados. Ele
permite a definio de regras, baseadas nas definies padro (vide tabela). Alm disso, permite tambm
gerencia remota.
O TPF uma tima opo para

quem se sente j confortvel com regras e
filtragem de pacotes. Entretanto, bem
mais fcil cometer um engano com ele do
que com o zonealarm.
Antivrus
Existem inmeros antivrus no mercado. Entretanto, a grande maioria paga, para a plataforma
Windows. difcil achar algum que seja gratuito. Um exemplo o AVG, da Grisoft, que pode ser baixado de
http://www.grisoft.com.
Basicamente, hoje em dia todos os programas antivrus permitem trs tipos de funcionalidades.
Proteo em tempo real (impede a armazenagem ou execuo de arquivo infectado), proteo via email
(checa automaticamente todas as mensagens e limpa ou apaga vrus anexos) e a pesquisa de arquivos. Como
atualmente a grande maioria dos vrus so espalhados via email, um bom antivrus que tenha integrao com
seu programa de emails essencial.
8. Seu Computador Foi Invadido ?

A primeira reao natural desligar o computador imediatamente. Contudo, apesar de parecer ser
algo lgico para um usurio final, em uma empresa definitivamente no a melhor abordagem.
O Que Fazer ?
Usurio final
O usurio ter muita dificuldade de detectar que foi invadido. A no ser que o hacker deixe sua
assinatura dentro do computador, o tpico usurio na grande maioria das vezes sequer saber que algum
mexeu em seus arquivos, a no ser que possua algum utilitrio para detectar uma invaso. Em todo caso, se
isto for verdade, o usurio acabou de provar que o programa no funciona (...).
A primeira coisa que deve ser feita instalar um bom antivrus e execut-lo fazendo uma varredura
em todo o sistema. Isso eliminar a possibilidade de cavalos-de-tria. Caso no ache nada, ento muito
provvel que, se o seu computador for Windows, ele foi invadido pelo compartilhamento de arquivos e
impressoras para redes Microsoft, ou por algum servio que esteja sendo executado, como FTP ou HTTP.
Usurio Corporativo
Neste caso, o administrador da rede deve ser notificado IMEDIATAMENTE. NO DESLIGUE, ou
desconecte o computador! Parte da anlise que ser feita depende inteiramente do fato de que o hacker ainda
no sabe que foi descoberto. Simplesmente chame o administrador. Ele tomar alguma abordagem. Perceba
que, do ponto de vista de um invasor, desconectar o computador da rede praticamente a mesma coisa do
que deslig-lo.
Precaues
Jamais fale com estranhos na rua, ou aceite qualquer coisa de um estranho.
Mais uma vez, lembre-se que segurana um hbito. Se seguir os procedimentos relacionados aqui,
dificilmente algum invadir seu computador. Contudo, mesmo que voc siga estes procedimentos, lembre-se
tambm da segurana local. No adianta tomar nenhuma precauo e deixar algum mexer no seu
computador inadvertidamente, ou sem acompanhamento. Da mesma forma, jamais use um computador
compartilhado para digitar senhas ou informaes sensveis, MESMO QUE lhe dem todas as seguranas
possveis e imaginveis.
Anlise Forense
Assim como em qualquer estudo criminalstico, o estudo srio da criminalidade envolvendo informtica
tambm tem seu ramo de anlise forense. Contudo, pela prpria informalidade do ambiente de informtica
nas empresas, e pela ausncia de um corpo de estudo criminalstico na polcia, o assunto tratado como
conto de fadas.
Grandes empresas que possuam uma infra-estrutura de TI proporcional tero provavelmente sua
prpria equipe de TI de segurana, e, consequentemente, de anlise forense. Estudos mostram que a maioria
dos ataques parte de dentro da empresa. Levando isso em considerao, faz-se necessria a presena de uma
equipe que estude casos como por exemplo, proliferao de vrus. Porm, o objetivo principal da anlise a
investigao de uma falha, com a inteno de colher evidncias, que ajudem no processo de
responsabilizao, bem como no reparo dos danos e da prpria falha.
O trabalho do investigador forense baseado em provas digitais, dados armazenados em sistemas de
informtica. A caracterstica destes dados sua volatibilidade. Dados podem ser alterados com muita
facilidade, estragando uma prova crucial, ou incriminando quem no tem nada a ver com a histria.
O especialista em segurana deve:
Colocar na mesma rede do computador / sistema comprometido um outro computador, geralmente

um notebook, e analisar o trfego
Desconectar o computador da rede
Analisar cada processo que o computador possui no ar
Tentar recuperar cada log possvel, retir-lo do computador e guard-lo em um local seguro
S ento o computador poder ser desligado.
8. Comrcio Eletrnico
Tecnicamente falando, a tecnologia envolvida com comrcio eletrnico relativamente segura.
Contudo, a segurana ao se realizar uma transao bancria, por exemplo, depende de diversos fatores, no
s da tecnologia ou da segurana que a instituio financeira possui.
Anlise de Vulnerabilidades
Existem diversos pontos que so vulnerveis no comrcio eletrnico. A tpica conexo do usurio, at
seu banco, no caso de home banking pela Internet, se parece com o seguinte diagrama:
http://home.netscape
.com/eng/ssl3/3--SPEC.HTM
http://home.netscape.com/eng/ssl3/3
http://www.setco
.org/
http://www.setco.org/
Comrcio Eletrnico
Vulnerabilidade:
Baixa
Mdia
Alta
Usurio
Internet
Provedor
Servidor de
Comrcio
No diagrama acima, vemos claramente que o maior risco de segurana est no computador do prprio
usurio. Se este estiver infectado com um cavalo-de-tria como o BO, todas as suas senhas, transaes
financeiras, enfim, tudo que estiver sendo digitado no teclado pode ser capturado para um arquivo e acessado
por um suposto hacker.
Muitos autores de segurana iro discutir o quo seguras so as solues para comrcio eletrnico.
Realmente, a grande maioria das solues tcnicas excelente. Contudo, o usurio leigo no possui o
conceito ou conhecimento para separar at onde vai a tecnologia de seu computador, e onde se inicia a
tecnologia da companhia telefnica ou do provedor de acesso, ou at mesmo da instituio financeira ou loja
virtual que se est acessando. O usurio leigo enxerga todos estes elementos como um nico servio. Assim
sendo, ele no tomar as precaues necessrias com a segurana de seu computador, muitas vezes porque o
servio de comrcio eletrnico lhe disse que o sistema era to seguro que chegava a ser prova de falhas.
Hackers que desejem obter tais informaes SEMPRE exploraro as FALHAS dos sistemas. Nunca iro de
encontro com uma barreia praticamente intransponvel: atacaro sempre o ponto mais frgil, mais vulnervel,
aquele elo que pode ser corrompido. Neste caso, fcil at demais: o computador do usurio.
A grande maioria dos sites de comrcio eletrnico usam trs tecnologias (saparadas ou em conjunto,
na maioria das vezes). So elas:
1. SSL (Secure Sockets Layer)
2. SET (Secure Eletronic Transactions)
3. Shopping Carts
O SSL um padro de criptografia desenvolvido pela Netscape, para criar um tnel seguro, onde
todas as informaes entre o browser do usurio e o site da loja ou instituio financeira so trocadas de
forma criptografada. Acessar e quebrar as informaes durante o trfego praticamente impossvel. Contudo,
estudos comprovam ser possvel realizar tal faanha.
http://developer.netscape.com/docs/manuals/security/sslin/contents.htm
O padro SET (Secure Eletronic Transactions) foi criado por administradoras de carto de crdito, com
a inteno de instituir um mtodo capaz de impedir fraudes relativas a transaes financeiras (geralmente
compras atravs da Internet). A filosofia do sistema bem simples: ao se comprar um produto numa loja
virtual, voc seleciona o(s) produto(s), e, na hora de efetuar o pagamento, atravs do SET, a cobrana
enviada diretamente do seu computador para a instituio financeira (digamos, a administradora do seu
carto de crdito). Assim, suas informaes pessoais como o nmero do seu carto NO so enviadas para a
loja, e sim para administradora. A loja apenas recebe a confirmao do dbito. Desta forma, mesmo que o site
da loja seja atacado e suas informaes sejam expostas, elas no conteriam em tese seu cadastro.
Recentemente tivemos a invaso de uma grande loja de venda de CDs pela Internet, a CD Universe. Milhares
de nmeros de cartes de crdito foram comprometidos, o que forou a empresa a entrar em um acordo com
a administradora e emitir novos cartes para todos aqueles expostos. Um gasto de milhares de dlares, sem
contar com o dano causado a imagem da empresa.
Os shopping carts so pequenos programas usados nos sites de comrcio eletrnico que acompanham
as pginas que voc visitou recentemente no site, assim como que itens escolheu ultimamente, e que itens
esto na sua relao de compra. A grande maioria deles utiliza cookies, pequenos textos que so trocados
entre o seu browser e o site, para armazenar tais informaes. Em sites que no possuem SET, ou que
trabalham com programas de shopping carts de baixa qualidade / vulnerveis, eles podem gravar em cookies
suas informaes pessoais, sem criptografia, ou com criptografia fraca. Assim, qualquer um que tenha acesso
ao seu computador localmente ter potencialmente acesso a tais arquivos. Algumas vezes, at senhas e
nmeros de cartes de crdito podem ser gravados em cookies. Como regra bsica, no efetue transaes de
comrcio eletrnico em computadores compartilhados. Mesmo assim, certifique-se que sua mquina est livre
de cavalos-de-tria antes de prosseguir.
O Qu Pode dar Errado

Alguns pontos podem dar errado em uma transao de comrcio eletrnico. O primeiro deles o
computador do usurio possuir um cavalo-de-tria instalado. O segundo ponto o site em que se est
realizando a transao no possuir criptografia SSL (a chave ou cadeado no canto inferior direito do browser,
ou a URL no ser iniciada por https://). O terceiro ponto o site comercial no fazer uso da tecnologia SET e
armazenar nmeros de cartes de crdito, assim como seu cadastro. Caso o site seja invadido, o ser
provavelmente porque os hackers buscavam tais informaes.
9. Como Prevenir
Assim como a segurana boa parte uma questo de hbito, a preveno tambm. Existem vrias
formas de prevenir o comprometimento das informaes, com pequenas alteraes em programas, sem
nenhum custo. Alm disso, existem na Internet diversos utilitrios que nos ajudam a manter seguros nossos
sistemas, muitos deles sem custo algum.
Senhas
A primeira instncia de segurana em qualquer sistema sua senha. Escolha senhas difceis. Uma
seha difcil aquela com no mnio 12 caracteres, sem sentido, incluindo letras, nmeros e caracteres
especiais, como !, @, #, $, e etc.
Correio Eletrnico
Como diz o ditado: a curiosidade para o mal geralmente possui consequncias malficas, tenha por
hbito no abrir documentos ou programas anexos em mensagens de correio eletrnico. De forma anloga,
evite baixar programas ou receb-los atravs do ICQ por exemplo, sem saber sua procedncia.
Antivrus
Tenha um antivrus instalado, mantenha-o sempre atualizado (pelo menos a cada 15 dias). Os
antivrus atuais detectam cavalos-de-tria, o que quase que elimina a possibilidade de algum tentar invadir
seu computador atravs de um, desde que devidamente atualizado
Como Configurar Corretamente o Meu Acesso

Como discutido anteriormente, a maioria dos usurios da Internet no configura corretamente seus
computadores. Alm disso, o sistema operacional na maioria das vezes o Windows 9x, que no possui
nenhuma preteno de ser seguro. Contudo, vimos que mesmo em sistemas operacionais que provm
ferramentas para torn-lo seguro, algumas medidas so necessrias, como discutido no mdulo Sistema
Operacional.
A principal checagem ver se o componente Compartilhamento de arquivos e impressoras para redes
Microsoft est instalado. Se for um computador com APENAS acesso a Internet, que no participe de
nenhuma rede, este componente pode ser removido. No caso do Windows NT / 2000, da mesma forma, o
Server Service pode ser parado caso o computador no participe de nenhuma rede.
Informao o Melhor Remdio (Full Disclosure)

Muitos programas, sistemas operacionais e at sistemas de informao baseiam sua segurana na
ausncia de informaes. Seria mais ou menos como dizer que sua casa est segura porque no existe
nenhum ladro que conhea seu endereo, e no porque a fechadura da porta da frente eficaz. No mundo
da informtica, seria o equivalente a alegar que um produto, software ou sistema operacional seguro porque
ningum sabe como ele funciona, e no porque ele realmente possui qualidades de segurana. Boa parte da
comunidade de especialistas hoje em dia segue pelo caminho do full disclosure, ou conhecimento aberto
para todos. Isso implica em um aumento da segurana em ordens de grandeza, mas tambm, no nmero de
ameaas, afinal, da mesma forma que os especialistas em segurana tero acesso s informaes, os hackers
tambm tero. Contudo, agindo assim a comunidade ter muito mais recursos para resolver qualquer
problema no menor tempo possvel. Alm disso, a comunidade exercer maior presso nas empresas para que
consertem os problemas em tempo recorde.
Informao Moderada o Melhor Remdio ?

