Escolar Documentos
Profissional Documentos
Cultura Documentos
Segurana em Redes
Conceitos Bsicos
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Contedo.
1. Distribuio / Cpia
2. Apresentao
2.1. Filosofia
2.2. Opinio
2.3. Ponto de vista sobre Hackers
2.3.1. White-hats
2.3.2. Black-hats
2.3.3. Defacers
2.3.4. Crackers
2.3.5. Phreakers
2.3.6. Wannabes / Script Kiddies
2.3.7. Exemplo: Estudo de Caso: TakeDown
2.3.8. Exemplo: ISP, Portal, Instituio Financeira
2.3.9. Exemplo: Operadora de Telefonia Celular
2.4. Canais de Divulgao
3. Entendendo Redes e a Internet
Introduo a Redes
3.1. Conceito de Redes
3.1.1. Interfaces de Rede
3.1.2. Transmisso de Dados
3.1.3. Transmisso de Dados
3.1.4. Transmisso de Dados
3.1.5. Transmisso de Dados
Camada
Camada
Camada
Camada
Fsica
de Rede
de Transporte
de Aplicao
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
5.2.
5.3.
5.4.
5.5.
5.6.
Informaes
Portscanning
Services fingerprinting
Sniffing
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
1. Distribuio / Cpia
A partir da presente data (30/04/2002), o autor deste material, Rmulo M. Cholewa, torna-o pblico e
notrio, autorizando aos interessados a copi-lo, imprimi-lo e distribu-lo livremente, desde que todo o seu
contedo seja necessariamente preservado, isto , que o mesmo permanea na ntegra e sem quaisquer
alteraes. Ressalte-se, ainda, que no ato da divulgao do mencionado material, independentemente da sua
natureza ou inteno, este dever ser referenciado e vinculado autoria de Rmulo M. Cholewa.
Outrossim, o autor informa e adverte, sob o amparo legal da Lei dos Direitos Autorais (LEI n. 9.610/98),
que est terminantemente proibida a publicao e/ou utilizao de seu material para fins de natureza lucrativa
ou remunerada, quer esta seja direta quer mesmo indireta.
Este material livre, e deve permanecer assim. O foco deste material no o profissional de segurana da
informao. A inteno orientar de forma bsica as pessoas que no possuem conhecimento especfico no
assunto, e que mais e mais procuram a Internet como meio de comunicao.
Todos os nomes registrados so propriedade de seus respectivos donos. As imagens de programas e
processos registrados contidos neste material tambm so devidamente creditadas, como observado, e so
usadas neste material apenas para fins ilustrativos e educacionais.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
2. Apresentao
O Objetivo levar a todos o conhecimento sobre invases de computadores, desde o motivo at a sua
soluo, passando por vulnerabilidades e como torn-las sem efeito. Inclui tambm conceitos bsicos de rede
e de comunicao de dados, que so excenciais a completa compreenso do assunto, assim como outros
conceitos, incluindo funcionamento bsico de ferramentas usadas para obter informaes de computadores
em rede, bem como regras de filtragem de pacotes, usadas em firewalls.
O Material
Ao longo do material sero apresentadas informaes sobre hackers, como agem e o que querem,
como se proteger e como detectar um invasor. Sero mostrados alguns fatos acontecidos no mundo da
segurana, algumas histrias de hackers famosos, bem como algumas histrias dos bastidores.
Opinio
Sobre os Hackers
Conhea seu inimigo como a si prprio, e elabore sua estratgia de defesa e
ataque baseadas em suas vulnerabilidades.
O perfil tpico do hacker : jovem entre 15 ~ 25 anos, com amplo conhecimento de programao
(geralmente em linguagens como C, C++, Java e Assembler), e noes de redes e Internet. O mais
interessante que no Brasil, a grande maioria dos hackers comea cedo, algumas vezes com 12 anos, em
conhecimentos de programao nas linguagens citadas acima. Muitos destes se esquecem da importncia do
funcionamento da Internet e de redes em si, o que, de certa forma, algo bom. A atuao e fora de tais
hackers seriam bem mais poderosas caso aliassem o conhecimento em redes e Internet ao conhecimento
em linguagens de programao.
As afirmaes acima nos levam a uma concluso: a grande maioria dos hackers entre 12 ~ 25 anos
no desenvolve vulnerabilidades, apenas copiam vulnerabilidades publicadas em sites especializados, e fazem
uso destas em massa, antes que qualquer tentativa de correo destas vulnerabilidades seja humanamente
possvel ou vivel.
Notadamente, devemos deixar claro que muitos hackers trabalham verdadeiramente empenhados
em descobrir falhas e ajudar os usurios de tecnologia a se protegerem. O termo hacker tem sido muito
usado ultimamente, mas com uma conotao no muito acertada. Muitas vezes, o termo tem sido associado a
reportagens e publicaes que distorcem o seu verdadeiro sentido.
De qualquer forma, a maioria das empresas desenvolvedoras de software (principalmente sistemas
operacionais ou software com aplicaes especficas em redes ou segurana), publicam correes no perodo
de 24 a 48 horas aps a divulgao de uma vulnerabilidade na Internet (vide Canais de Divulgao, a
seguir). Isto s ocorre hoje por causa da presso natural do mercado em exigir uma resposta, diante da
publicao de uma falha. Devemos ento, agradecer, diretamente, aos especialistas em segurana, e aos
verdadeiros hackers por permitir que tal processo funcione.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Existem diversos tipos de hackers, dos que possuem mais experincia para os que apenas copiam
furos de segurana explorados por outros hackers. Podemos classific-los quanto a sua experincia,
conhecimento, e ramo de atuao, sendo este ltimo parmetro o mais usado.
White-Hats
Os white-hats so os hackers que explorarm problemas de segurana para divulg-los abertamente,
de forma que toda a comunidade tenha acesso informaes sobre como se proteger. Desejam abolir a
segurana por obscuridade, que nada mais do que tentar proteger ou manter a segurana pelo segredo de
informaes sobre o funcionamento de uma rede, sistema operacional ou programa em geral. Seu lema o
full disclosure, ou conhecimento aberto, acessvel a todos. Alguns adotam tambm a filosofia de moderated
disclosure, ou conhecimento moderado, liberando informaes sobre como funciona um bug ou
vulnerabilidade, mas sem liberar, na maioria das vezes, o que chamamos de exploit, ou cdigo que permite
explorar a vulnerabilidade.
Black-Hats
Ao contrrio dos white-hats, apesar de movidos tambm pela curiosidade, usam suas descobertas e
habilidades em favor prprio, em esquemas de extorso, chantagem de algum tipo, ou qualquer esquema que
venha a trazer algum benefcio, geralmente, e obviamente, ilcito. Estes so extremamente perigosos e difceis
de identificar, pois nunca tentaro chamar a ateno. Agem da forma mais furtiva possvel.
Defacers
Os defacers, na grande maioria das vezes, so organizados em grupos. So, geralmente, muito
jovens, algumas vezes comeando com apenas 12 anos. Usam seus conhecimentos para invadir servidores
que possuam pginas web, e tem por objetivo modificar estas pginas.
Obviamente, mudar a pgina principal de um site famoso ou no d uma certa quantidade de
exposio, tornando o hacker, ou o grupo, conhecido na comunidade. Muitos analistas sugerem que a
grande motivao destes grupos seja justamente se tornarem conhecidos na comunidade, e de certa forma,
provarem que so capazes. Muitas vezes ocorrem disputas entre grupos de defacers, para descobrirem
quem consegue desfigurar o maior nmero de sites no menor tempo. Apesar da maioria esmagadora dos
defacers negar, eles so, por amostragem, pixadores digitais.
Geralmente no criam ou descobrem novas vulnerabilidades. Apenas usam o que j foi descoberto
recentemente, se aproveitando do atraso entre a publicao de uma falha e a publicao / aplicao de
correes.
Existem inmeros grupos de defacers Brasileiros, e muitos deles so considerados os mais eficazes e
rpidos do mundo. Freqentemente, utilizam o IRC (Internet Relay Chat ou bate-papo online).
Estatsticas de sites como o Alldas.org demonstram que o Brasil, hoje, resguardando as devidas
propores, um dos Pases do mundo que mais sofre com defacements. Isso est diretamente relacionado
com a qualidade e nvel tcnico dos hackers em nosso Pas.
Crackers
As denominaes para os crackers so muitas. Alguns classificam de crackers, aqueles que tem por
objetivo invadir sistemas em rede ou computadores apenas pelo desafio. Contudo, historicamente, o nome
cracker tem uma relao com a modificao de cdigo, para obter funcionalidades que no existem, ou de
certa forma, limitadas. Um exemplo clssico so os diversos grupos existentes na Internet que tem por
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
finalidade criar patches ou mesmo cracks que modificam programas comerciais (limitados por mecanismos
de tempo por exemplo, como shareware), permitindo seu uso irrestrito, sem limitao alguma.
Phreakers
Apesar de muitos considerarem um cientista russo chamado Nicola Tesla (que na virada do sculo
realizava experincias assutadoras at para os dias de hoje com eletricidade) como o primeiro hacker da
histria, os primeiros hackers da era digital (ou seria analgica?) lidavam com telefonia. Sua especialidade
interferir com o curso normal de funcionamento das centrais telefnicas, mudar rotas, nmeros, realizar
chamadas sem tarifao, bem como realizar chamadas sem serem detectados (origem). Com a informatizao
das centrais telefnicas, ficou inclusive mais fcil e acessvel o comprometimento de tais informaes. Kevin
Mitnick, considerado o maior hacker de todos os tempos (veremos que nem tanto a mdia excerceu uma
influncia decisiva), era um timo phreaker. Na fase final de sua captura, quando os agentes de governo
ajudados pelo Sr. Tsutomu Shimomura, especialista de segurana do SDSC San Diego Supercomputing
Center, estavam chegando a um nome, ele conseguia enganar as investigaes atravs do controle que tinha
da rede de telefonia da GTE (uma das concessionrias telefnicas nos EUA).
Wannabes
Os wannabes ou script-kiddies so aqueles que acham que sabem, dizem para todos que sabem, se
anunciam, ou divulgam abertamente suas faanhas, e usam em 99% dos casos scripts ou exploits
conhecidos, j divulgados, denominados receitas de bolo, facilmente encontradas em sites como
www.rootshell.com, xforce.iss.net ou securiteam.com. Estes possuem relao direta com a maioria dos
usurios da Internet Brasileira. So facilmente encontrados em frums de discusso sobre o tema, e
principalmente no IRC. A maioria no possui escrpulo algum, portanto, tomar medidas de cautela
aconselhvel. Os wannabes geralmente atacam sem uma razo ou objetivo, apenas para testar ou treinar suas
descobertas, o que nos torna, usurios Internet, potenciais alvos.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
antigo exploit do finger, e usando um pouco de port scanning, ele conseguiu descobrir que uma mquina de
Tsutomu, chamada Ariel, tinha uma relao de confiana com outra mquina na rede de Tsutomu. Ele tirou
esta mquina do ar (atravs de um ataque do tipo DoS), e utilizou uma tcnica chamada IP Spoofing, para a
mquina Ariel pensar que estava sendo acessada pela mquina na qual confiava. Da pra frente, ficou fcil.
Observe que Kevin usou de uma srie de artifcios para no ser detectado, desde a sua ligao telefnica at
seu acesso aos computadores de Tsutomu, e que sua motivao tambm era financeira. Inclusive, muitos dos
mtodos usados por ele so amplamente divulgados hoje em dia.
Tsutomu conseguiu chegar a Kevin devido a um rastro deixado em Ariel. Descobriu ento, que as
conexes tinham partido de toad.com. Assim, iniciou uma caada, que vrios meses depois, chegou em
Raleigh, e culminou com a captura do Kevin (com ajuda do FBI) em fevereiro de 1995, atravs do sinal de seu
celular, que usava para se conectar.
O mais interessante de tudo que Kevin no era especialista em UNIX (sistema usado por Tsutomu,
pelo toad.com, pela Well). Ele era na verdade especialista em VMS / VAX, um sistema da Digital. Ele parecia
ter profundos conhecimentos sobre sistemas da Digital. Tudo indica que Kevin seguiu vrias dicas de algum
em Israel, que at hoje, ningum coseguiu identificar. Kevin forneceu vrias informaes sobre como invadir
sistemas VMS / VAX, e recebeu as dicas de como usar o IP spoofing, que, na poca, era uma tcnica recente,
nunca testada, apenas discutida academicamente.
Existe um site na Internet que possui um log demonstrando at a sesso de telnet que Kevin usou,
algumas chamadas que ele teria realizado para o Mark Lotto, demonstrando seu interesse pelo cdigo fonte
dos celulares, e algumas gravaes da secretria telefnica do Tsutomu, que supostamente, teriam sido feitas
pelo Kevin . O site pode ser acessado em: http://www.takedown.com
Existem tambm dois livros que contam a histria. Um, com a viso de Kevin, escrito pelo Jonattan Littman, e
outro, com a viso de Tsutomu, escrito pelo John Markoff em conjunto com ele. Este ltimo possui uma edio
nacional, pela Companhia das Letras. Chama-se Contra-Ataque. O livro escrito pelo Littman chama-se The
Fugitive Game: online with Kevin Mitnick. Ambos os livros podem ser encontrados online, em livrarias como
Amazon.com, por menos de 20 dlares cada.
Kevin Mitnick foi solto em 21 de janeiro de 2000, e est sobre condicional. Boatos dizem que o governo
Americano est usando Kevin Mitnick como consultor de segurana.
Ningum sabe o paradeiro de Tsutomu Shimomura.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Em ambos os casos, os hackers que tiveram sucesso em invadir um dos servidores do provedor
modificaram as pginas principais do mesmo, fazendo com que, qualquer usurio ou pessoa com acesso a
Internet, pudesse visualizar o resultado do ataque.
Este tipo de ao mais conhecido na Internet como deface, ou ataque de desfigurao de site. O
objetivo alterar de alguma forma a pgina principal da empresa, por se tratar de uma invaso relativamente
simples (o comprometimento de apenas um servidor), mas com resultados srios.
Dependendo do ramo de atuao da empresa que tem seu site desfigurado, as implicaes podem ser
profundas. No caso de provedores de acesso a Internet, entidades financeiras (como bancos, por exemplo),
portais e empresas de segurana, a pgina principal modificada indica comunidade em geral que a
instituio falha em manter a integridade de seus dados, e, obviamente, a segurana dos mesmos. O
impacto direto no produto que estas empresas comercializam.
Provedores de acesso a Internet tero sua credibilidade afetada, de forma que novos clientes optaro
por outros provedores justamente por no confiarem na segurana de seus dados.
Entidades financeiras talvez sejam as empresas mais afetadas. A segurana da informao nestas
entidades primordial, e o compometimento da sua segurana demonstrar a comunidade que tal instituio
no possui capacidade para manter seus dados seguros. No caso do provedor de acesso a Internet, a perda
de clientes significar uma perda direta de faturamento, mas na ordem de poucas dezenas de dlares por
cliente. No caso de uma instituio financeira, a perda poder significar potencialmente a descapitalizao da
instituio, ou uma perda da ordem de milhares de dlares por cliente.
No caso de empresas de segurana, a perda na prtica ser a descrena em seus servios,
diretamente. O mais interessante que uma empresa de segurana provavelmente terceiriza servios como
hospedagem de pginas, o que lhe isenta da responsabilidade em um caso desses. Contudo, o efeito causado
geralmente no consegue ser justificado. Quando isso ocorre, e, se realmente a empresa terceiriza seus
servios de web hosting, deve colocar em seu site um aviso para seus clientes e usurios sobre onde
ocorreram as falhas, e um resumo de responsabilidades.
Canais de Divulgao
A Internet em si a melhor forma de se manter atualizado sobre novas vulnerabilidades, ferramentas,
bugs, patches e atualizaes, bem como sites hackeados, ou defacements.