(Responsible Disclosure)
Hoje em dia, comum ver o comportamento de informao moderada nas principais listas de
discusso sobre segurana. Ao contrrio da filosofia de liberar qualquer informao, potencialmente danosa,
ou no, apenas avisos de vulnerabilidades so publicados, mas NO os exploits, ou cdigo que permita
explorar uma falha.
Querendo ou no, este tipo de abordagem diminui ou retarda a disseminao de ataques. Contudo,
no previne. A nica forma ainda continua sendo a informao: se manter atualizado, informado diretamente
dos canais de divulgao, sobre vulnerabilidades e suas correes.
Firewall (Incluindo Personal Firewall)

Como o nome sugere (do ingls, parede ou porta corta fogo), os firewalls so esquemas de
hardware, software, ou os dois juntos, capazes de, baseados em caractersticas do trfego, permitir ou no a
passagem deste trfego. Basicamente, o firewall analisa informaes como endereo de origem, endereo de
destino, transporte, protocolo, e servio ou porta. Para cada pacote que passar pelo firewall, ele consultar
uma ACL (Access Control List, ou lista de controle de acessos), que uma espcie de tabela de regras, que
contm informaes sobre que tipo de pacote pode ou no passar. Baseado nesta informao rejeita ou
repassa o dado. Contudo, ao contrrio do que muitos pensam, um firewall no apenas UM produto, seja
hardware ou software. O firewall um CONJUNTO de componentes, geralmente compostos por hardware e
software.
Para maiores detalhes sobre firewalls, veja o captulo sobre Personal Firewalls.
IDS (Intrusion Detection Systems)

Os IDS so sistemas avanados capazes de detectar, em tempo real, quando um ataque est sendo
realizado e, baseado nas caractersticas do ataque, alterar sua configurao ou remodel-la de acordo com as
necessidades, e at avisar o administrador do ambiente sobre o ataque. Sistemas de IDS so geralmente
caros, e exigem certas modificaes na rede. Na maioria das vezes est acoplado a um sistema de firewall, ou
possui este embutido.
Os IDS so sistemas descentralizados, com a filosofia de agentes e servidores. Componentes
instalados nos equipamentos, estaes de trabalho e / ou servidores, monitoram as atividades da rede, e
reportam a um servidor. Este servidor, obedecendo a uma srie de regras de comportamento, toma a atitude
designada para cada tipo de ocorrncia.
Existem tambm computadores ou agentes autnomos, que possuem a nica funo de analisar todo
o trfego da rede e submeter os resultados para o servidor central. Estes agentes funcionam porque numa
rede ethernet (apdro usado em 98% das redes locais) todo o trfeog compartilhado. Portanto, este agente
ter sua interface de rede em modo promscuo, apenas para capturar todo o trfego, ou sniffar a rede, a
procura de algum padro suspeito.
Para maiores informaes, existe um timo documento sobre IDS que pode ser acessado em:
http://www.sans.org/newlook/resources/IDFAQ/ID_FAQ.htm
-- x --
Trust no one. Be afraid, be very afraid.
Anexos
Lista de Portas TCP/UDP Usadas

Por Cavalos-de-Tria e Programas
Afins
Lista atualizada em 17/03/2000. Listas atualizadas podem ser encontradas em:
http://www.simovits.com/nyheter9902.html
-port 2 - Death
port 21 - Back Construction, Blade Runner, Doly Trojan, Fore, FTP
trojan, Invisible FTP, Larva, Net Administrator, Senna
Spy FTP Server, WebEx, WinCrash
port 23 - Tiny Telnet Server, Truva Atl
port 25 - Ajan, Antigen, Email Password Sender, Haebu Coceda (Naebi),
Happy 99, Kuang2, NewApt, ProMail trojan, Shtrilitz,
Stealth, Tapiras, Terminator, WinPC, WinSpy
port 31 - Agent 31, Hackers Paradise, Masters Paradise
port 41 - DeepThroat
port 48 - DRAT
port 50 - DRAT
port 59 - DMSetup
port 79 - Firehotcker
port 80 - Executor, Hooker, RingZero
port 99 - Hidden Port
port 110 - ProMail trojan
port 113 - Kazimas
port 119 - Happy 99
port 121 - JammerKillah
port 123 - Net Controller
port 146 - Infector
port 146 (UDP) - Infector
port 421 - TCP Wrappers
port 456 - Hackers Paradise
port 531 - Rasmin
port 555 - Ini-Killer, NeTAdministrator, Phase Zero, Stealth Spy
port 605 - Secret Service
port 666 - Attack FTP, Back Construction, Satanz Backdoor, ServeU,
port 777 - Aim Spy
port 911 - Dark Shadow
port 999 - DeepThroat, WinSatan
port 1000 - Der Spacher 3
port 1001 - Der Spacher 3, Silencer, WebEx
port 1010 - Doly Trojan
port 1020 - Vampire
port 1024 - NetSpy
port 1042 - Bla
port 1045 - Rasmin
port 1050 - MiniCommand
port 1080 - WinHole
port 1090 - Xtreme
port 1095 - RAT
port 1097 - RAT
port 1098 - RAT
port 1099 - RAT
port 1170 - Psyber Stream Server, Streaming Audio trojan, Voice
port 1200 (UDP - NoBackO
port 1201 (UDP - NoBackO
port 1207 - SoftWAR
port 1234 - Ultors Trojan
port 1243 - BackDoor-G, SubSeven, SubSeven Apocalypse
port 1245 - VooDoo Doll
port 1269 - Mavericks Matrix
port 1313 - NETrojan
port 1349 (UDP) - BO DLL
port 1492 - FTP99CMP
port 1509 - Psyber Streaming Server
port 1600 - Shivka-Burka
port 1807 - SpySender
port 1969 - OpC BO
port 1981 - Shockrave
port 1999 - BackDoor, TransScout
port 2000 - Der Spaeher 3, Insane Network, TransScout
port 2001 - Der Spaeher 3, TransScout, Trojan Cow
port 2002 - TransScout
port 2023 - Ripper
port 2115 - Bugs
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
2140 - Deep Throat, The Invasor

2155 - Illusion Mailer
2283 - HVL Rat5
2300 - Xplorer
2565 - Striker
2583 - WinCrash
2600 - Digital RootBeer
2716 - The Prayer
2773 - SubSeven
2801 - Phineas Phucker
3024 - WinCrash
3128 - RingZero
3129 - Masters Paradise
3150 - Deep Throat, The Invasor
3456 - Terror Trojan
3459 - Eclipse 2000
3700 - Portal of Doom
3791 - Eclypse
3801 (UDP) - Eclypse
4092 - WinCrash
4242 - Virtual Hacking Machine
4321 - BoBo
4567 - File Nail
4590 - ICQTrojan
5000 - Bubbel, Back Door Setup, Sockets de Troie
5001 - Back Door Setup, Sockets de Troie
5011 - One of the Last Trojans (OOTLT)
5031 - NetMetropolitan
5031 - NetMetropolitan
5321 - Firehotcker
5400 - Blade Runner, Back Construction
5550 - Xtcp
5512 - Illusion Mailer
5555 - ServeMe
5556 - BO Facil
5557 - BO Facil
5569 - Robo-Hack
5637 - PC Crasher
5638 - PC Crasher
5742 - WinCrash
6000 - The Thing
6272 - Secret Service
6400 - The Thing
6667 - ScheduleAgent
6669 - Host Control, Vampyre
6670 - DeepThroat
6711 - SubSeven
6712 - SubSeven
6713 - SubSeven
6771 - DeepThroat
6776 - 2000 Cracks, BackDoor-G, SubSeven
6912 - Shit Heep (not port 69123!)
6939 - Indoctrination
6969 - GateCrasher, Priority, IRC 3
6970 - GateCrasher
7000 - Remote Grab, Kazimas, SubSeven
7215 - SubSeven
7300 - NetMonitor
7301 - NetMonitor
7306 - NetMonitor
7307 - NetMonitor
7308 - NetMonitor
7789 - Back Door Setup, ICKiller
8080 - RingZero
8787 - Back Orifice 2000
8897 - HackOffice
8989 - Rcon
9400 - InCommand
9876 - Cyber Attacker
9878 - TransScout
9989 - iNi-Killer
9999 - The Prayer
10067 (UDP) - Portal of Doom
10086 - Syphillis
10101 - BrainSpy
10167 (UDP) - Portal of Doom
10520 - Acid Shivers
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
10607
10666
11000
11050
11223
12076
12223
12345
12346
12349
12361
12362
12623
12631
13000
16484
16772
16969
17300
17777
19864
20001
20034
20203
20331
21544
22222
23456
23476
23477
26274
27374
27573
29891
30029
30100
30101
30102
30303
30999
31336
31337
31337
31338
31338
31339
31666
31785
31787
31788
31789
31791
31792
32418
33333
33911
34324
34555
35555
37651
40412
40421
40422
40423
40426
47262
50505
50766
52317
53001
54283
54320
54321
54321
57341
60000
61348
61466
61603
63485
65000
65432
- Coma
(UDP) - Ambush
- Senna Spy
- Host Control
- Progenic trojan, Secret Agent
- Gjamer
- Hack99 KeyLogger
- GabanBus, NetBus, Pie Bill Gates, X-bill
- GabanBus, NetBus, X-bill
- BioNet
- Whack-a-mole
- Whack-a-mole
(UDP) - DUN Control
- WhackJob
- Senna Spy
- Mosucker
- ICQ Revenge
- Priority
- Kuang2 The Virus
- Nephron
- ICQ Revenge
- Millennium
- NetBus 2 Pro
- Chupacabra, Logged
- Bla
- GirlFriend
- Prosiak
- Evil FTP, Ugly FTP, Whack Job
- Donald Dick
- Donald Dick
(UDP) - Delta Source
- SubSeven
- SubSeven
(UDP) - The Unexplained
- AOL Trojan
- NetSphere
- NetSphere
- NetSphere
- Sockets de Troie
- Kuang2
- Bo Whack
- Baron Night, BO client, BO2, Bo Facil
(UDP) - BackFire, Back Orifice, DeepBO
- NetSpy DK
(UDP) - Back Orifice, DeepBO
- NetSpy DK
- BOWhack
- HackaTack
- HackaTack
- HackaTack
(UDP) - HackaTack
(UDP) - HackaTack
- HackaTack
- Acid Battery
- Prosiak
- Spirit 2001a
- BigGluck, TN
(UDP) - Trinoo
(UDP) - Trinoo
- YAT
- The Spy
- Agent 40421, Masters Paradise
- Masters Paradise
- Masters Paradise
- Masters Paradise
(UDP) - Delta Source
- Sockets de Troie
- Fore, Schwindler
- Acid Battery 2000
- Remote Windows Shutdown
- SubSeven
- Back Orifice 2000
- School Bus
(UDP) - Back Orifice 2000
- NetRaider
- Deep Throat
- Bunker-Hill
- Telecommando
- Bunker-Hill
- Bunker-Hill
- Devil
- The Traitor
port 65432 (UDP) - The Traitor
port 65535 - RC
---
Portas TCP/UDP Privilegiadas: 0 1024