Perceba que muitos destes canais de comunicao so os mesmos usados pelos maiores especialistas
de segurana da atualidade. Portanto, no difcil ver uma nova vulnerabilidade ser anunciada, e o prprio
fabricante ou desenvolvedor do software tomar conhecimento da mesma pelo mesmo canal. Em listas como a
bugtraq, e a ntbugtraq, comum isto ocorrer.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Isso considerado uma grande vantagem, pois quanto mais cedo ou mais rpido se toma
providncias contra uma falha de segurana, menor so as chances de ter problemas com hackers. A
desvantagem , na maioria das vezes, no ter correes disponveis quando a vulnerabilidade publicada.
Contudo, prepare-se para receber em mdia 400 mensagens dirias sobre o tema. Tal fluxo de
mensagens somente aceitvel para aquele profissional que lida com segurana da informao em sua
empresa, ou tem responsabilidades desta natureza.
NTBugtraq
A lista NTBUGTRAQ uma lista moderada pelo canadense Russ Cooper. Ela discute segurana em
ambiente Windows NT e 2000. O nvel de barulho ou de informaes que no dizem respeito ao assunto
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
muito baixo (Russ bem rigoroso na moderao do grupo), portanto, a grande maioria das informaes de
nvel alto. Para assin-la, basta enviar uma mensagem para:
listserv@listserv.ntbugtraq.com
e no corpo da mensagem:
subscribe ntbugtraq Primeiro_nome Sobrenome
Contudo, antes de assinar esta lista, aconselhvel ler a FAQ da mesma em:
http://ntbugtraq.ntadvice.com/default.asp?pid=31&sid=1
SecuriTeam
O pessoal da securiteam.com rene, em uma nica lista de divulgao, as principais falhas de
segurana encontradas em qualquer software. Alm disso, divulga o lanamento de ferramentas de segurana
importantes.
Esta lista de mxima importncia para aqueles que levam segurana a srio. Para assin-la, envie
uma mensagem em branco para:
List-subscribe@securiteam.com
Para acessar o site:
http://www.securiteam.com
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Para assinar a lista, basta enviar uma mensagem para:
ml-manager@defaced.alldas.org
Com o corpo em branco, e
Subscribe alldas-defaced
No campo de assunto.
O servio tambm oferece diversas estatsticas sobre sites hackeados. Estes dados so muito
interessantes, pois voc poder listar as invases por sistema operacional, domnio, e at pelo nome do
hacker ou grupo que realizou o deface.
http://alldas.org
Destas pginas, podemos encontrar algumas informaes alarmantes:
O Brasil est em segundo lugar em domnios hackeados. Perde apenas para os .com;
Os grupos de defacers do Brasil esto no topo da lista com maior nmero de sites;
O sistema operacional mais invadido foi Microsoft; em segundo lugar, Linux;
Dezenas de sites so desfigurados diariamente.
Existe tambm uma espcie de search engine, onde possvel pesquisar por sites desfigurados. Voc
poder visualizar o site original, a pgina desfigurada, entre outras informaes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Interfaces de Rede
O principal contato que temos com uma rede, ou algo palpvel que a represente, provavelmente,
atravs de uma interface, ou placa de rede. Este equipamento, que pode vir na forma de uma placa para ser
instalada internamente (dentro do seu computador), ou na forma de um modem (para comunicao dos
dados via linhas analgicas), possui diversos padres, tipos, modelos, e fabricantes. Contudo, de forma
resumida, este componente responsvel por ligar o meio de transmisso (geralmente um cabo de rede, ou
uma linha telefnica) ao computador. Um dado importante: a grande maioria das placas de rede possui um
endereo nico, que determina seu fabricante, e sua impresso digital. Teoricamente, no existe nenhuma
outra interface de rede com o mesmo endereo fsico. Contudo, existem tcnicas para modific-lo. Este
endereo fsico e parte essencial na transmisso dos dados.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Existem outras formas de transmisso mais eficientes, porm, bem mais caras. Uma delas se chama
Token Passing, ou passagem de token. Neste mtodo de acesso ao meio, cada computador transmite em uma
ordem pr-determinada, de forma que todos tenham o mesmo tempo de acesso ao meio, geralmente em uma
configurao lgica em anel. Outra forma seria o Frame Switching, ou Cell Switching, usado em redes ATM ou
Frame Relay (de altssima velocidade).
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Interligando Redes
Dada a abrangncia de algumas redes como a Internet, determinadas pilhas de protocolo (linguagem
de comunicao entre computadores) foram projetadas para suportar a diviso dos endereos em regies,
similares aos bairros em nossas cidades. Estas divises permitem uma melhor configurao da rede, como a
organizao das mquinas e a transmisso dos dados de forma hierrquica. Alm disso, permitem uma melhor
utilizao do endereamento.
Contudo, para que diversas redes se comuniquem, faz-se necessria a presena de um determinado
tipo de componente: o roteador. Ele responsvel pela comunicao de dados entre redes distintas. Ele
desempenha esta tarefa analisando os campos de endereo origem e endereo destino, uma tabela de rotas,
e enviando o pacote pelo caminho presente na tabela (rota) ou pelo melhor caminho (caso existam vrias
rotas para um mesmo destino, e caso o roteador seja dinmico).
Em conjunto com o endereo fsico das placas de rede, tambm chamado de endereo de hardware, o
endereamento lgico fecha o conceito de endereamento. Repare que o endereo lgico, ou de protocolo,
usado pelos roteadores, geralmente pode ser determinado manualmente. J o endereo fsico no:
registrado pelo fabricante da interface de rede.
Ento, temos um problema: se um computador tiver sua placa de rede trocada, no conseguir mais
se comunicar na rede. Isto seria verdade se no existisse o endereamento lgico, pois ao se trocar uma
interface de rede, todas as tabelas de roteamento teriam de ser trocadas, pois o endereo mudou, e porque o
endereo fsico no possui nenhuma caracterstica hierrquica.
Para resolver o problema, as pilhas e protocolo criam uma associao entre o endereo fsico e o
lgico. Tomemos como exemplo a pilha de protocolos TCP/IP. Nela, existe um protocolo chamado ARP
(Address Resolution Protocol) responsvel por descobrir endereos fsicos e associ-los a endereos lgicos.
Funciona da seguinte forma:
1o caso: dois computadores numa mesma rede
1. Computador A deseja se comunicar com computador B
2. Computador A envia uma chamada ARP na rede, para todos os computadores, perguntando Qual o
endereo fsico do computador que possui endereo lgico ABCD?
3. Computador ABCD ouve, e responde: meu endereo fsico : XYZW
4. A partir deste momento, o computador A poder enviar os pacotes diretamente para o computador B,
pois todas as informaes de endereamento esto presentes (endeo fsico e lgico dele prprio, e
do destino).
2o caso: computadores em redes diferentes
1. Computador A deseja se comunicar com computador B
2. Computador A verifica o endereo lgico de computador B, e constata que o mesmo NO est na
mesma subrede que ele prprio
3. Computador A ento, tenta enviar pacote para seu roteador
4. Computador A estabelece comunicao com roteador, da mesma forma que exemplificado no 1o caso
5. Roteador estabelece comunicao com computador B, da mesma forma que exemplificado no 1o caso
Perceba a diferena. Os endereos fsicos somente so importantes dentro de uma mesma rede,
justamente porque no existe hierarquia em seu formato. Contudo, atravs do endereo lgico, computador A
pode determinar que computador B no pertencia a sua rede, e enviou o pacote para o componente
responsvel pela interligao de redes: o roteador, que, por sua vez, sabia para onde enviar o pacote, de
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
forma que o mesmo chegasse ao computador B. Caso o roteador no possusse esta informao, retornaria
uma mensagem para o computador A, dizendo: rede destino inalcanvel.
TCP/IP
O TCP/IP (Transmission Control Protocol / Internet Protocol), uma pilha de protocolos que vem
sendo modelada a dcadas, desde a criao de uma rede chamada ARPANET, em meados dos anos 60, nos
EUA. Ao contrrio do que muitos acham, no apenas um protocolo de comunicao, mas uma pilha deles.
Essa pilha de linguagens de comunicao permite que todas as camadas de comunicao em rede sejam
atendidas e a comunicao seja possvel. Todas as pilhas de protocolo, de uma forma ou de outra, tem de
atender a todas as camadas, para permitir que os computadores consigam trocar informaes.
Podemos fazer uma analogia de uma pilha de protocolos com a comunicao verbal. Se algum fala
com outra pessoa, e esta o entende, porque todas as camadas para que a fala seja interpretada foram
atendidas. Imagine, para que duas pessoas se comuniquem verbalmente, ser necessrio:
1. Que ambas saibam o mesmo idioma
2. Que ambas tenham toda a estrutura fisiolgica para que emitam som (voz cordas vocais, lngua,
garganta, pulmes, etc.)
3. Que ambas possuam toda a estrutura fisiolgica para que ouam o som (orelha, ouvido interno,
tmpanos, etc.)
Nesta pilha de protocolos, temos como mais importantes:
IP
O Internet protocol o responsvel pelo endereamento lgico de pacotes TCPIP. Alm disso,
responsvel pelo roteamento destes pacotes, e sua fragmentao, caso a rede seguinte no possa interpretar
pacotes do mesmo tamanho. O mais importante para entendermos o funcionamento do IP entender como
feito seu endereamento lgico.
Um endereo IP algo parecido com isto:
200.241.236.94
Apesar de aparentemente no ter muita lgica, este endereo contm uma srie de informaes. A
primeira delas que, neste nmero esto presentes a identificao da rede na qual o computador est ligado,
e o seu nmero, em relao a esta rede. Detalhe: o computador NO interpreta este nmero acima como
quatro cadeias decimais separadas por pontos (esta representao apenas para tornar nossas vidas mais
fceis). Ele entende como quatro octetos, ou quatro campos de 8 bits:
11001000.11110001.11101100.01011110
Para facilitar a organizao das redes inicialmente, o endereamento foi dividido em 5 classes:
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Endereo
Endereo
Endereo
Endereo
Endereo
de
de
de
de
de
classe
classe
classe
classe
classe
A;
B;
C;
D;
E.
Classe A
Se o primeiro octeto, no formato binrio, se iniciar com 0, ento o endereo de classe A. Para
descobrirmos seus equivalentes em decimal, basta converter o nmero mnimo e o mximo, de 8 bits, com o
primeiro bit igual a 0:
Binrio
00000000 a 01111111
Decimal
0 a 127
Portanto, qualquer endereo IP que tenha o primeiro octeto compreendido entre 0 e 127, um
endereo de classe A.
Classe B
Os endereos de classe B possuem o primeiro octeto, em binrio, iniciado por 10:
Binrio
10000000 a 10111111
Decimal
128 a 191
Assim sendo, endereos IP iniciados com nmeros compreendidos entre 128 a 191, so endereos de
classe B.
Classe C
Endereos de classe C possuem o primeiro octeto, em binrio, iniciado por 110:
Binrio
11000000 a 11011111
Decimal
192 a 223
Desta forma, endereos IP iniciados com nmeros compreendidos entre 192 e 223, so endereos de
classe C.
Os endereos de classe D e E no so usados para endereamento de computadores. A classe D
reservada para um servio chamado Multicast, enquanto a classe E, para experimentos (ambas so
reservadas).
Algumas concluses, fatos e padres sobre endereos IP:
1.
2.
QUALQUER endereo iniciado por 127, considerado endereo de diagnstico, e representa sua
prpria interface (tambm chamado de loopback);
O endereamento IP usado hoje chamado de IP verso 4. O nmero de endereos IP em uso
preocupa vrios especialistas. Um dos projetistas da pilha, Vincent Cerf, previu que at 2008, todos
os endereos estaro em uso. Para isso, j existe em funcionamento uma nova verso, chamada de
IP verso 6, que ter como endereamento 128 bits, ao invs dos 32 bits do IP verso 4;
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
3.
4.
5.
Para entender as vulnerabilidades e como funciona a maioria dos mecanismos de ataque e defesa,
necessrio enteder o conceito bsico do endereamento IP;
A pilha TCP/IP vem sendo modificada desde a dcada de 60. Como seu design / conceito bastante
antigo, existem diversas vulnerabilidades inerentes ao protocolo, que so bastante usadas por
hackers;
Cada octeto no pode ter um valor decimal acima de 255 afinal, 8 bits somente conseguem assumir
256 combinaes diferentes, o que d, em decimal, a contagem de 0 a 255.
Mscara
Ao contrrio do que muitos pensam, a classe do endereo NO determina ou fixa que pores do
endereo representam a rede, e que pores do endereo representam a mquina dentro da rede. Isto feito
pela mscara de subrede. O conceito da mscara bastante simples: ela possui o mesmo formato de um
endereo IP (4 octetos). Ela comparada posicionalmente ao endereo IP e, onde houver o bit 1, aquele bit
correspondente no endereo IP ser parte da identificao da rede. Onde houver o bit 0, ser parte da
identificao do endereo da mquina dentro daquela rede. Pensando estritamente desta forma, podemos
claramente perceber que a coisa pode ficar bem complicada. Contudo, existe um padro que regula a
utilizao destes bits, para que sua configurao nao fuja ao controle. Esse padro obedece as seguintes
regras:
1. A poro de rede se inicia
esquerda;
2. Endereos de classe A, tem,
3. Endereos de classe B, tem,
4. Endereos de classe C, tem,
Alguns exemplos:
Exemplo 1:
O endereo 200.241.35.46 um endereo de classe C. Possui, por padro, mscara 255.255.255.0, o que
significa que, a mquina que possuir este endereo, est na rede 200.241.35, e possui, dentro desta rede, o
endereo 46.
Octeto
End. IP dec.
Mascara dec.
End IP bin.
Mscara bin.
Separao
1O octeto
200
255
11001000
11111111
2o octeto
241
255
11110001
11111111
End. Rede
3o octeto
35
255
00100011
11111111
4o octeto
46
0
01011110
00000000
End. Host
Exemplo 2:
O endereo 10.126.46.99 um endereo de classe A. Possui, por padro, mscara 255.0.0.0, o que significa
que, a mquina que possuir este endereo, est na rede 10, e possui, dentro desta rede, o endereo
126.46.99.
Octeto
End. IP dec.
Mascara dec.
End IP bin.
Mscara bin.
Separao
1O octeto
10
255
00001010
11111111
End. Rede
2o octeto
126
0
01111110
00000000
3o octeto
46
0
01011110
00000000
End. host
4o octeto
99
0
01100011
00000000
Exemplo 3:
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
O endereo 190.23.56.89 um endereo de classe B. Possui, por padro, mscara 255.255.0.0, o que
significa que, a mquina que possuir este endereo, est na rede 190.23, e possui, dentro desta rede, o
endereo 56.89.
Octeto
End. IP dec.
Mascara dec.
End IP bin.
Mscara bin.
Separao
1O octeto
190
255
10111110
11111111
2o octeto
23
255
00010111
11111111
End. Rede
3o octeto
56
0
00111000
00000000
4o octeto
89
0
01011001
00000000
End. Host
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
O UDP assim como o TCP, tambm um protocolo de transporte. Contudo, no possui nenhuma
checagem de erros, confirmao de entrega ou sequenciamento. Ele muito utilizado em aplicaes que
necessitem de trfego urgente, e no sejam to sensveis a algumas perdas de pacotes. Exemplos de
aplicaes que usam UDP como transporte: transmisso de udio e video pela rede (RealPlayer, Realvideo ou
Media Player), jogos online (como Quake, Half-Life). Pela falta do nmero de sequncia ou confirmao de
conexo, trfego UDP muito mais vulnervel em termos de segurana.
Protocolos de Aplicao
Em cima da infra-estrutura fornecida pelos protocolos descritos at agora, funcionam os protocolos de
aplicao. Estes fazem a interface com o usurio, ou com a aplicao do usurio. Exemplos de protocolos de
aplicao: HTTP (HyperText Transfer Protocol), FTP (File Transfer Protocol), SMTP (Simple Mail Transfer
Protocol), SNMP (Simple Network Management Protocol), POP3 (Post Office Protocol v.3), TELNET, e assim
por diante. Cada protocolo de aplicao se comunica com a camada de transporte atravs de portas de
comunicao. Existem 65536 portas possveis, e por conveno, as portas de 1 a 1023 so conhecidas como
Well Known Port Numbers, portas privilegiadas ou portas baixas, que possuem servios mais comuns
previamente associados.