(Well Known Port Numbers)
Keyword
------#
tcpmux
tcpmux
#
compressnet
compressnet
compressnet
compressnet
#
#
#
rje
rje
#
#
#
echo
echo
#
#
#
discard
discard
#
#
#
systat
systat
#
#
#
daytime
daytime
#
#
#
#
#
#
#
qotd
qotd
#
msp
msp
#
chargen
chargen
ftp-data
ftp-data
ftp
ftp
#
#
#
telnet
telnet
#
Decimal
------0/tcp
0/udp
1/tcp
1/udp
2/tcp
2/udp
3/tcp
3/udp
4/tcp
4/udp
5/tcp
5/udp
6/tcp
6/udp
7/tcp
7/udp
8/tcp
8/udp
9/tcp
9/udp
10/tcp
10/udp
11/tcp
11/udp
12/tcp
12/udp
13/tcp
13/udp
14/tcp
14/udp
15/tcp
15/udp
16/tcp
16/udp
17/tcp
17/udp
18/tcp
18/udp
19/tcp
19/udp
20/tcp
20/udp
21/tcp
21/udp
22/tcp
22/udp
23/tcp
23/udp
24/tcp
24/udp
#
smtp
smtp
#
#
#
nsw-fe
nsw-fe
#
#
#
msg-icp
msg-icp
#
#
#
msg-auth
25/tcp
25/udp
26/tcp
26/udp
27/tcp
27/udp
28/tcp
28/udp
29/tcp
29/udp
30/tcp
30/udp
31/tcp
Description
----------Reserved
Reserved
Jon Postel
TCP Port Service Multiplexer
TCP Port Service Multiplexer
Mark Lottor
Management Utility
Management Utility
Compression Process
Compression Process
Bernie Volz
Unassigned
Unassigned
Remote Job Entry
Remote Job Entry
Jon Postel
Unassigned
Unassigned
Echo
Echo
Jon Postel
Unassigned
Unassigned
Discard
Discard
Jon Postel
Unassigned
Unassigned
Active Users
Active Users
Jon Postel
Unassigned
Unassigned
Daytime
Daytime
Jon Postel
Unassigned
Unassigned
Unassigned [was netstat]
Unassigned
Unassigned
Unassigned
Quote of the Day
Quote of the Day
Jon Postel
Message Send Protocol
Message Send Protocol
Rina Nethaniel <---none--->
Character Generator
Character Generator
File Transfer [Default Data]
File Transfer [Default Data]
File Transfer [Control]
File Transfer [Control]
Jon Postel
Unassigned
Unassigned
Telnet
Telnet
Jon Postel
any private mail system
any private mail system
Rick Adam
Simple Mail Transfer
Simple Mail Transfer
Jon Postel
Unassigned
Unassigned
NSW User System FE
NSW User System FE
Robert Thomas
Unassigned
Unassigned
MSG ICP
MSG ICP
Robert Thomas
Unassigned
Unassigned
MSG Authentication
References
----------
msg-auth
#
#
#
dsp
dsp
#
#
#
#
#
#
time
time
#
rap
rap
#
rlp
rlp
#
#
#
graphics
graphics
nameserver
nameserver
nicname
nicname
mpm-flags
mpm-flags
mpm
mpm
mpm-snd
mpm-snd
#
ni-ftp
ni-ftp
#
auditd
auditd
#
login
login
#
re-mail-ck
re-mail-ck
#
la-maint
la-maint
#
xns-time
xns-time
#
domain
domain
#
xns-ch
xns-ch
#
isi-gl
isi-gl
xns-auth
xns-auth
#
31/udp
32/tcp
32/udp
33/tcp
33/udp
34/tcp
34/udp
35/tcp
35/udp
36/tcp
36/udp
37/tcp
37/udp
38/tcp
38/udp
39/tcp
39/udp
40/tcp
40/udp
41/tcp
41/udp
42/tcp
42/udp
43/tcp
43/udp
44/tcp
44/udp
45/tcp
45/udp
46/tcp
46/udp
47/tcp
47/udp
48/tcp
48/udp
49/tcp
49/udp
50/tcp
50/udp
51/tcp
51/udp
52/tcp
52/udp
53/tcp
53/udp
54/tcp
54/udp
55/tcp
55/udp
56/tcp
56/udp
57/tcp
57/udp
#
xns-mail
xns-mail
#
58/tcp
58/udp
59/tcp
59/udp
#
ni-mail
ni-mail
#
acas
acas
60/tcp
60/udp
61/tcp
61/udp
62/tcp
62/udp
MSG Authentication
Robert Thomas
Unassigned
Unassigned
Display Support Protocol
Display Support Protocol
Ed Cain
Unassigned
Unassigned
any private printer server
any private printer server
Jon Postel
Unassigned
Unassigned
Time
Time
Jon Postel
Route Access Protocol
Route Access Protocol
Robert Ullmann
Resource Location Protocol
Resource Location Protocol
Mike Accetta
Unassigned
Unassigned
Graphics
Graphics
Host Name Server
Host Name Server
Who Is
Who Is
MPM FLAGS Protocol
MPM FLAGS Protocol
Message Processing Module [recv]
Message Processing Module [recv]
MPM [default send]
MPM [default send]
Jon Postel
NI FTP
NI FTP
Steve Kille
Digital Audit Daemon
Digital Audit Daemon
Larry Scott
Login Host Protocol
Login Host Protocol
Pieter Ditmars
Remote Mail Checking Protocol
Remote Mail Checking Protocol
Steve Dorner
IMP Logical Address Maintenance
IMP Logical Address Maintenance
Andy Malis
XNS Time Protocol
XNS Time Protocol
Susie Armstrong
Domain Name Server
Domain Name Server
Paul Mockapetris
XNS Clearinghouse
XNS Clearinghouse
Susie Armstrong
ISI Graphics Language
ISI Graphics Language
XNS Authentication
XNS Authentication
Susie Armstrong
any private terminal access
any private terminal access
Jon Postel
XNS Mail
XNS Mail
Susie Armstrong
any private file service
any private file service
Jon Postel
Unassigned
Unassigned
NI MAIL
NI MAIL
Steve Kille
ACA Services
ACA Services
#
#
#
covia
covia
#
#
tacacs-ds
tacacs-ds
#
sql*net
sql*net
#
bootps
bootps
bootpc
bootpc
#
tftp
tftp
#
gopher
gopher
#
netrjs-1
netrjs-1
netrjs-2
netrjs-2
netrjs-3
netrjs-3
netrjs-4
netrjs-4
#
63/tcp
63/udp
64/tcp
64/udp
65/tcp
65/udp
66/tcp
66/udp
67/tcp
67/udp
68/tcp
68/udp
69/tcp
69/udp
70/tcp
70/udp
71/tcp
71/udp
72/tcp
72/udp
73/tcp
73/udp
74/tcp
74/udp
75/tcp
75/udp
#
deos
deos
#
76/tcp
76/udp
77/tcp
77/udp
#
vettcp
vettcp
#
finger
finger
#
www-http
www-http
#
hosts2-ns
hosts2-ns
#
xfer
xfer
#
mit-ml-dev
mit-ml-dev
#
ctf
ctf
#
mit-ml-dev
mit-ml-dev
#
mfcobol
mfcobol
#
78/tcp
78/udp
79/tcp
79/udp
80/tcp
80/udp
81/tcp
81/udp
82/tcp
82/udp
83/tcp
83/udp
84/tcp
84/udp
85/tcp
85/udp
86/tcp
86/udp
87/tcp
87/udp
#
kerberos
kerberos
#
su-mit-tg
su-mit-tg
#
dnsix
dnsix
#
mit-dov
mit-dov
88/tcp
88/udp
89/tcp
89/udp
90/tcp
90/udp
91/tcp
91/udp
E. Wald
Unassigned
Unassigned
Communications Integrator (CI)
Communications Integrator (CI)
"Tundra" Tim Daneliuk
TACACS-Database Service
TACACS-Database Service
Kathy Huber
Oracle SQL*NET
Oracle SQL*NET
Jack Haverty
Bootstrap Protocol Server
Bootstrap Protocol Server
Bootstrap Protocol Client
Bootstrap Protocol Client
Bill Croft
Trivial File Transfer
Trivial File Transfer
David Clark
Gopher
Gopher
Mark McCahill
Remote Job Service
Remote Job Service
Remote Job Service
Remote Job Service
Remote Job Service
Remote Job Service
Remote Job Service
Remote Job Service
Bob Braden
any private dial out service
any private dial out service
Jon Postel
Distributed External Object Store
Distributed External Object Store
Robert Ullmann
any private RJE service
any private RJE service
Jon Postel
vettcp
vettcp
Christopher Leong
Finger
Finger
David Zimmerman
World Wide Web HTTP
World Wide Web HTTP
Tim Berners-Lee
HOSTS2 Name Server
HOSTS2 Name Server
Earl Killian
XFER Utility
XFER Utility
Thomas M. Smith
MIT ML Device
MIT ML Device
David Reed <--none--->
Common Trace Facility
Common Trace Facility
Hugh Thomas
MIT ML Device
MIT ML Device
David Reed <--none--->
Micro Focus Cobol
Micro Focus Cobol
Simon Edwards <--none--->
any private terminal link
any private terminal link
Jon Postel
Kerberos
Kerberos
B. Clifford Neuman
SU/MIT Telnet Gateway
SU/MIT Telnet Gateway
Mark Crispin
DNSIX Securit Attribute Token Map
DNSIX Securit Attribute Token Map
Charles Watt
MIT Dover Spooler
MIT Dover Spooler
#
npp
npp
#
dcp
dcp
#
objcall
objcall
#
supdup
supdup
#
dixie
dixie
#
swift-rvf
swift-rvf
#
#
tacnews
tacnews
#
metagram
metagram
#
newacct
hostname
hostname
#
iso-tsap
iso-tsap
#
gppitnp
gppitnp
acr-nema
acr-nema
#
csnet-ns
csnet-ns
#
3com-tsmux
3com-tsmux
#
rtelnet
rtelnet
#
snagas
snagas
#
pop2
pop2
#
pop3
pop3
#
sunrpc
sunrpc
#
mcidas
mcidas
#
auth
auth
#
audionews
audionews
#
sftp
sftp
#
ansanotify
ansanotify
#
uucp-path
uucp-path
sqlserv
sqlserv
#
nntp
nntp
#
cfdptkt
92/tcp
92/udp
93/tcp
93/udp
94/tcp
94/udp
95/tcp
95/udp
Eliot Moss
Network Printing Protocol
Network Printing Protocol
Louis Mamakos
Device Control Protocol
Device Control Protocol
Daniel Tappan
Tivoli Object Dispatcher
Tivoli Object Dispatcher
Tom Bereiter <--none--->
SUPDUP
SUPDUP
Mark Crispin
DIXIE Protocol Specification
DIXIE Protocol Specification
96/tcp
96/udp
Tim Howes
97/tcp
Swift Remote Vitural File Protocol
97/udp
Swift Remote Vitural File Protocol
Maurice R. Turcotte
98/tcp
98/udp
99/tcp
99/udp
100/tcp
101/tcp
101/udp
102/tcp
102/udp
103/tcp
103/udp
104/tcp
104/udp
105/tcp
105/udp
106/tcp
106/udp
107/tcp
107/udp
108/tcp
108/udp
109/tcp
109/udp
110/tcp
110/udp
111/tcp
111/udp
112/tcp
112/udp
113/tcp
113/udp
114/tcp
114/udp
115/tcp
115/udp
116/tcp
116/udp
117/tcp
117/udp
118/tcp
118/udp
119/tcp
119/udp
120/tcp
TAC News
TAC News
Jon Postel
Metagram Relay
Metagram Relay
Geoff Goodfellow
[unauthorized use]
NIC Host Name Server
NIC Host Name Server
Jon Postel
ISO-TSAP
ISO-TSAP
Marshall Rose
Genesis Point-to-Point Trans Net
Genesis Point-to-Point Trans Net
ACR-NEMA Digital Imag. & Comm. 300
ACR-NEMA Digital Imag. & Comm. 300
Patrick McNamee <--none--->
Mailbox Name Nameserver
Mailbox Name Nameserver
Marvin Solomon
3COM-TSMUX
3COM-TSMUX
Jeremy Siegel
Remote Telnet Service
Remote Telnet Service
Jon Postel
SNA Gateway Access Server
SNA Gateway Access Server
Kevin Murphy
Post Office Protocol - Version 2
Joyce K. Reynolds
Marshall Rose
SUN Remote Procedure Call
SUN Remote Procedure Call
Chuck McManis
McIDAS Data Transmission Protocol
McIDAS Data Transmission Protocol
Glenn Davis
Authentication Service
Authentication Service
Mike St. Johns
Audio News Multicast
Audio News Multicast
Martin Forssen
Simple File Transfer Protocol
Simple File Transfer Protocol
Mark Lottor
ANSA REX Notify
ANSA REX Notify
Nicola J. Howarth
UUCP Path Service
UUCP Path Service
SQL Services
SQL Services
Larry Barnes
Network News Transfer Protocol
Network News Transfer Protocol
Phil Lapsley
CFDPTKT
cfdptkt
#
erpc
erpc
#
smakynet
smakynet
#
ntp
ntp
#
ansatrader
ansatrader
#
locus-map
locus-map
#
unitary
unitary
#
locus-con
locus-con
#
gss-xlicen
gss-xlicen
#
pwdgen
pwdgen
#
cisco-fna
cisco-fna
cisco-tna
cisco-tna
cisco-sys
cisco-sys
statsrv
statsrv
#
ingres-net
ingres-net
#
loc-srv
loc-srv
#
profile
profile
#
netbios-ns
netbios-ns
netbios-dgm
netbios-dgm
netbios-ssn
netbios-ssn
#
emfis-data
emfis-data
emfis-cntl
emfis-cntl
#
bl-idm
bl-idm
#
imap2
imap2
#
news
news
#
uaac
uaac
#
iso-tp0
iso-tp0
iso-ip
iso-ip
#
cronus
cronus
#
aed-512
aed-512
#
sql-net
120/udp
121/tcp
121/udp
122/tcp
122/udp
123/tcp
123/udp
124/tcp
124/udp
125/tcp
125/udp
126/tcp
126/udp
CFDPTKT
John Ioannidis
Encore Expedited Remote Pro.Call
Encore Expedited Remote Pro.Call
Jack O'Neil <---none--->
SMAKYNET
SMAKYNET
Mike O'Dowd
Network Time Protocol
Network Time Protocol
Dave Mills
ANSA REX Trader
ANSA REX Trader
Nicola J. Howarth
Locus PC-Interface Net Map Ser
Locus PC-Interface Net Map Ser
Eric Peterson
Unisys Unitary Login
Unisys Unitary Login
127/tcp
127/udp
Locus PC-Interface Conn Server

Locus PC-Interface Conn Server
Eric Peterson
128/tcp
GSS X License Verification
128/udp
GSS X License Verification
John Light
129/tcp
Password Generator Protocol
129/udp
Password Generator Protocol
Frank J. Wacho
130/tcp
cisco FNATIVE
130/udp
cisco FNATIVE
131/tcp
cisco TNATIVE
131/udp
cisco TNATIVE
132/tcp
cisco SYSMAINT
132/udp
cisco SYSMAINT
133/tcp
Statistics Service
133/udp
Statistics Service
Dave Mills
134/tcp
INGRES-NET Service
134/udp
INGRES-NET Service
Mike Berrow <---none--->
135/tcp
Location Service
135/udp
Location Service
Joe Pato
136/tcp
PROFILE Naming System
136/udp
PROFILE Naming System
Larry Peterson
137/tcp
NETBIOS Name Service
137/udp
NETBIOS Name Service
138/tcp
NETBIOS Datagram Service
138/udp
NETBIOS Datagram Service
139/tcp
NETBIOS Session Service
139/udp
NETBIOS Session Service
Jon Postel
140/tcp
EMFIS Data Service
140/udp
EMFIS Data Service
141/tcp
EMFIS Control Service
141/udp
EMFIS Control Service
Gerd Beling
142/tcp
Britton-Lee IDM
142/udp
Britton-Lee IDM
Susie Snitzer <---none--->
143/tcp
Interim Mail Access Protocol v2
143/udp
Interim Mail Access Protocol v2
Mark Crispin
144/tcp
NewS
144/udp
NewS
James Gosling
145/tcp
UAAC Protocol
145/udp
UAAC Protocol
David A. Gomberg
146/tcp
ISO-IP0
146/udp
ISO-IP0
147/tcp
ISO-IP
147/udp
ISO-IP
Marshall Rose
148/tcp
CRONUS-SUPPORT
148/udp
CRONUS-SUPPORT
Jeffrey Buffun
149/tcp
AED 512 Emulation Service
149/udp
AED 512 Emulation Service
Albert G. Broscius
150/tcp
SQL-NET
sql-net
#
hems
hems
#
bftp
bftp
#
sgmp
sgmp
#
netsc-prod
netsc-prod
netsc-dev
netsc-dev
#
sqlsrv
sqlsrv
#
knet-cmp
knet-cmp
#
pcmail-srv
pcmail-srv
#
nss-routing
nss-routing
#
sgmp-traps
sgmp-traps
#
snmp
snmp
snmptrap
snmptrap
#
cmip-man
cmip-man
cmip-agent
smip-agent
#
xns-courier
xns-courier
#
s-net
s-net
#
namp
namp
#
rsvd
rsvd
#
send
send
#
print-srv
print-srv
#
multiplex
multiplex
cl/1
cl/1
#
xyplex-mux
xyplex-mux
#
mailq
mailq
#
vmnet
vmnet
#
genrad-mux
genrad-mux
#
xdmcp
xdmcp
#
nextstep
NextStep
#
bgp
150/udp
SQL-NET
Martin Picard <<---none--->
151/tcp
HEMS
151/udp
HEMS
Christopher Tengi
152/tcp
Background File Transfer Program
152/udp
Background File Transfer Program
Annette DeSchon
153/tcp
SGMP
153/udp
SGMP
Marty Schoffstahl
154/tcp
NETSC
154/udp
NETSC
155/tcp
NETSC
155/udp
NETSC
Sergio Heker
156/tcp
SQL Service
156/udp
SQL Service
Craig Rogers
157/tcp
KNET/VM Command/Message Protocol
157/udp
KNET/VM Command/Message Protocol
Gary S. Malkin
158/tcp
PCMail Server
158/udp
PCMail Server
Mark L. Lambert
159/tcp
NSS-Routing
159/udp
NSS-Routing
Yakov Rekhter
160/tcp
SGMP-TRAPS
160/udp
SGMP-TRAPS
Marty Schoffstahl
161/tcp
SNMP
161/udp
SNMP
162/tcp
SNMPTRAP
162/udp
SNMPTRAP
Marshall Rose
163/tcp
CMIP/TCP Manager
163/udp
CMIP/TCP Manager
164/tcp
CMIP/TCP Agent
164/udp
CMIP/TCP Agent
Amatzia Ben-Artzi <---none--->
165/tcp
Xerox
165/udp
Xerox
Susie Armstrong
166/tcp
Sirius Systems
166/udp
Sirius Systems
Brian Lloyd <---none--->
167/tcp
NAMP
167/udp
NAMP
Marty Schoffstahl
168/tcp
RSVD
168/udp
RSVD
Neil Todd
169/tcp
SEND
169/udp
SEND
William D. Wisner
170/tcp
Network PostScript
170/udp
Network PostScript
Brian Reid
171/tcp
Network Innovations Multiplex
171/udp
Network Innovations Multiplex
172/tcp
Network Innovations CL/1
172/udp
Network Innovations CL/1
Kevin DeVault <<---none--->
173/tcp
Xyplex
173/udp
Xyplex
Bob Stewart
174/tcp
MAILQ
174/udp
MAILQ
Rayan Zachariassen
175/tcp
VMNET
175/udp
VMNET
Christopher Tengi
176/tcp
GENRAD-MUX
176/udp
GENRAD-MUX
Ron Thornton
177/tcp
X Display Manager Control Protocol
177/udp
X Display Manager Control Protocol
Robert W. Scheifler
178/tcp
NextStep Window Server
178/udp
NextStep Window Server
Leo Hourvitz
179/tcp
Border Gateway Protocol
bgp
#
ris
ris
#
unify
unify
#
audit
audit
#
ocbinder
ocbinder
ocserver
ocserver
#
remote-kis
remote-kis
kis
kis
#
aci
aci
#
mumps
mumps
#
qft
qft
#
gacp
cacp
#
prospero
prospero
#
osu-nms
osu-nms
#
srmp
srmp
#
irc
irc
#
dn6-nlm-aud
dn6-nlm-aud
dn6-smm-red
dn6-smm-red
#
dls
dls
dls-mon
dls-mon
#
smux
smux
#
src
src
#
at-rtmp
at-rtmp
at-nbp
at-nbp
at-3
at-3
at-echo
at-echo
at-5
at-5
at-zis
at-zis
at-7
at-7
at-8
at-8
#
tam
tam
#
z39.50
z39.50
179/udp
180/tcp
180/udp
181/tcp
181/udp
182/tcp
182/udp
183/tcp
183/udp
184/tcp
184/udp
185/tcp
185/udp
186/tcp
186/udp
187/tcp
187/udp
188/tcp
188/udp
189/tcp
189/udp
190/tcp
190/udp
191/tcp
191/udp
192/tcp
192/udp
Doug Karl
193/tcp
193/udp
194/tcp
194/udp
195/tcp
195/udp
196/tcp
196/udp
197/tcp
197/udp
198/tcp
198/udp
199/tcp
199/udp
200/tcp
200/udp
201/tcp
201/udp
202/tcp
202/udp
203/tcp
203/udp
204/tcp
204/udp
205/tcp
205/udp
206/tcp
206/udp
207/tcp
207/udp
208/tcp
208/udp
209/tcp
209/udp
210/tcp
210/udp
Border Gateway Protocol

Kirk Lougheed
Intergraph
Intergraph
Dave Buehmann
Unify
Unify
Vinod Singh <--none--->
Unisys Audit SITP
Unisys Audit SITP
Gil Greenbaum
OCBinder
OCBinder
OCServer
OCServer
Jerrilynn Okamura <--none--->
Remote-KIS
Remote-KIS
KIS Protocol
KIS Protocol
Ralph Droms
Application Communication Interface
Application Communication Interface
Rick Carlos
Plus Five's MUMPS
Plus Five's MUMPS
Hokey Stenn
Queued File Transport
Queued File Transport
Wayne Schroeder
Gateway Access Control Protocol
Gateway Access Control Protocol
C. Philip Wood
Prospero Directory Service
Prospero Directory Service
B. Clifford Neuman
OSU Network Monitoring System
OSU Network Monitoring System
Spider Remote Monitoring Protocol
Spider Remote Monitoring Protocol
Ted J. Socolofsky
Internet Relay Chat Protocol
Internet Relay Chat Protocol
Jarkko Oikarinen
DNSIX Network Level Module Audit
DNSIX Network Level Module Audit
DNSIX Session Mgt Module Audit Redir
DNSIX Session Mgt Module Audit Redir
Lawrence Lebahn
Directory Location Service
Directory Location Service
Directory Location Service Monitor
Directory Location Service Monitor
Scott Bellew
SMUX
SMUX
Marshall Rose
IBM System Resource Controller
IBM System Resource Controller
Gerald McBrearty <---none--->
AppleTalk Routing Maintenance
AppleTalk Routing Maintenance
AppleTalk Name Binding
AppleTalk Name Binding
AppleTalk Unused
AppleTalk Unused
AppleTalk Echo
AppleTalk Echo
AppleTalk Unused
AppleTalk Unused
AppleTalk Zone Information
AppleTalk Zone Information
AppleTalk Unused
AppleTalk Unused
AppleTalk Unused
AppleTalk Unused
Rob Chandhok
Trivial Authenticated Mail Protocol
Trivial Authenticated Mail Protocol
Dan Bernstein
ANSI Z39.50
ANSI Z39.50
#
#
914c/g
914c/g
#
anet
anet
#
ipx
ipx
#
vmpwscs
vmpwscs
#
softpc
softpc
#
atls
atls
#
dbase
dbase
#
#
mpp
mpp
#
uarps
uarps
#
imap3
imap3
#
fln-spx
fln-spx
rsh-spx
rsh-spx
cdc
cdc
#
#
#
#
#
sur-meas
sur-meas
#
#
#
link
link
dsp3270
dsp3270
#
#
#
#
pdap
pdap
#
pawserv
pawserv
zserv
zserv
fatserv
fatserv
csi-sgwp
csi-sgwp
#
clearcase
clearcase
#
ulistserv
ulistserv
#
legent-1
legent-1
legent-2
legent-2
#
hassle
hassle
#
Mark Needleman
211/tcp
211/udp
212/tcp
212/udp
213/tcp
213/udp
214/tcp
214/udp
215/tcp
215/udp
216/tcp
216/udp
217/tcp
217/udp
Texas Instruments 914C/G Terminal

Texas Instruments 914C/G Terminal
Bill Harrell <---none--->
ATEXSSTR
ATEXSSTR
Jim Taylor
IPX
IPX
Don Provan
VM PWSCS
VM PWSCS
Dan Shia
Insignia Solutions
Insignia Solutions
Martyn Thomas <---none--->
Access Technology License Server
Access Technology License Server
Larry DeLuca
dBASE Unix
dBASE Unix
Don Gibson
218/tcp
218/udp
Netix Message Posting Protocol

Netix Message Posting Protocol
Shannon Yeh
219/tcp
Unisys ARPs
219/udp
Unisys ARPs
Ashok Marwaha <---none--->
220/tcp
Interactive Mail Access Protocol v3
220/udp
Interactive Mail Access Protocol v3
James Rice
221/tcp
Berkeley rlogind with SPX auth
221/udp
Berkeley rlogind with SPX auth
222/tcp
Berkeley rshd with SPX auth
222/udp
Berkeley rshd with SPX auth
223/tcp
Certificate Distribution Center
223/udp
Certificate Distribution Center
Kannan Alagappan
224-241
Reserved
Jon Postel
242/tcp
Unassigned
242/udp
Unassigned
243/tcp
Survey Measurement
243/udp
Survey Measurement
Dave Clark
244/tcp
Unassigned
244/udp
Unassigned
245/tcp
LINK
245/udp
LINK
246/tcp
Display Systems Protocol
246/udp
Display Systems Protocol
Weldon J. Showalter
247-255
Reserved
Jon Postel
256-343
Unassigned
344/tcp
Prospero Data Access Protocol
344/udp
Prospero Data Access Protocol
B. Clifford Neuman
345/tcp
Perf Analysis Workbench
345/udp
Perf Analysis Workbench
346/tcp
Zebra server
346/udp
Zebra server
347/tcp
Fatmen Server
347/udp
Fatmen Server
348/tcp
Cabletron Management Protocol
348/udp
Cabletron Management Protocol
349-370
Unassigned
371/tcp
Clearcase
371/udp
Clearcase
Dave LeBlang
372/tcp
Unix Listserv
372/udp
Unix Listserv
Anastasios Kotsikonas
373/tcp
Legent Corporation
373/udp
Legent Corporation
374/tcp
Legent Corporation
374/udp
Legent Corporation
Keith Boyce <---none--->
375/tcp
Hassle
375/udp
Hassle
Reinhard Doelz
nip
nip
#
tnETOS
tnETOS
dsETOS
dsETOS
#
is99c
is99c
is99s
is99s
#
hp-collector
hp-collector
hp-managed-node
hp-managed-node
hp-alarm-mgr
hp-alarm-mgr
#
arns
arns
#
ibm-app
ibm-app
#
asa
asa
#
aurp
aurp
#
unidata-ldm
unidata-ldm
#
ldap
ldap
#
uis
uis
#
synotics-relay
synotics-relay
synotics-broker
synotics-broker
#
dis
dis
#
embl-ndt
embl-ndt
#
netcp
netcp
#
netware-ip
netware-ip
mptn
mptn
#
kryptolan
kryptolan
#
#
#
work-sol
work-sol
#
ups
ups
#
genie
genie
#
decap
decap
nced
nced
ncld
ncld
#
imsp
imsp
376/tcp
376/udp
377/tcp
377/udp
378/tcp
378/udp
379/tcp
379/udp
380/tcp
380/udp
381/tcp
381/udp
382/tcp
382/udp
383/tcp
383/udp
384/tcp
384/udp
385/tcp
385/tcp
386/tcp
386/udp
387/tcp
387/udp
388/tcp
388/udp
389/tcp
389/udp
390/tcp
390/udp
391/tcp
391/udp
392/tcp
392/udp
393/tcp
393/udp
394/tcp
394/udp
395/tcp
395/udp
396/tcp
396/udp
397/tcp
397/udp
398/tcp
398/udp
399/tcp
399/udp
400/tcp
400/udp
401/tcp
401/udp
402/tcp
402/udp
403/tcp
403/udp
404/tcp
404/udp
405/tcp
405/udp
406/tcp
406/udp
Amiga Envoy Network Inquiry Proto