Cada protocolo de aplicao precisa de uma porta, TCP ou UDP, para funcionar. Os mais antigos
possuem suas portas padro j determinadas. Exemplo:
Protocolo / Aplicao
FTP
TELNET
SMTP
WINS NameServer
HTTP
POP3
SNMP
SNMP trap
Porta Padro
21
23
25
42
80
110
161
162
Transporte
TCP
TCP
TCP
UDP
TCP
TCP
UDP
UDP
As portas acima de 1023 so denominadas portas altas, e so usadas como end points, ou pontos de
devoluo de uma conexo. Imagine uma conexo como um cano de gua conectando duas casas. A
diferena que neste cano, a gua pode ir a qualquer sentido. Portanto, ao tentar ler seu correio eletrnico,
voc provavelmente usar um protocolo chamado POP3, que funciona na porta 110. Seu computador
estabelecer uma conexo com o servidor de correio, na porta 110 remota, e 1026 (por exemplo) localmente.
A porta local na maioria dos protocolos, uma porta acima de 1023, desde que no esteja sendo usada.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
TRACERT (traceroute)
O tracert tambm utiliza pacotes ICMP (em mquinas Windows) para realizar diagnsticos. Porm,
desta vez, voc poder determinar qual o caminho que os pacotes faro at um host destino. A funo do
tracert ou traceroute justamente essa: traar a rota entre uma origem e um destino. Ele mostrar todos os
ns (roteadores) entre a origem e o destino, com o tempo mdio que o pacote levou para atingir o
determinado n. Com este utilitrio tambm possvel determinar se existe um loop em algum roteador entre
a origem e o destino. Alguns roteadores entram em loop quando perdem um de seus links, ou simplesmente
quando no esto configurados corretamente. Vale citar que todo pacote possui um tempo de vida, que
representa a quantidade em segundos que ele pode passar sendo processado pelos roteadores. Suponha que
o tempo de vida (TTL Time To Live) de um pacote 127. Cada roteador por onde o pacote passar, diminuir
deste valor, o tempo que o pacote passou para ser processado internamente. Na grande maioria dos casos, os
roteadores processam o pacote em muito menos de 1 segundo, porm, mesmo assim, diminuiro pelo menos
uma unidade do TTL. Este valor evita que trfego morto seja mantido em circulao, tipicamente em loops
que potencialmente podem ser criados por configuraes de rotas erradas.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
4. Entendendo a Invaso
Na Internet Brasileira, a quantidade de vtimas, sejam corporativas ou o usurio final, s
no maior pela falta de divulgao, no pela quantidade de investimentos ou medidas de
contra-ataque adotadas, que so desprezveis.
O Porqu da Invaso
Os motivos so diversos. Variam desde a pura curiosidade pela curiosidade, passando pela curiosade
em aprender, pelo teste de capacidade (vamos ver se eu sou capaz), at o extremo, relativo a ganhos
financeiros, extorso, chantagem de algum tipo, espionagem industrial, venda de informaes confidenciais e,
o que est muito na moda, ferir a imagem de uma determinada empresa ou servio (geralmente, a notcia de
que uma empresa foi invadida proporcional a sua fama e normalmente um desastre em termos de RP).
As empresas hoje em dia investem quantias fantsticas em segurana, mas no no Brasil. O retrato do
descaso segurana de informaes no Brasil claramente traduzido na falta de leis neste sentido. Alm
disso, existe um fator agravante: quando existir o interesse em elaborar tais leis, sero por indivduos que no
tem por objetivo principal a segurana em si. O resultado sero leis absurdas, que iro atrapalhar mais do que
ajudar. Um exemplo disso o que vem ocorrendo em alguns estados nos EUA. Nestes estados, a lei chega a
ser to restritiva que at testes de vulnerabilidade so considerados ilegais, mesmo com o conscentimento da
empresa contratante do servio.
Isto no aspecto empresarial.
No caso do usurio final, esse est entregue sorte. No existe nenhum servio de segurana
gratuito, que possa ser utilizado pelo usurio: os provedores de acesso no garantem a segurana do usurio
conectado sua rede (assim como uma companhia telefnica no poderia ser responsabilizada por um trote).
De qualquer forma, existem diversas ferramentas e procedimentos que podem ser usados para
aumentar o nvel de segurana de seu computador, digamos, em casa, que acessa a Internet por um link
discado. justamente neste nicho de mercado em que esto as principais vtimas, que inclusive, no so
notcia no dia seguinte a uma invaso. A quantidade de wannabes enorme, e a tendncia aumentar. Os
wannabes esto sempre procura de um novo desafio, e o usurio final na maioria das vezes a vtima
preferida, JUSTAMENTE pela taxa de sucesso que os Wannabes tem em relao ao nmero de ataques
realizados.
A grande maioria das empresas no Brasil tratam o seu setor de informtica como um
custo, ou despeza, e no como um investimento. Portanto, se assim o em termos
genricos, podemos concluir que os recursos destinados a medidas de segurana so
desprezveis.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Os white-hats (os black-hats e crackers tambm) se mantm muito bem atualizados. Ser inscrito em
diversas listas de discusso, ler muito sobre o tema e visitar sites de segurana essencial. Alguns sites muito
bons sobre o tema:
http://www.securityfocus.com/
http://packetstorm.securify.com
http://www.securiteam.com
http://www.hackers.com.br
O black-hat possui tanta habilidade quanto o white-hat. Porm, ao descobrir uma nova
vulnerabilidade, no a publicar na Internet: usar para fins geralmente ilegais, em proveito prprio. Possui
tambm profundos conhecimentos de programao, e geralmente est empregado em alguma empresa de
desenvolvimento de sistemas, ou como programador-analista, ou como responsvel pelo suporte. Hoje em
dia, podemos encontrar black-hats em empresas de comunicao, assim como em provedores de acesso
Internet (ISPs).
Contudo, ao contrrio do white-hat, wannabe ou cracker, o black-hat far de tudo para manter sua
identidade secreta, bem como suas atividades ilegais. A prpria natureza ilegal de suas realizaes o mantm
afastado de qualquer publicidade. A maioria dos black-hats possui algum tipo de identidade digital, ou
pseudnimo na Internet, que afasta qualquer possibilidade de identificao, como um email free (contas free
de correio eletrnico, com cadastro errado), e acessa a Internet por servidores de Proxy alheios (uma lista de
servidores proxy pode ser encontrada nos anexos). Possui contas de acesso a Internet em diversos
provedores, de preferncia em provedores muito pequenos ou do interior, que no possuem um sistema exato
para identificao de chamadas ou conexes. Hoje em dia, provedores gratuitos fornecem este acesso de
forma bastante satisfatria, principalmente em grandes cidades.
Provedores gratuitos que no possuem senhas individualizadas, s podem identificar um usurio pelo
nmero da chamada. a onde entra o Phreaker. Contudo, no Brasil, em grandes cidades, as companhias
telefnicas NO utilizam o sistema BINA (B Identifica Nmero de A), por motivos de carga imposta s
centrais telefnicas. A troca das informaes de caller ID necessrias identificao do nmero origem de
uma chamada gera uma utilizao maior das centrais. Muitas centrais que j esto em sua capacidade mxima
no conseguiriam operar com as informaes de Caller ID habilitadas. Assim sendo, se torna praticamente
impossvel identificar a origem de uma chamada, por parte de um provedor de acesso.
Mesmo assim, teramos o sistema de tarifao da companhia telefnica, que, judicialmente, poderia
comprovar a origem de uma ligao. Contudo, existem vrias formas de se burlar a tarifao. Uma delas
discar de um telefone pblico isolado, em um horrio de nenhum movimento (madrugada). Outra opo
roubar uma linha telefnica diretamente em um quadro de conexes de um quarteiro, ou at mesmo no
prprio poste de iluminao pblica, ou em quadros de telefonia de um condomnio, por exemplo. A terceira
opo seria usar conhecimentos de phreaking para evitar que a companhia telefnica consiga obter a
identificao da chamada.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Independente do mtodo utilizado, o esforo empregado na identificao ser proporcional ao efeito
das aes de um hacker. Um black-hat pode perfeitamente usar os mtodos descritos acima, de conexo
atravs de um provedor gratuito, apenas para identificar ou obter informaes necessrias ao seu trabalho.