Amiga Envoy Network Inquiry Proto
Kenneth Dyke
NEC Corporation
NEC Corporation
NEC Corporation
NEC Corporation
Tomoo Fujita
TIA/EIA/IS-99 modem client
TIA/EIA/IS-99 modem client
TIA/EIA/IS-99 modem server
TIA/EIA/IS-99 modem server
Frank Quick
hp performance data collector
hp performance data collector
hp performance data managed node
hp performance data managed node
hp performance data alarm manager
hp performance data alarm manager
Frank Blakely
A Remote Network Server System
A Remote Network Server System
David Hornsby
IBM Application
IBM Application
Lisa Tomita <---none--->
ASA Message Router Object Def.
ASA Message Router Object Def.
Steve Laitinen
Appletalk Update-Based Routing Pro.
Appletalk Update-Based Routing Pro.
Chris Ranch
Unidata LDM Version 4
Unidata LDM Version 4
Glenn Davis
Lightweight Directory Access Protocol
Lightweight Directory Access Protocol
Tim Howes
UIS
UIS
Ed Barron <---none--->
SynOptics SNMP Relay Port
SynOptics SNMP Relay Port
SynOptics Port Broker Port
SynOptics Port Broker Port
Illan Raab
Data Interpretation System
Data Interpretation System
Paul Stevens
EMBL Nucleic Data Transfer
EMBL Nucleic Data Transfer
Peter Gad
NETscout Control Protocol
NETscout Control Protocol
Anil Singhal <---none--->
Novell Netware over IP
Novell Netware over IP
Multi Protocol Trans. Net.
Multi Protocol Trans. Net.
Soumitra Sarkar
Kryptolan
Kryptolan
Peter de Laval
Unassigned
Unassigned
Workstation Solutions
Workstation Solutions
Jim Ward
Uninterruptible Power Supply
Uninterruptible Power Supply
Guenther Seybold
Genie Protocol
Genie Protocol
Mark Hankin <---none--->
decap
decap
nced
nced
ncld
ncld
Richard Jones <---none--->
Interactive Mail Support Protocol
Interactive Mail Support Protocol
#
timbuktu
timbuktu
#
prm-sm
prm-sm
prm-nm
prm-nm
#
decladebug
decladebug
#
rmt
rmt
#
synoptics-trap
synoptics-trap
#
smsp
smsp
infoseek
infoseek
#
bnet
bnet
#
silverplatter
silverplatter
#
onmux
onmux
#
hyper-g
hyper-g
#
ariel1
ariel1
#
smpte
smpte
#
ariel2
ariel2
ariel3
ariel3
#
opc-job-start
opc-job-start
opc-job-track
opc-job-track
#
icad-el
icad-el
#
smartsdp
smartsdp
#
svrloc
svrloc
#
ocs_cmu
ocs_cmu
ocs_amu
ocs_amu
#
utmpsd
utmpsd
utmpcd
utmpcd
iasd
iasd
#
nnsp
nnsp
#
mobileip-agent
mobileip-agent
mobilip-mn
mobilip-mn
#
dna-cml
dna-cml
#
407/tcp
407/udp
408/tcp
408/udp
409/tcp
409/udp
410/tcp
410/udp
411/tcp
411/udp
412/tcp
412/udp
413/tcp
413/udp
414/tcp
414/udp
415/tcp
415/udp
416/tcp
416/udp
417/tcp
417/udp
418/tcp
418/udp
419/tcp
419/udp
420/tcp
420/udp
421/tcp
421/udp
422/tcp
422/udp
423/tcp
423/udp
424/tcp
424/udp
425/tcp
425/udp
426/tcp
426/udp
427/tcp
427/udp
428/tcp
428/udp
429/tcp
429/udp
430/tcp
430/udp
431/tcp
431/udp
432/tcp
432/udp
433/tcp
433/udp
434/tcp
434/udp
435/tcp
435/udp
436/tcp
436/udp
John Myers
Timbuktu
Timbuktu
Marc Epard
Prospero Resource Manager Sys. Man.
Prospero Resource Manager Sys. Man.
Prospero Resource Manager Node Man.
Prospero Resource Manager Node Man.
B. Clifford Neuman
DECLadebug Remote Debug Protocol
DECLadebug Remote Debug Protocol
Anthony Berent
Remote MT Protocol
Remote MT Protocol
Peter Eriksson
Trap Convention Port
Trap Convention Port
Illan Raab
SMSP
SMSP
InfoSeek
InfoSeek
Steve Kirsch
BNet
BNet
Jim Mertz
Silverplatter
Silverplatter
Peter Ciuffetti
Onmux
Onmux
Stephen Hanna
Hyper-G
Hyper-G
Frank Kappe
Ariel
Ariel
Jonathan Lavigne
SMPTE
SMPTE
Si Becker <71362.22@CompuServe.COM>
Ariel
Ariel
Ariel
Ariel
Jonathan Lavigne
IBM Operations Planning and Control
Conny Larsson
ICAD
ICAD
Larry Stone
smartsdp
smartsdp
Alexander Dupuy
Server Location
Server Location
Start
Start
Track
Track
OCS_CMU
OCS_CMU
OCS_AMU
OCS_AMU
Florence Wyman
UTMPSD
UTMPSD
UTMPCD
UTMPCD
IASD
IASD
Nir Baroz
NNSP
NNSP
Rob Robertson
MobileIP-Agent
MobileIP-Agent
MobilIP-MN
MobilIP-MN
Kannan Alagappan
DNA-CML
DNA-CML
Dan Flowers
comscm
comscm
#
dsfgw
dsfgw
#
dasp
dasp
#
sgcp
sgcp
#
decvms-sysmgt
decvms-sysmgt
#
cvc_hostd
cvc_hostd
#
https
https
#
snpp
snpp
#
microsoft-ds
microsoft-ds
#
ddm-rdb
ddm-rdb
ddm-dfm
ddm-dfm
ddm-byte
ddm-byte
#
as-servermap
as-servermap
#
tserver
tserver
#
#
exec
#
#
biff
#
#
#
login
#
#
#
#
who
#
#
#
cmd
#
#
syslog
printer
printer
#
#
talk
#
#
#
#
talk
#
#
#
437/tcp
437/udp
ntalk
ntalk
utime
utime
efs
router
#
#
518/tcp
518/udp
519/tcp
519/udp
520/tcp
520/udp
438/tcp
438/udp
439/tcp
439/udp
440/tcp
440/udp
441/tcp
441/udp
442/tcp
442/udp
443/tcp
443/udp
444/tcp
444/udp
445/tcp
445/udp
446/tcp
446/udp
447/tcp
447/udp
448/tcp
448/udp
449/tcp
449/udp
450/tcp
450/udp
451-511
512/tcp
512/udp
513/tcp
513/udp
514/tcp
514/udp
515/tcp
515/udp
516/tcp
516/udp
517/tcp
517/udp
comscm
comscm
Jim Teague
dsfgw
dsfgw
Andy McKeen
dasp
Thomas Obermair
dasp
tommy@inlab.m.eunet.de
Thomas Obermair
sgcp
sgcp
Marshall Rose
decvms-sysmgt
decvms-sysmgt
Lee Barton
cvc_hostd
cvc_hostd
Bill Davidson
https MCom
https MCom
Kipp E.B. Hickman
Simple Network Paging Protocol
Simple Network Paging Protocol
[RFC1568]
Microsoft-DS
Microsoft-DS
Arnold Miller
DDM-RDB
DDM-RDB
DDM-RFM
DDM-RFM
DDM-BYTE
DDM-BYTE
Jan David Fisher
AS Server Mapper
AS Server Mapper
Barbara Foss
TServer
TServer
Harvey S. Schultz
Unassigned
remote process execution;
authentication performed using
passwords and UNIX loppgin names
used by mail system to notify users
of new mail received; currently
receives messages only from
processes on the same machine
remote login a la telnet;
automatic authentication performed
based on priviledged port numbers
and distributed data bases which
identify "authentication domains"
maintains data bases showing who's
logged in to machines on a local
net and the load average of the
machine
like exec, but automatic
authentication is performed as for
login server
spooler
spooler
Unassigned
Unassigned
like tenex link, but across
machine - unfortunately, doesn't
use link protocol (this is actually
just a rendezvous port from which a
tcp connection is established)
like tenex link, but across
machine - unfortunately, doesn't
use link protocol (this is actually
just a rendezvous port from which a
tcp connection is established)
unixtime
unixtime
extended file name server
local routing process (on site);
uses variant of Xerox NS routing
information protocol
#
timed
timed
tempo
tempo
#
courier
courier
conference
conference
netnews
netnews
netwall
netwall
#
apertus-ldp
apertus-ldp
uucp
uucp
uucp-rlogin
uucp-rlogin
#
#
klogin
klogin
kshell
kshell
#
new-rwho
new-rwho
#
dsf
dsf
remotefs
remotefs
#
rmonitor
rmonitor
monitor
monitor
chshell
chshell
#
#
9pfs
9pfs
whoami
whoami
#
meter
meter
meter
meter
#
ipcserver
ipcserver
nqs
nqs
urm
urm
#
sift-uft
sift-uft
#
npmp-trap
npmp-trap
npmp-local
npmp-local
npmp-gui
npmp-gui
#
ginad
ginad
#
mdqs
mdqs
doom
doom
#
elcsd
elcsd
521-524
525/tcp
525/udp
526/tcp
526/udp
527-529
530/tcp
530/udp
531/tcp
531/udp
532/tcp
532/udp
533/tcp
533/udp
534-538
539/tcp
539/udp
540/tcp
540/udp
541/tcp
541/udp
542/tcp
542/udp
543/tcp
543/udp
544/tcp
544/udp
545-549
550/tcp
550/udp
551-555
555/tcp
555/udp
556/tcp
556/udp
557-559
560/tcp
560/udp
561/tcp
561/udp
562/tcp
562/udp
563/tcp
563/udp
564/tcp
564/udp
565/tcp
565/udp
566-569
570/tcp
570/udp
571/tcp
571/udp
572-599
600/tcp
600/udp
607/tcp
607/udp
606/tcp
606/udp
entrustmanager
608/tcp
608/udp
609/tcp
609/udp
610/tcp
610/udp
611/tcp
611/udp
634/tcp
634/udp
Unassigned
timeserver
timeserver
newdate
newdate
Unassigned
rpc
rpc
chat
chat
readnews
readnews
for emergency broadcasts
for emergency broadcasts
Unassigned
Apertus Technologies Load Determination
Apertus Technologies Load Determination
uucpd
uucpd
uucp-rlogin Stuart Lynne
uucp-rlogin sl@wimsey.com
Unassigned
Unassigned
krcmd
krcmd
Unassigned
new-who
new-who
Unassigned
rfs server
rfs server
Unassigned
rmonitord
rmonitord
chcmd
chcmd
Unassigned
Unassigned
plan 9 file service
plan 9 file service
whoami
whoami
Unassigned
demon
demon
udemon
udemon
Unassigned
Sun IPC server
Sun IPC server
nqs
nqs
Cray Unified Resource Manager
Cray Unified Resource Manager
Bill Schiefelbein
Sender-Initiated/Unsolicited File Transfer
Sender-Initiated/Unsolicited File Transfer
Rick Troth
npmp-trap
npmp-trap
npmp-local
npmp-local
npmp-gui
npmp-gui
John Barnes
ginad
ginad
Mark Crother
666/tcp
666/udp
666/tcp
666/tcp
doom Id Software
doom Id Software
704/tcp
704/udp
errlog copy/server daemon

errlog copy/server daemon
709/tcp
EntrustManager
entrustmanager
#
netviewdm1
netviewdm1
netviewdm2
netviewdm2
netviewdm3
netviewdm3
#
netgw
netgw
netrcs
netrcs
#
flexlm
flexlm
#
#
fujitsu-dev
fujitsu-dev
ris-cm
ris-cm
kerberos-adm
kerberos-adm
rfile
loadav
pump
pump
qrh
qrh
rrh
rrh
tell
tell
nlogin
nlogin
con
con
ns
ns
rxe
rxe
quotad
quotad
cycleserv
cycleserv
omserv
omserv
webster
webster
phonebook
phonebook
vid
vid
cadlock
cadlock
rtip
rtip
cycleserv2
cycleserv2
submit
notify
rpasswd
acmaint_dbd
entomb
acmaint_transd
wpages
wpages
wpgs
wpgs
concert
concert
#
mdbs_daemon
mdbs_daemon
device
device
xtreelic
xtreelic
#
maitrd
maitrd
busboy
709/udp
729/tcp
729/udp
730/tcp
730/udp
731/tcp
731/udp
741/tcp
741/udp
742/tcp
742/udp
744/tcp
744/udp
747/tcp
747/udp
748/tcp
748/udp
749/tcp
749/udp
750/tcp
750/udp
751/tcp
751/udp
752/tcp
752/udp
753/tcp
753/udp
754/tcp
754/udp
758/tcp
758/udp
759/tcp
759/udp
760/tcp
760/udp
761/tcp
761/udp
762/tcp
762/udp
763/tcp
763/udp
764/tcp
764/udp
765/tcp
765/udp
767/tcp
767/udp
769/tcp
769/udp
770/tcp
770/udp
771/tcp
771/udp
772/tcp
772/udp
773/tcp
773/udp
774/tcp
774/udp
775/tcp
775/udp
776/tcp
776/udp
780/tcp
780/udp
786/tcp
786/udp
800/tcp
800/udp
801/tcp
801/udp
996/tcp
996/udp
EntrustManager
Peter Whittaker
IBM NetView DM/6000 Server/Client
IBM NetView DM/6000 Server/Client
IBM NetView DM/6000 send/tcp
IBM NetView DM/6000 send/tcp
IBM NetView DM/6000 receive/tcp
IBM NetView DM/6000 receive/tcp
Philippe Binet (phbinet@vnet.IBM.COM)
netGW
netGW
Network based Rev. Cont. Sys.
Network based Rev. Cont. Sys.
Gordon C. Galligher
Flexible License Manager
Flexible License Manager
Matt Christiano
Fujitsu Device Control
Fujitsu Device Control
Russell Info Sci Calendar Manager
Russell Info Sci Calendar Manager
kerberos administration
kerberos administration
send
send
phone
phone
Concert
Concert
Josyula R. Rao
Central Point Software

Central Point Software
Dale Cabell
997/tcp
997/udp
998/tcp
puparp
garcon
applix
puprouter
puprouter
cadlock
ock
998/udp
999/tcp
999/udp
999/tcp
999/udp
1000/tcp
1000/udp
1023/tcp
1024/udp
Applix ac
Reserved
Reserved
Portas TCP/UDP No Privilegiadas

(Registered Port Numbers)
Keyword
------#
blackjack
blackjack
iad1
iad1
iad2
iad2
iad3
iad3
#
instl_boots
instl_boots
instl_bootc
instl_bootc
#
socks
socks
#
nerv
nerv
#
hermes
hermes
alta-ana-lm
alta-ana-lm
bbn-mmc
bbn-mmc
bbn-mmx
bbn-mmx
sbook
sbook
editbench
editbench
#
equationbuilder
equationbuilder
#
lotusnote
lotusnote
#
relief
relief
#
rightbrain
rightbrain
#
intuitive edge
intuitive edge
#
#
cuillamartin
cuillamartin
pegboard
pegboard
#
#
connlcli
connlcli
ftsrv
ftsrv
#
mimer
mimer
#
linx
linx
#
timeflies
timeflies
#
ndm-requester
ndm-requester
ndm-server
ndm-server
#
#
adapt-sna
Decimal
------1024/tcp
1024/udp
1025/tcp
1025/udp
1030/tcp
1030/udp
1031/tcp
1031/udp
1032/tcp
1032/udp
1067/tcp
1067/udp
1068/tcp
1068/udp
1080/tcp
1080/udp
1222/tcp
1222/udp
Description
----------Reserved
Reserved
IANA
network blackjack
network blackjack
BBN IAD
BBN IAD
BBN IAD
BBN IAD
BBN IAD
BBN IAD
Andy Malis
Installation Bootstrap
David Arko <
Socks
Socks
Ying-Da Lee
SNI R&D network
SNI R&D network
Martin Freiss
References
----------
Proto.
Proto.
Proto.
Proto.
Serv.
Serv.
Cli.
Cli.
1248/tcp
1248/udp
1346/tcp
Alta Analytics License Manager
1346/udp
Alta Analytics License Manager
1347/tcp
multi media conferencing
1347/udp
1348/tcp
1348/udp
1349/tcp
Registration Network Protocol
1349/udp
1350/tcp
1350/udp
Simson L. Garfinkel
1351/tcp
Digital Tool Works (MIT)
1351/udp
Digital Tool Works (MIT)
Terrence J. Talbot
1352/tcp
Lotus Note
1352/udp
Lotus Note
Greg Pflaum
1353/tcp
Relief Consulting
1353/udp
Relief Consulting
John Feiler
1354/tcp
RightBrain Software
1354/udp
RightBrain Software
Glenn Reid
1355/tcp
Intuitive Edge
1355/udp
Intuitive Edge
Montgomery Zukowski
1356/tcp
1356/udp
1357/tcp
1357/udp
CuillaMartin Company
CuillaMartin Company
Electronic PegBoard
Electronic PegBoard
Chris Cuilla
1358/tcp
1358/udp
1359/tcp
1359/udp
CONNLCLI
CONNLCLI
FTSRV
FTSRV
Ines Homem de Melo
MIMER
MIMER
Per Schroeder
LinX
LinX
Steffen Schilke <---none--->
TimeFlies
TimeFlies
Doug Kent
Network DataMover Requester
Network DataMover Requester
Network DataMover Server
Network DataMover Server
Toshio Watanabe
1360/tcp
1360/udp
1361/tcp
1361/udp
1362/tcp
1362/udp
1363/tcp
1363/udp
1364/tcp
1364/udp
1365/tcp
Network Software Associates
adapt-sna
#
netware-csp
netware-csp
#
dcs
dcs
#
screencast
screencast
#
gv-us
gv-us
us-gv
us-gv
#
fc-cli
fc-cli
fc-ser
fc-ser
#
chromagrafx
chromagrafx
#
molly
molly
#
bytex
bytex
#
ibm-pps
ibm-pps
#
cichlid
cichlid
#
elan
elan
#
dbreporter
dbreporter
#
telesis-licman
telesis-licman
#
apple-licman
apple-licman
#
udt_os
udt_os
gwha
gwha
#
os-licman
os-licman
#
atex_elmd
atex_elmd
#
checksum
checksum
#
cadsi-lm
cadsi-lm
#
objective-dbc
objective-dbc
#
iclpv-dm
iclpv-dm
iclpv-sc
iclpv-sc
iclpv-sas
iclpv-sas
iclpv-pm
iclpv-pm
iclpv-nls
iclpv-nls
iclpv-nlc
iclpv-nlc
iclpv-wsm
iclpv-wsm
#
1365/udp
Network Software Associates

Jeffery Chiao <714-768-401>
1366/tcp
Novell NetWare Comm Service Platform
1366/udp
Novell NetWare Comm Service Platform
Laurie Lindsey
1367/tcp
DCS
1367/udp
DCS
Stefan Siebert
1368/tcp
ScreenCast
1368/udp
ScreenCast
Bill Tschumy
1369/tcp
GlobalView to Unix Shell
1369/udp
GlobalView to Unix Shell
1370/tcp
Unix Shell to GlobalView
1370/udp
Unix Shell to GlobalView
Makoto Mita
1371/tcp
Fujitsu Config Protocol
1371/udp
1372/tcp
1372/udp
Ryuichi Horie
1373/tcp
Chromagrafx
1373/udp
Chromagrafx
Mike Barthelemy
1374/tcp
EPI Software Systems
1374/udp
EPI Software Systems
Jim Vlcek
1375/tcp
Bytex
1375/udp
Bytex
Mary Ann Burt
1376/tcp
IBM Person to Person Software
1376/udp
IBM Person to Person Software
Simon Phipps
1377/tcp
Cichlid License Manager
1377/udp
Cichlid License Manager
Andy Burgess
1378/tcp
Elan License Manager
1378/udp
Elan License Manager
Ken Greer
1379/tcp
Integrity Solutions
1379/udp
Integrity Solutions
Tim Dawson
1380/tcp
Telesis Network License Manager
1380/udp
Telesis Network License Manager
Karl Schendel, Jr.
1381/tcp
Apple Network License Manager
1381/udp
Apple Network License Manager
Earl Wallace
1382/tcp
1382/udp
1383/tcp
GW Hannaway Network License Manager
1383/udp
GW Hannaway Network License Manager
J. Gabriel Foster
1384/tcp
Objective Solutions License Manager
1384/udp
Objective Solutions License Manager
Donald Cornwell
1385/tcp
Atex Publishing License Manager
1385/udp
Atex Publishing License Manager
Brett Sorenson
1386/tcp
CheckSum License Manager
1386/udp
CheckSum License Manager
Andreas Glocker
1387/tcp
Computer Aided Design Software Inc LM
1387/udp
Computer Aided Design Software Inc LM
Sulistio Muljadi
1388/tcp
Objective Solutions DataBase Cache
1388/udp
Objective Solutions DataBase Cache
Donald Cornwell
1389/tcp
Document Manager
1389/udp
Document Manager
1390/tcp
Storage Controller
1390/udp
Storage Controller
1391/tcp
Storage Access Server
1391/udp
Storage Access Server
1392/tcp
Print Manager
1392/udp
Print Manager
1393/tcp
Network Log Server
1393/udp
Network Log Server
1394/tcp
Network Log Client
1394/udp
Network Log Client
1395/tcp
PC Workstation Manager software
1395/udp
PC Workstation Manager software
A.P. Hobson
dvl-activemail
dvl-activemail
audio-activmail
audio-activmail
video-activmail
video-activmail
#
cadkey-licman
cadkey-licman
cadkey-tablet
cadkey-tablet
#
goldleaf-licman
goldleaf-licman
#
prm-sm-np
prm-sm-np
prm-nm-np
prm-nm-np
#
igi-lm
igi-lm
ibm-res
ibm-res
netlabs-lm
netlabs-lm
dbsa-lm
dbsa-lm
#
sophia-lm
sophia-lm
#
here-lm
here-lm
#
hiq
hiq
af
af
#
innosys
innosys
innosys-acl
innosys-acl
#
ibm-mqseries
ibm-mqseries
#
dbstar
dbstar
#
novell-lu6.2
novell-lu6.2
#
timbuktu-srv1
timbuktu-srv1
timbuktu-srv2
timbuktu-srv2
timbuktu-srv3
timbuktu-srv3
timbuktu-srv4
timbuktu-srv4
#
gandalf-lm
gandalf-lm
#
autodesk-lm
autodesk-lm
#
essbase
essbase
hybrid
hybrid
#
zion-lm
zion-lm
#
sas-1
sas-1
#
mloadd
mloadd
#
1396/tcp
1396/udp
1397/tcp
1397/udp
1398/tcp
1398/udp
1399/tcp
1399/udp
1400/tcp
1400/udp
1401/tcp
1401/udp
1402/tcp
1402/udp
1403/tcp
1403/udp
1404/tcp
1404/udp
1405/tcp
1405/udp
1406/tcp
1406/udp
1407/tcp
1407/udp
1408/tcp
1408/udp
1409/tcp
1409/udp
1410/tcp
1410/udp
1411/tcp
1411/udp
1412/tcp
1412/udp
1413/tcp
1413/udp
1414/tcp
1414/udp
1415/tcp
1415/udp
1416/tcp
1416/udp
1417/tcp
1417/tcp
1418/tcp
1418/udp
1419/tcp
1419/udp
1420/tcp
1420/udp
1421/tcp
1421/udp
1422/tcp
1422/udp
1423/tcp
1423/udp
1424/tcp
1424/udp
1425/tcp
1425/udp
1426/tcp
1426/udp
1427/tcp
1427/udp
DVL Active Mail

DVL Active Mail
Audio Active Mail
Audio Active Mail
Video Active Mail
Video Active Mail
Ehud Shapiro
Cadkey License Manager
Cadkey License Manager
Cadkey Tablet Daemon
Cadkey Tablet Daemon
Joe McCollough
Goldleaf License Manager
Goldleaf License Manager
John Fox <---none--->
Prospero Resource Manager
B. Clifford Neuman
Infinite Graphics License Manager
Infinite Graphics License Manager
IBM Remote Execution Starter
IBM Remote Execution Starter
NetLabs License Manager
NetLabs License Manager
DBSA License Manager
DBSA License Manager
Scott Shattuck
Sophia License Manager
Sophia License Manager
Eric Brown
Here License Manager
Here License Manager
David Ison
HiQ License Manager
HiQ License Manager
AudioFile
AudioFile
Jim Gettys
InnoSys
InnoSys
Innosys-ACL
Innosys-ACL
Eric Welch <--none--->
IBM MQSeries
IBM MQSeries
Roger Meli
DBStar
DBStar
Jeffrey Millman
Novell LU6.2
Novell LU6.2
Peter Liu <--none--->
Timbuktu Service 1 Port
Marc Epard
Gandalf License Manager
Gandalf License Manager
gilmer@gandalf.ca
Autodesk License Manager
Autodesk License Manager
David Ko
Essbase Arbor Software
Essbase Arbor Software
Hybrid Encryption Protocol
Hybrid Encryption Protocol
Howard Hart
Zion Software License Manager
Zion Software License Manager
David Ferrero
Satellite-data Acquisition System 1
Bill Taylor
mloadd monitoring tool
mloadd monitoring tool
Bob Braden
informatik-lm
informatik-lm
#
#
nms
nms
tpdu
tpdu
#
rgtp
rgtp
#
blueberry-lm
blueberry-lm
#
ms-sql-s
ms-sql-s
ms-sql-m
ms-sql-m
#
ibm-cics
ibm-cics
#
sas-2
sas-2
#
tabula
tabula
#
#
eicon-server
eicon-server
eicon-x25
eicon-x25
eicon-slp
eicon-slp
#
cadis-1
cadis-1
cadis-2
cadis-2
#
ies-lm
ies-lm
#
marcam-lm
marcam-lm
#
proxima-lm
proxima-lm
ora-lm
ora-lm
apri-lm
apri-lm
#
oc-lm
oc-lm
#
peport
peport
#
dwf
dwf
#
infoman
infoman
#
gtegsc-lm
gtegsc-lm
#
genie-lm
genie-lm
#
interhdl_elmd
interhdl_elmd
#
esl-lm
esl-lm
#
dca
dca
#
valisys-lm
1428/tcp
1428/udp
Informatik License Manager