Uma vez determinada uma abordagem ou traada uma metodologia para se realizar uma invaso, a sim,
mtodos mais avanados podem ser usados, como roubo de linha (conhecido no Brasil como papagaio) ou
at phreaking, impedindo sua identificao.
Alm do black-hat, temos os crackers e os wannabes, que de certa forma, poderiam ser enquadrados
como black-hats, mesmo no tendo conhecimento para tal.
As empresas muitas vezes sequer oferecem a infra-estrutura necessria a um
administrador de redes e segurana competente. Analisam apenas a questo de
custo/benefcio imediata, sem levar em considerao o impacto que uma invaso poder
ter na imagem da empresa, e na perda direta de clientes a longo prazo.
Os crackers faro ou tentaro fazer uma invaso apenas pelo desafio, ou para enaltecer seu ego,
junto ao espelho, ou junto comunidade da qual participa. Neste aspecto, o wannabe possui mais ou menos o
mesmo ponto de vista. Contudo, o wannabe usa mais suas histrias para se afirmar dentro do seu grupo
social do que o cracker. Um exemplo clssico do comportamento de um cracker foi o demonstrado pelo Kevin
Poulsen, hacker bastante conhecido, que foi preso nos EUA por ter invadido a rede de defesa (ARPANET),
entre outras coisas, como forjar ligaes para uma emissora de rdio para vencer um concurso, que tinha
como prmio... um Porshe.
Hoje, consultor de segurana, e escreve artigos para diversos sites especializados sobre o tema.
colunista chefe em http://www.securityfocus.com/.
Como demonstrado, esta uma diferena bsica: o cracker possui algum conhecimento e mais
objetivo em suas realizaes. O wannabe geralmente no organizado, e tenta testar em tudo e em todos as
novidades que conseguir obter. Este mais perigoso, pois pelo fato de atirar em todas as direes, pode
atingir qualquer um, eu, voc, ou algum conhecido / famoso. tambm o mais fcil de cair nas mos da
justia, pela enorme trilha de pistas que deixa no caminho por onde passa.
O mais interessante disso tudo que a grande maioria dos black-hats do passado, hoje so Whitehats (at onde sabemos), e so bem sucedidos como colunistas e palestrantes. Contudo, poucos conseguiram
emplacar como consultores de segurana.
Alguns do hackers mais famosos podem ser encontrados em:
http://tlc.discovery.com/convergence/hackers/hackers.html
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Concluso: quanto menos servios no ar, menor a possibilidade do computador apresentar uma falha
de segurana.
Sistema Operacional
No existe sistema operacional seguro. O que existe um administrador consciente e
capaz, que, a partir das ferramentas disponibilizadas com o sistema operacional, ter como
tarefa us-las para garantir a segurana desejada.
Um dos maiores mitos que existem hoje na Internet e no meio de segurana relativo a sistemas
operacionais. O mito existe em torno da rivalidade entre Windows NT / 2000 contra solues baseadas em
UNIX. Qualquer programa est sujeito a falhas, inclusive programas da Microsoft, E programas feitos pela
comunidade, para uso em alguma das diversas plataformas UNIX, como o Linux.
Tradicionalmente, os profissionais de segurana que hoje existem vieram do ambiente de
programao, ou foram um dia, hackers (sejam white-hats ou black-hats). Cada um destes profissionais
possui suas preferncias de uso, e tendero a recomendar aquele sistema que dominam, ou que se sentem
mais confortveis em operar / configurar. Porm, alguns destes profissionais, por no conhecerem bem outras
solues, de uma forma ou de outra tm a tendncia a no recomend-la (seja por uma preferncia pessoal
ou at comercial, pois deixar de vender uma consultoria caso seu cliente escolha outra soluo que no
domine).
Outro problema bastante comum, mas que poucos tem a coragem de admitir, que a grande maioria
dos administradores de sistemas UNIX possui conhecimentos bsicos sobre redes, segurana e administrao
destes ambientes. Contudo, a maioria dos administradores para a plataforma Microsoft no possui estes
conhecimentos bsicos, o que torna as instalaes desta plataforma mais susceptveis a ataques bem
sucedidos. Neste caso, a facilidade em operar o sistema prejudica de forma indireta a sua segurana, a
longo prazo.
Regra bsica nmero 1 de segurana em sistemas operacionais:
Mantenha todo o sistema, e, principalmente os servios de rede que nele so executados, atualizados ao
mximo principalmente se a atualizao for relativa a algum problema de segurana.
Regra bsica nmero 2 de segurana em sistemas operacionais:
(seguindo o Teorema Fundamental dos Firewalls)
Execute somente servios necessrios. Qualquer programa, servio, cdigo de algum tipo que no seja
necessrio, deve ser tirado do ar, e, se possvel, removido da instalao, ou impossibilitado de ser executado.
Regra bsica nmero 3 de segurana em sistemas operacionais:
Senhas ou contas de administrador ou equivalente NO devem ser usadas (ou apenas em algum caso onde a
tarefa EXIJA tal privilgio), bem como no devem ser de conhecimento pblico.
Regra bsica nmero 4 de segurana em sistemas operacionais:
Segurana fsica tudo. Somente permita ter acesso console do servidor, aqueles que detenham acesso de
administrao. A grande maioria dos exploits de segurana somente funcionaro se o hacker possuir acesso
fsico / local console do computador. Evite ao mximo compartilhar um computador e, se for impossvel
evitar, nunca digite, use ou acesse nada confidencial neste computador / servidor.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Regra bsica nmero 5 de segurana em sistemas operacionais:
Se um servidor for invadido, e uma conta de administrador ou equivalente for comprometida, no h forma
de medir o estrago causado. Um invasor com poderes de administrao poder realizar qualquer tarefa no
ambiente. Portanto, o tempo que se levar para apurar os danos ser muito maior que o suportvel. Colete
todos os dados que achar pertinente, para apurar posteriormente a invaso, e comece do zero: reinstale o
servidor.
Plataforma Windows: Windows 9x / ME
O Windows 9x / ME (95, 98 ou ME) no foi concebido com segurana em mente. Contudo, a Microsoft
esqueceu que, com o advento da Internet, alguma segurana deveria existir por padro no sistema para evitar
ataques, para usurios deste sistema. De qualquer forma, existem alguns procedimentos que qualquer um
pode adotar para tornar seu computador Windows 9x mais seguro. Obviamente, praticamente impossvel ter
uma funcionalidade de servidor de algum tipo, exposto Internet, aliada segurana, com este sistema
operacional.
Existem vrias vulnerabilidades documentas e bastante exploradas nesta famlia de sistemas
operacionais. Tentar manter um computador Windows 9x/ME seguro, relativamente possvel, desde que:
1. No existam programas servidores rodando no mesmo, principalmente se forem Microsoft,
incluindo o compartilhamento de arquivos e impressoras para redes Microsoft, ou Novell;
2. No seja possvel obter acesso a console do computador. Caso o computador seja compartilhado,
esquea qualquer tipo de segurana. Caso o computador esteja em um quiosque, cybercaf ou
semelhante, devemos partir do princpio de que ele j est comprometido;
3. Caso o computador no esteja compartilhado, que possua um personal firewall instalado;
4. Caso o computador no esteja compartilhado, que possua um antivrus instalado.
Programas servidores
Por padro, uma instalao default do Windows 9X no possui nenhum programa servidor de rede
instalado. necessria a interveno do usurio para efetuar a instalao de algum. Neste caso, este sistema
operacional no possui nenhuma segurana local, ou atravs de sistema de arquivos, o que torna impossvel
manter uma configurao segura, caso algum programa seja usado para acessar os arquivos do computador.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Muitos usurios deste sistema instalam componentes servidores, como Web Server (A Microsoft
possui um para esta plataforma: chama-se Personal Web Server), servidor FTP (como o SERV-U), e o prprio
Compartilhamento de arquivos e Impressoras para Redes Microsoft.
Se formos definir graus de periculosidade para estes componentes, diria que o Personal Web Server
ganha disparado. Alm de ser um componente que exige um conhecimento diferenciado para operar, possui
diversas vulnerabilidades que tornam o computador susceptvel a ataques.