Informatik License Manager
Harald Schlangmann
1429/tcp
1429/udp
1430/tcp
1430/udp
Hypercom NMS
Hypercom NMS
Hypercom TPDU
Hypercom TPDU
Noor Chowdhury
Reverse Gosip Transport
Reverse Gosip Transport
1431/tcp
1431/udp
1432/tcp
1432/udp
1433/tcp
1433/udp
1434/tcp
1434/udp
1435/tcp
1435/udp
1436/tcp
1436/udp
1437/tcp
1437/udp
Blueberry Software License

Blueberry Software License
Steve Beigel
Microsoft-SQL-Server
Microsoft-SQL-Server
Microsoft-SQL-Monitor
Microsoft-SQL-Monitor
Peter Hussey
IBM CISC
IBM CISC
Geoff Meacock
Satellite-data Acquisition
Satellite-data Acquisition
Bill Taylor
Tabula
Tabula
Marcelo Einhorn
Manager
Manager
System 2
System 2
1438/tcp
1438/udp
1439/tcp
1439/udp
1440/tcp
1440/udp
Eicon Security Agent/Server

Eicon Security Agent/Server
Eicon X25/SNA Gateway
Eicon X25/SNA Gateway
Eicon Service Location Protocol
Eicon Service Location Protocol
Pat Calhoun
1441/tcp
Cadis License Management
1441/udp
1442/tcp
1442/udp
Todd Wichers
1443/tcp
Integrated Engineering Software
1443/udp
Integrated Engineering Software
David Tong
1444/tcp
Marcam License Management
1444/udp
Marcam License Management
Therese Hunt
1445/tcp
Proxima License Manager
1445/udp
Proxima License Manager
1446/tcp
Optical Research Associates License Manager
1446/udp
Optical Research Associates License Manager
1447/tcp
Applied Parallel Research LM
1447/udp
Applied Parallel Research LM
Jim Dillon
1448/tcp
OpenConnect License Manager
1448/udp
OpenConnect License Manager
Sue Barnhill
1449/tcp
PEport
1449/udp
PEport
Qentin Neill
1450/tcp
Tandem Distributed Workbench Facility
1450/udp
Tandem Distributed Workbench Facility
Mike Bert
1451/tcp
IBM Information Management
1451/udp
IBM Information Management
Karen Burns <---none--->
1452/tcp
GTE Government Systems License Man
1452/udp
GTE Government Systems License Man
Mike Gregory
1453/tcp
Genie License Manager
1453/udp
Genie License Manager
Paul Applegate
1454/tcp
interHDL License Manager
1454/tcp
interHDL License Manager
Eli Sternheim eli@interhdl.com
1455/tcp
ESL License Manager
1455/udp
ESL License Manager
Abel Chou
1456/tcp
DCA
1456/udp
DCA
Jeff Garbers
1457/tcp
Valisys License Manager
valisys-lm
#
nrcabq-lm
nrcabq-lm
#
proshare1
proshare1
proshare2
proshare2
#
ibm_wrless_lan
ibm_wrless_lan
#
world-lm
world-lm
#
nucleus
nucleus
#
msl_lmd
msl_lmd
#
pipes
pipes
#
oceansoft-lm
oceansoft-lm
#
csdmbase
csdmbase
csdm
csdm
#
aal-lm
aal-lm
#
uaiact
uaiact
#
csdmbase
csdmbase
csdm
csdm
#
openmath
openmath
#
telefinder
telefinder
#
taligent-lm
taligent-lm
#
clvm-cfg
clvm-cfg
#
ms-sna-server
ms-sna-server
ms-sna-base
ms-sna-base
#
dberegister
dberegister
#
pacerforum
pacerforum
#
airs
airs
#
miteksys-lm
miteksys-lm
#
afs
afs
#
confluent
confluent
#
lansource
lansource
#
nms_topo_serv
1457/udp
Valisys License Manager
Leslie Lincoln
1458/tcp
Nichols Research Corp.
1458/udp
Nichols Research Corp.
Howard Cole
1459/tcp
Proshare Notebook Application
1459/udp
1460/tcp
1460/udp
Robin Kar
1461/tcp
IBM Wireless LAN
1461/udp
IBM Wireless LAN
1462/tcp
1462/udp
1463/tcp
1463/udp
1464/tcp
1464/udp
1465/tcp
1465/udp
1466/tcp
1466/udp
World License Manager

World License Manager
Michael S Amirault
Nucleus
Nucleus
Venky Nagar
MSL License Manager
MSL License Manager
Matt Timmermans
Pipes Platform
Pipes Platform mfarlin@peerlogic.com
Mark Farlin
Ocean Software License Manager
Ocean Software License Manager
Randy Leonard
CSDMBASE
CSDMBASE
CSDM
CSDM
1467/tcp
1467/udp
1468/tcp
1468/udp
Robert Stabl
1469/tcp
Active Analysis Limited License Manager
1469/udp
Active Analysis Limited License Manager
David Snocken +44 (71)437-7009
1470/tcp
Universal Analytics
1470/udp
Universal Analytics
Mark R. Ludwig
1471/tcp
csdmbase
1471/udp
csdmbase
1472/tcp
csdm
1472/udp
csdm
Robert Stabl
1473/tcp
OpenMath
1473/udp
OpenMath
Garth Mayville
1474/tcp
Telefinder
1474/udp
Telefinder
Jim White
1475/tcp
Taligent License Manager
1475/udp
Taligent License Manager
Mark Sapsford
1476/tcp
clvm-cfg
1476/udp
clvm-cfg
Eric Soderberg
1477/tcp
ms-sna-server
1477/udp
ms-sna-server
1478/tcp
ms-sna-base
1478/udp
ms-sna-base
Gordon Mangione
1479/tcp
dberegister
1479/udp
dberegister
Brian Griswold
1480/tcp
PacerForum
1480/udp
PacerForum
Peter Caswell
1481/tcp
AIRS
1481/udp
AIRS
Bruce Wilson, 905-771-6161
1482/tcp
Miteksys License Manager
1482/udp
Miteksys License Manager
Shane McRoberts
1483/tcp
AFS License Manager
1483/udp
AFS License Manager
Michael R. Pizolato
1484/tcp
Confluent License Manager
1484/udp
Confluent License Manager
James Greenfiel
1485/tcp
LANSource
1485/udp
LANSource
Doug Scott
1486/tcp
nms_topo_serv
nms_topo_serv
#
localinfosrvr
localinfosrvr
#
docstor
docstor
#
dmdocbroker
dmdocbroker
#
insitu-conf
insitu-conf
#
anynetgateway
anynetgateway
#
stone-design-1
stone-design-1
#
netmap_lm
netmap_lm
#
ica
ica
#
cvc
cvc
#
liberty-lm
liberty-lm
#
rfx-lm
rfx-lm
#
watcom-sql
watcom-sql
#
fhc
fhc
#
vlsi-lm
vlsi-lm
#
sas-3
sas-3
#
shivadiscovery
shivadiscovery
#
imtc-mcs
imtc-mcs
#
evb-elm
evb-elm
#
funkproxy
funkproxy
#
#
ingreslock
ingreslock
orasrv
orasrv
prospero-np
prospero-np
pdap-np
pdap-np
#
tlisrv
tlisrv
coauthor
coauthor
issd
issd
nkd
nkd
proshareaudio
proshareaudio
prosharevideo
prosharevideo
prosharedata
prosharedata
1486/udp
nms_topo_serv
Sylvia Siu
1487/tcp
LocalInfoSrvr
1487/udp
LocalInfoSrvr
Brian Matthews
1488/tcp
DocStor
1488/udp
DocStor
Brian Spears
1489/tcp
dmdocbroker
1489/udp
dmdocbroker
Razmik Abnous
1490/tcp
insitu-conf
1490/udp
insitu-conf
Paul Blacknell
1491/tcp
anynetgateway
1491/udp
anynetgateway
Dan Poirier
1492/tcp
stone-design-1
1492/udp
stone-design-1
Andrew Stone
1493/tcp
netmap_lm
1493/udp
netmap_lm
Phillip Magson
1494/tcp
ica
1494/udp
ica
John Richardson, Citrix Systems
1495/tcp
cvc
1495/udp
cvc
Bill Davidson
1496/tcp
liberty-lm
1496/udp
liberty-lm
Jim Rogers
1497/tcp
rfx-lm
1497/udp
rfx-lm
Bill Bishop
1498/tcp
Watcom-SQL
1498/udp
Watcom-SQL
Rog Skubowius
1499/tcp
Federico Heinz Consultora
1499/udp
Federico Heinz Consultora
Federico Heinz
1500/tcp
VLSI License Manager
1500/udp
VLSI License Manager
Shue-Lin Kuo
1501/tcp
1501/udp
Bill Taylor
1502/tcp
Shiva
1502/udp
Shiva
Jonathan Wenocur
1503/tcp
Databeam
1503/udp
Databeam
Jim Johnstone
1504/tcp
EVB Software Engineering License Manager
1504/udp
EVB Software Engineering License Manager
B.G. Mahesh < mahesh@sett.com>
1505/tcp
Funk Software, Inc.
1505/udp
Funk Software, Inc.
Robert D. Vincent
1506-1523
Unassigned
1524/tcp
ingres
1524/udp
ingres
1525/tcp
oracle
1525/udp
oracle
1525/tcp
Prospero Directory Service non-priv
1525/udp
Prospero Directory Service non-priv
1526/tcp
Prospero Data Access Prot non-priv
1526/udp
Prospero Data Access Prot non-priv
B. Clifford Neuman
1527/tcp
oracle
1527/udp
oracle
1529/tcp
oracle
1529/udp
oracle
1600/tcp
1600/udp
1650/tcp
1650/udp
1651/tcp
proshare conf audio
1651/udp
proshare conf audio
1652/tcp
proshare conf video
1652/udp
proshare conf video
1653/tcp
proshare conf data
1653/udp
proshare conf data
prosharerequest 1654/tcp
proshare conf request
prosharerequest 1654/udp
proshare conf request
prosharenotify 1655/tcp
proshare conf notify
prosharenotify 1655/udp
proshare conf notify
#
netview-aix-1
1661/tcp
netview-aix-1
netview-aix-1
1661/udp
netview-aix-1
netview-aix-2
1662/tcp
netview-aix-2
netview-aix-2
1662/udp
netview-aix-2
netview-aix-3
1663/tcp
netview-aix-3
netview-aix-3
1663/udp
netview-aix-3
netview-aix-4
1664/tcp
netview-aix-4
netview-aix-4
1664/udp
netview-aix-4
netview-aix-5
1665/tcp
netview-aix-5
netview-aix-5
1665/udp
netview-aix-5
netview-aix-6
1666/tcp
netview-aix-6
netview-aix-6
1666/udp
netview-aix-6
#
Martha Crisson
licensedaemon
1986/tcp
cisco license management
licensedaemon
1986/udp
cisco license management
tr-rsrb-p1
1987/tcp
cisco RSRB Priority 1 port
tr-rsrb-p1
1987/udp
tr-rsrb-p2
1988/tcp
tr-rsrb-p2
1988/udp
tr-rsrb-p3
1989/tcp
tr-rsrb-p3
1989/udp
#PROBLEMS!===================================================
mshnet
1989/tcp
MHSnet system
mshnet
1989/udp
MHSnet system
#
Bob Kummerfeld
#PROBLEMS!===================================================
stun-p1
1990/tcp
cisco STUN Priority 1 port
stun-p1
1990/udp
stun-p2
1991/tcp
stun-p2
1991/udp
stun-p3
1992/tcp
stun-p3
1992/udp
#PROBLEMS!===================================================
ipsendmsg
1992/tcp
IPsendmsg
ipsendmsg
1992/udp
IPsendmsg
#
Bob Kummerfeld
#PROBLEMS!===================================================
snmp-tcp-port
1993/tcp
cisco SNMP TCP port
snmp-tcp-port
1993/udp
cisco SNMP TCP port
stun-port
1994/tcp
cisco serial tunnel port
stun-port
1994/udp
cisco serial tunnel port
perf-port
1995/tcp
cisco perf port
perf-port
1995/udp
cisco perf port
tr-rsrb-port
1996/tcp
cisco Remote SRB port
tr-rsrb-port
1996/udp
cisco Remote SRB port
gdp-port
1997/tcp
cisco Gateway Discovery Protocol
gdp-port
1997/udp
cisco Gateway Discovery Protocol
x25-svc-port
1998/tcp
cisco X.25 service (XOT)
x25-svc-port
1998/udp
cisco X.25 service (XOT)
tcp-id-port
1999/tcp
cisco identification port
tcp-id-port
1999/udp
cisco identification port
callbook
2000/tcp
callbook
2000/udp
dc
2001/tcp
wizard
2001/udp
curry
globe
2002/tcp
globe
2002/udp
mailbox
2004/tcp
emce
2004/udp
CCWS mm conf
berknet
2005/tcp
oracle
2005/udp
invokator
2006/tcp
raid-cc
2006/udp
raid
dectalk
2007/tcp
raid-am
2007/udp
conf
2008/tcp
terminaldb
2008/udp
news
2009/tcp
whosockami
2009/udp
search
2010/tcp
pipe_server
2010/udp
raid-cc
2011/tcp
raid
servserv
2011/udp
ttyinfo
2012/tcp
raid-ac
2012/udp
raid-am
2013/tcp
raid-cd
2013/udp
troff
2014/tcp
raid-sf
cypress
raid-cs
bootserver
bootserver
cypress-stat
bootclient
terminaldb
rellpack
whosockami
about
xinupageserver
xinupageserver
servexec
xinuexpansion1
down
xinuexpansion2
xinuexpansion3
xinuexpansion3
xinuexpansion4
xinuexpansion4
ellpack
xribs
scrabble
scrabble
shadowserver
shadowserver
submitserver
submitserver
device2
device2
blackboard
blackboard
glogger
glogger
scoremgr
scoremgr
imsldoc
imsldoc
objectmanager
objectmanager
isis
isis
isis-bcast
isis-bcast
rimsl
rimsl
cdfunc
cdfunc
sdfunc
sdfunc
dls
dls
dls-monitor
dls-monitor
shilp
shilp
dlsrpn
dlsrpn
dlswpn
dlswpn
ats
ats
rtsserv
rtsserv
rtsclient
rtsclient
#
#
hp-3000-telnet
www-dev
www-dev
NSWS
NSWS
ccmail
ccmail
dec-notes
dec-notes
#
mapper-nodemgr
mapper-nodemgr
mapper-mapethd
mapper-mapethd
2014/udp
2015/tcp
2015/udp
2016/tcp
2016/udp
2017/tcp
2017/udp
2018/tcp
2018/udp
2019/tcp
2019/udp
2020/tcp
2020/udp
2021/tcp
2021/udp
2022/tcp
2022/udp
2023/tcp
2023/udp
2024/tcp
2024/udp
2025/tcp
2025/udp
2026/tcp
2026/udp
2027/tcp
2027/udp
2028/tcp
2028/udp
2030/tcp
2030/udp
2032/tcp
2032/udp
2033/tcp
2033/udp
2034/tcp
2034/udp
2035/tcp
2035/udp
2038/tcp
2038/udp
2042/tcp
2042/udp
2043/tcp
2043/udp
2044/tcp
2044/udp
2045/tcp
2045/udp
2046/tcp
2046/udp
2047/tcp
2047/udp
2048/tcp
2048/udp
2049/tcp
2049/udp
2065/tcp
2065/udp
2067/tcp
2067/udp
2201/tcp
2201/udp
2500/tcp
2500/udp
2501/tcp
2501/udp
2564/tcp
2784/tcp
2784/udp
3049/tcp
3049/udp
3264/tcp
3264/udp
3333/tcp
3333/udp
3984/tcp
3984/udp
3985/tcp
3985/udp
Data Link Switch Read Port Number

Data Link Switch Read Port Number
Data Link Switch Write Port Number
Data Link Switch Write Port Number
Advanced Training System Program
Advanced Training System Program
Resource Tracking system server
Resource Tracking system server
Resource Tracking system client
Resource Tracking system client
Aubrey Turner
HP 3000 NS/VT block mode telnet
world wide web - development
world wide web - development
cc:mail/lotus
cc:mail/lotus
DEC Notes
DEC Notes
Kim Moraros
MAPPER network node manager
MAPPER network node manager
MAPPER TCP/IP server
MAPPER TCP/IP server
mapper-ws_ethd
mapper-ws_ethd
#
bmap
bmap
#
udt_os
udt_os
#
nuts_dem
nuts_dem
nuts_bootp
nuts_bootp
#
unicall
unicall
#
krb524
krb524
#
rfa
rfa
commplex-main
commplex-main
commplex-link
commplex-link
rfe
rfe
telelpathstart
telelpathstart
telelpathattack
telelpathattack
#
mmcc
mmcc
rmonitor_secure
rmonitor_secure
aol
aol
#
padl2sim
padl2sim
hacl-hb
hacl-hb
hacl-gs
hacl-gs
hacl-cfg
hacl-cfg
hacl-probe
hacl-probe
hacl-local
hacl-local
hacl-test
hacl-test
#
x11
x11
#
sub-process
sub-process
meta-corp
meta-corp
#
aspentec-lm
aspentec-lm
#
watershed-lm
watershed-lm
#
statsci1-lm
statsci1-lm
statsci2-lm
statsci2-lm
#
lonewolf-lm
lonewolf-lm
#
montage-lm
montage-lm
#
xdsxdm
xdsxdm
afs3-fileserver
3986/tcp
MAPPER workstation server
3986/udp
MAPPER workstation server
John C. Horton
3421/tcp
Bull Apprise portmapper
3421/udp
Bull Apprise portmapper
Jeremy Gilbert
3900/tcp
Unidata UDT OS
3900/udp
Unidata UDT OS
James Powell
4132/tcp
NUTS Daemon
4132/udp
NUTS Daemon
4133/tcp
NUTS Bootp Server
4133/udp
NUTS Bootp Server
Martin Freiss
4343/tcp
UNICALL
4343/udp
UNICALL
James Powell
4444/tcp
KRB524
4444/udp
KRB524
B. Clifford Neuman
4672/tcp
remote file access server
4672/udp
remote file access server
5000/tcp
5000/udp
5001/tcp
5001/udp
5002/tcp
radio free ethernet
5002/udp
radio free ethernet
5010/tcp
TelepathStart
5010/udp
TelepathStart
5011/tcp
TelepathAttack
5011/udp
TelepathAttack
Helmuth Breitenfellner
5050/tcp
multimedia conference control tool
5050/udp
multimedia conference control tool
5145/tcp
5145/udp
5190/tcp
America-Online
5190/udp
America-Online
Marty Lyons
5236/tcp
5236/udp
5300/tcp
# HA cluster heartbeat
5300/udp
# HA cluster heartbeat
5301/tcp
# HA cluster general services
5301/udp
# HA cluster general services
5302/tcp
# HA cluster configuration
5302/udp
# HA cluster configuration
5303/tcp
# HA cluster probing
5303/udp
# HA cluster probing
5304/tcp
5304/udp
5305/tcp
5305/udp
Eric Soderberg
6000-6063/tcp
X Window System
6000-6063/udp
X Window System
Stephen Gildea
6111/tcp
HP SoftBench Sub-Process Control
6111/udp
HP SoftBench Sub-Process Control
6141/tcp
Meta Corporation License Manager
6141/udp
Meta Corporation License Manager
Osamu Masuda <--none--->
6142/tcp
Aspen Technology License Manager
6142/udp
Aspen Technology License Manager
Kevin Massey
6143/tcp
Watershed License Manager
6143/udp
Watershed License Manager
David Ferrero
6144/tcp
StatSci License Manager - 1
6144/udp
6145/tcp
6145/udp
Scott Blachowicz
6146/tcp
Lone Wolf Systems License Manager
6146/udp
Lone Wolf Systems License Manager
Dan Klein
6147/tcp
Montage License Manager
6147/udp
Montage License Manager
Michael Ubell
6558/udp
6558/tcp
7000/tcp
file server itself
afs3-fileserver 7000/udp
afs3-callback
7001/tcp
afs3-callback
7001/udp
afs3-prserver
7002/tcp
afs3-prserver
7002/udp
afs3-vlserver
7003/tcp
afs3-vlserver
7003/udp
afs3-kaserver
7004/tcp
afs3-kaserver
7004/udp
afs3-volser
7005/tcp
afs3-volser
7005/udp
afs3-errors
7006/tcp
afs3-errors
7006/udp
afs3-bos
7007/tcp
afs3-bos
7007/udp
afs3-update
7008/tcp
afs3-update
7008/udp
afs3-rmtsys
7009/tcp
afs3-rmtsys
7009/udp
ups-onlinet
7010/tcp
ups-onlinet
7010/udp
#
font-service
7100/tcp
font-service
7100/udp
#
fodms
7200/tcp
fodms
7200/udp
#
David Anthony
man
9535/tcp
man
9535/udp
isode-dua
17007/tcp
isode-dua
17007/udp
file server itself

callbacks to cache managers
callbacks to cache managers
users & groups database
users & groups database
volume location database
volume location database
AFS/Kerberos authentication service
AFS/Kerberos authentication service
volume managment server
volume managment server
error interpretation service
error interpretation service
basic overseer process
basic overseer process
server-to-server updater
server-to-server updater
remote cache manager service
remote cache manager service
onlinet uninterruptable power supplies
onlinet uninterruptable power supplies
Brian Hammill
X Font Service
X Font Service
Stephen Gildea
FODMS FLIP
FODMS FLIP
Telas de Trojans Mais Conhecidos
Back Orifice FrontEnds (Clients)
Backdoor
Tela do trojan:
Tela do Backdoor
ICKiller ou ICQKiller
NetBus
Tela de um trojan conhecido

como Whack-A-Mole
Tela de Controle
SubSeven
NetRex (Clone do NetBus 2.0)
Happy99
Deep Throat

Segurança em Redes - Conceitos Básicos

Enviado por

Dados do documento

Descrição original:

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Segurança em Redes - Conceitos Básicos

Enviado por

Direitos autorais:

Formatos disponíveis

Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001.

Vide Distribuio / Cpia neste material

Romulo Moacyr Cholewa

3.2. A Conexo a uma Rede

Trojan Horses e Back Doors

6 Outros Tipos de Ataques

7.2. Automatizao do Estudo de Vulnerabilidades Conhecidas

Exemplo / Estudo de Caso: TakeDown

Exemplo: ISP, Portal, Instituio Financeira

Exemplo: Operadora de Telefonia Celular

Microsoft Security Site & Bulletins

Bugtraq e demais listas em securityfocus.com

Windows 2000 Mag. Security Administrator

Alldas.org Defaced Archive

ISS Internet Security Systems Forums

3. Entendendo Redes e a Internet

Transmiso dos Dados Camada Fsica

Transmisso dos Dados Camada de Rede

Transmisso dos Dados Camada de Transporte

Transmisso de Dados Camada de Aplicao

A Conexo a uma Rede

ARP (Address Resolution Protocol)

Para identificar cada classe, necessrio observar o primeiro octeto.

da esquerda para a direita, enquanto a poro host, da direita para a

Algumas concluses e fatos sobre a mscara:

ICMP (Internet Control Message Protocol)

TCP (Transmission Control Protocol)

UDP (User Datagram Protocol)

DNS (Domain Name System)

Sockets (soquetes de comunicao)

Gerenciando Erros de Comunicao

PING (Packet INternet Grouper)

...Ento, O que a Internet

Ponto de Vista do White-hat

Ponto de Vista do Black-Hat

4. Vulnerabilidades em Meu Sistema

Que Componentes So Vulnerveis

Como podemos ver ao lado, os sistemas de arquivos que o Windows 9x

O primeiro deles, indo s propriedades do ambiente

Atravs desta opo, o usurio poder acessar o menu

Ao pedir propriedades do protocolo TCP/IP, associado ao adaptador de rede dial-up, conseguimos

Boto iniciar, executar, \\ip_remoto\compartilhamento [enter] e o suficiente. Substitua ip_remoto

Neste caso, esto listados:

Plataforma Windows NT / 2000 / XP

Este sistema de arquivos nativo do NT/2000/XP permite a definio

As permisses podem ser difinidas atravs da janela de propriedades de qualquer disco,

... e escolhendo a tab Security ou Segurana.

Outra possibilidade que o Windows 2000 / XP traz a criptografia de um arquivo ou diretrios,

Ao clicar nesta opo, o Windows ir criptografar o arquivo

\WINNT e todas as sub-pastas.

Administrators: Full Control

Administrators: Full Control

Administrators: Full Control

Administrators: Full Control

Administrators: Full Control

CREATOR OWNER: Full Control

System : Full Control

Parando / desabilitando servios desnecessrios

Permite que um suposto hacker envie mensagens de alerta para a console

Permite que um usurio via rede visualize o contedo da rea de trabalho

Spooler / Print spooler

SNMP Service / SNMP Trap Service