Em segundo lugar, temos o Compartilhamento. Este componente de rede no instalado por padro,
mas muito comum usurios com pequenas redes domsticas, ou na empresa, instal-lo para permitir a troca
de arquivos na rede local.
Para instal-lo, existem dois mtodos, que resultam no mesmo efeito.
O segundo mtodo clicando no boto Compartilhamento de arquivos e impressoras, que pode ser
visto na imagem acima...
... e selecionando algumas das opes ao lado.
Em qualquer um dos casos, o componente
ser instalado. Porm, a instalao deste
componente NO torna o computador vulnervel em
uma rede, pelo menos no a uma invaso; apenas a
ataques do tipo DoS (vide seco Outros Tipos de
Ataques / DoS (Denial of Service Attack), pois este
componente tem se provado susceptvel a este tipo
de ataque.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Uma vez instalado esse componente far com que o sistema operacional torne disponvel, no menu de
click secundrio do mouse, sobre qualquer pasta ou unidade de disco, a opo Compartilhamento, que pode
ser vista abaixo:
Neste caso, a nica forma de proteger este servio, definindo o Tipo de acesso como Depende de
senha, e definindo uma senha para leitura ou escrita. Porm, apesar de definir uma senha tornar a pasta
relativamente segura, nada impede que um potencial invasor tente tcnicas de ataque por fora bruta, ou
seja, tentando vrias combinaes de senha at descobrir a mesma. E, descobrindo a senha, mesmo que seja
somente a de escrita, o estrago j ser imenso, como podemos ver a seguir.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Compartilhamento atravs de dial-up
Se j existe o risco de um compartilhamento mal configurado ser acessado em uma rede local,
imagine atravs da Internet. As possibilidades so as mesmas, porm, o risco elevado em ordens de
grandeza.
Qualquer componente (servio) de rede instalado no Painel de Controle \ Redes, ou atravs das
propriedades do Ambiente de Rede pode ou no estar associado s interfaces de rede a qual ir funcionar.
Neste caso, se um servio estiver associado a uma interface de rede local, ento a rede local ter
acesso ao mesmo. Caso o servio esteja associado ao adaptador de rede dial-up, ento, a rede a qual se
conectar via adaptador dial-up ter acesso tambm ao servio.
rede:
Estas associaes, ou ligaes, podem ser checadas na opo de propriedades dos componentes de
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Acesso a console
considerado acesso a console quando qualquer usurio pode manipular o computador a partir do
prprio teclado e mouse, localmente. Em um ambiente como Windows 9x, como vimos anteriormente, por no
existir definio de usurios em um contexto de segurana, bem como no existir a definio de permisses,
qualquer acesso local considerado tambm como acesso de administrao.
Neste caso, a primeira coisa que um potencial invasor tentar instalar um cavalo de tria, ou Trojan
Horse, que permitir que o mesmo acesse este computador posteriormente, atravs da rede. Existem
diversos cavalos de tria disponveis na Internet, como o Back Orifice e o Netbus, que veremos mais adiante.
Em segundo lugar, o acesso local permite que o invasor copie os arquivos .pwl. O Windows 9x, por
padro, se possuir os componentes de rede instalados, salva a lista de senhas de cada usurio, em arquivos
nomedous.pwl, onde nomedous o nome do usurio que efetuou logon, truncado em 8 caracteres, da
esquerda para a direita, dentro do diretrio do Windows.
Veja:
Apesar deste arquivo guardar as senhas criptografadas, a criptografia usada muito fraca, facilmente
quebrada por diversos programas que existem na Internet, justamente para este fim.
Portanto, se um invasor tiver acesso a estes arquivos, seja atravs de um compartilhamento, ou
atravs da console, potencialmente ter acesso a uma lista de senhas. Aliado ao fato de que raramente
usamos senhas diferentes para os diversos servios que usamos hoje em dia, imagine o que pode ocorrer.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Voltando questo do compartilhamento, a metodologia que provavelmente ser usada para acessar
uma configurao realizada de forma incorreta, poder ser a seguinte:
Visualizao dos compartilhamentos de um computador:
Uma vez visualizados os compartilhamentos, o invasor pode simplesmente acessar todos aqueles que
no possuem senha, das seguintes formas:
...Por mapeamento:
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
A partir da, o compartilhamento remoto do drive C: (C) foi associado ao drive local X:. Repare que
todos os arquivos remotos esto acessveis. Existem tambm outras informaes que podem ser acessadas
atravs do servio de compartilhamento, descritas mais adiante em Ferramentas / Services Fingerprinting.
...Por interface grfica
Atravs da interface grfica se torna ainda mais fcil acessar o compartilhamento. Veja:
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
winrun.bat. Qualquer cone ou programa dentro do grupo Iniciar (StartUp), bem como qualquer linha de
comando dentro do arquivo winrun.bat, ser executado quando o sistema carregar (o winrun.bat
executado quando o sistema carrega a interface grfica herana do Windows 3.x. O grupo Iniciar
executado quando o usurio efetua logon, ou se identifica. Caso o Computador no esteja configurado para
mltiplos usurios, ou no participe de uma rede local, ele executado como parte da carga da interface
personalizada do computador.
Tambm possvel iniciar programas e aplicativos direto do registro. As chaves:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\C
urrentVersion\Run ... Especificam que programas sero executados quando o Windows carregar.
Por padro, apenas o systray e algum programa anti-virus devem estar listados. Se em algumas
destas linhas est aparecendo algum programa que voc tenha baixado da Internet recentemente,
aconselhvel instalar um anti-virus atualizado o mais rpido possvel. Provavelmente um cavalo-de-tria.
Veja:
Antivrus
Programa de monitorao da CPU (temperatura, voltagem, etc.)
Programa de mensagens instantneas ICQ
Programa de controle da placa de vdeo
Programa de controle da placa de rede
RealPlayer
Componente do Windows XP
Programa para acesso remoto console do computador
Perceba que nenhum dos programas acima um cavalo de tria. Contudo, se verificar a existncia de
alguma linha que aponte para um arquivo recuperado da Internet recentemente, deve executar um antivrus
urgente.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Indo um pouco mais alm, voc pode executar o comando netstat an para verificar se seu
computador est configurado para escutar em alguma porta suspeita. Isto tambm pode indicar algum
cavalo-de-tria.
Ao digitar o netstat an voc ter como resposta algo assim:
C:\WINDOWS\Desktop>netstat -an
Conexes ativas
Proto
TCP
TCP
TCP
UDP
UDP
Endereo local
200.249.213.241:137
200.249.213.241:138
200.249.213.241:139
200.249.213.241:137
200.249.213.241:138
Endereo externo
0.0.0.0:0
0.0.0.0:0
0.0.0.0:0
*:*
*:*
Estado
LISTENING
LISTENING
LISTENING
C:\WINDOWS\Desktop>
Essa a tpica resposta de um computador com uma placa de rede, que no est conectado
Internet, e que acabou de ser iniciado. Note que ele est escutando nas portas 137, 138 e 139. Para um
computador Windows 9x, isso normal. Contudo, se voc no realizou a instalao de nenhum programa de
rede em seu computador que o transforme em algum tipo de servidor, e ainda assim portas estranhas
aparecerem listadas, isto quer dizer que algo est errado. Uma lista de portas que indicam cavalos-de-tria
pode ser encontrada no anexo 3. Porm, alguns destes cavalos-de-tria usam portas que por padro, so
usadas por servios conhecidos, como FTP File Transfer Protocol (porta 20 e 21), HTTP Hypertext Transfer
Protocol (porta 80) e assim por diante. Portanto, antes de imaginar que est infectado, certifique-se de que
tais servios no estejam rodando em seu computador. Uma lista com as portas privilegiadas (conhecidas
como Well known port numbers) pode ser encontrada no anexo 4, bem como uma lista de portas no
privilegiadas, acima de 1024, podem ser encontradas no anexo 5. Caso o material no esteja mo e uma
consulta seja necessria, dentro da pasta \WINDOWS\ (Windows 9x) ou \WINNT\SYSTEM32\DRIVERS\ETC
(Windows NT/2000) existe um arquivo chamado services que contm as principais portas.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Porm, deve se ter bastante cuidado com mudanas de permisses em arquivos do sistema, assim
como criptografia. Alterar as permisses de um arquivo usado pelo NT / 2000 / XP pode tornar o computador
inutilizvel, pois o prprio sistema no ter permisso para acessar os arquivos. Em caso de dvida, devem-se
sempre adicionar permisses de leitura e escrita tambm para o item SYSTEM, que representa o prprio
sistema operacional.
Quanto ao recurso de criptografia, deve ser usado apenas em arquivos de dados.
Outro ponto que deve ser observado : caso seja usurio de um sistema Windows NT 4.0. Ao se
converter uma partio para NTFS, as permisses estaro em branco. A seguinte tabela demonstra as
permisses que podem ser aplicadas, segundo recomendao da prpria Microsoft:
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Pasta
Permisso
Uma vez aplicadas as permisses acima, as seguintes permisses devem ser feitas:
Pasta
Permisso
\WINNT\REPAIR
\WINNT\SYSTEM32\CONFIG
\WINNT\SYSTEM32\SPOOL
\WINNT\COOKIES
\WINNT\FORMS
\WINNT\HISTORY
Everyone: Add
\WINNT\OCCACHE
\WINNT\PROFILES
\WINNT\SENDTO
\WINNT\Temporary Internet Files
Observao: as permisses acima s necessitam ser aplicadas caso o computador em questo possua
o Service Pack 5 ou anterior.
Caso deseje rever as permisses de um ambiente Windows 2000, a tabela acima pode servir de guia,
apenas alterando o diretrio \WINNT\PROFILES para \Documents and Setings na mesma partio em que
o sistema est instalado.
Tambm recomendado que, caso deseje testar permisses em arquivos de sistema, que seja feito
em um computador para esta finalidade, pois como visto anteriormente, a aplicao de uma ACL incorreta em
arquivos usados pelo sistema operacional pode deixar o computador bloqueado. Neste caso, o disco com o
sistema deve ser colocado em outro computador com o mesmo sistema operacional, e ter suas permisses
revogadas para Everyone full Control
Auditoria
Em um sistema seguro, primordial que exista algum tipo de auditoria, onde certos erros de
permisso sejam armazenados para anlise. recomendado que no NT/2000/XP, todos os objetos sejam
auditados quanto falha de acesso. No caso do objeto Logon/Logoff, tambm recomendado que o
sucesso seja auditado, para que uma anlise de quem efetuou ou no logon no computador, localmente ou
via rede, seja possvel. No acione a auditoria em processos ou em arquivos, a no ser que seja para
depurao de um problema de segurana eminente. Estes dois objetos causam muita atividade de log,
deixando o computador / servidor mais lento.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Alerter
Messenger
Permite que um suposto hacker via rede visualize o nome do usurio atualmente logado na console, atravs
do comando nbtstat. Isso d ao hacker um nome de usurio vlido para um ataque de fora bruta em
sua senha.
Clipbook Server
Index Server
um servio geralmente instalado juntamente com o pacote de servios de Internet (Option Pack no caso do
Windows NT 4.0), ou por padro, no Windows 2000/XP. Permite a pesquisa via string de texto em qualquer
arquivo indexado. recomendado no usar tal servio (no Windows 2000/XP, se chama Indexing Service).
Vulnerabilidades conhecidas, como o caso do CodeRed I e II, worm que assolou a Internet em Julho de 2001,
so baseadas em falhas deste componente.
o servio de impresso. Em servidores que ficam expostos Internet diariamente, e no possuam nenhum
servio de impresso ativo, recomendado que seja desabilitado (no Windows 2000/XP, se chama Print
Spooler). Existem ataques do tipo DoS contra este servio.
So dois servios que pemitem a utilizao do Simple Network Management Protocol. Se no possurem uma
inteno especfica (como instalado pelo administrador para monitorao do computador) ou se no estiver
corretamente configurado, podem revelar muitas informaes sobre o computador em si, como interfaces de
rede, rotas padro, entre outros dados. recomendado ter cautela com tais servios. Mesmo que exista a
necessidade de monitorar, por exemplo, o trfego nas interfaces de rede, neste caso, recomendado que o
trfego seja monitorado a partir do swith ou roteador.
Perceba que no existem falhas correntes publicadas para este servio, mas o seu uso em si pode divulgar
informaes sobre o computador. Maiores detalhes em Ferramentas / Services Fingerprinting.
Scheduler
um servio que permite o agendamento de tarefas no sistema. Voc pode programar para que tarefas sejam
executadas numa determinada hora. Cuidado: por padro, qualquer pograma iniciado pelo sistema de
agendamento, possuir o contexto de segurana do prprio sistema, tendo acesso praticamente qualquer
informao (no caso do Windows NT 4.0). Caso seja realmente necessrio, crie um usurio sem direitos (com
direito apenas de executar a tarefa desejada) e programe este servio para ser inciado no contexto de
segurana deste usurio criado. Em relao ao Windows 2000 e ao XP, no existe esta preocupao. Contudo,
no recomendado dar ao grupo Server Administrators o poder de agendar tarefas. Apenas o administrador
deve possuir este direito. (no Windows 2000, o servio se chama Task Scheduler).
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
No Windows XP, parar este servio pode prejudicar a performance do sistema. Diversas tarefas internas de
otimizao de performance, como desfragmentao das unidades de disco so agendadas atravs deste
servio. Portanto, no caso especfico do Windows XP, no recomendado par-lo.
Em computadores que so usados exclusivamente em casa, e que no participam de nenhuma rede,
apenas acessam a Internet atravs de um modem, recomendado tambm parar os seguintes servios:
Computer Browser
Servio essencial a uma rede Microsoft. Permite que este computador seja eleito um Browser Master, ou
controlador de lista de recursos de um grupo de trabalho ou domnio. Numa configurao de apenas uma
mquina, no necessrio estar no ar.
Server
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Se seu acesso Internet estiver corretamente configurado, pelo menos duas das opes devero ser
Remote Access WAN Wrapper. Expanda as duas (clicando no sinal de +). Na opo que possuir Cliente
WINS (TCP/IP) (WINS Client (TCP/IP)), clique em cima, e depois, no boto Desabilitar (Disable).
Os servios SNMP e Simple TCPIP Services podem ser facilmente removidos, caso tenham sido
instalados e no estejam em uso. Para isso, no caso do Windows NT 4.0, basta ir ao cone Rede no painel de
controle, ir s configuraes de servios, e remov-los.
No caso do Windows 2000 ou XP, deve-se ir ao painel de controle, adicionar e remover programas,
instalao do Windows, e remov-los.
Alm destas configuraes bsicas de segurana, bom manter em mente o fato de que o Windows
NT / 2000 / XP vulnervel a ao de alguns vrus e cavalos-de-tria, assim como qualquer sistema
operacional. Usar por padro um bom software antivrus uma boa medida, caso tenha o hbito de usar o
computador logado como administrador ou equivalente.
O Windows XP possui incorporado ao sistema funcionalidades de firewall. Veja a seo Ferramentas
/ Personal Firewalls para maiores detalhes.
Instant Messaging
Existem diversos programas desta categoria na Internet. A maioria deles possui a funo bsica de
permitir a troca rpida de mensagens entre dois computadores ou mais. Muitos tambm possuem funes que
permitem troca de arquivos e imagens, e at voz pela Internet. Vejamos os trs mais usados: ICQ (I Seek
You), AIM (Aol Instant Messenger) e o MSN Explorer.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
com o computador do outro usurio. Assim, um simples comando netstat an revelar o endereo IP. Para
testar:
(voc pode at usar um programa que seja mais prtico do que o netstat na linha de comando, como o Netmon discutido na seo
Ferramentas / Services Fingerprinting)
O novo endereo que aparecer, ser o endereo IP do outro usurio, para quem enviou a mensagem.
Outra forma, mais prtica, usar uma ferramenta como o ISOAQ. Feito para verses antigas do ICQ,
ainda funciona muito bem para esta finalidade, como podemos ver:
No. ICQ
O
nome
e
o
propositalmente.
UIN
foram
omitidos
Endereo IP
A lista de UINs foi omitida
propositalmente.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Perceba que este programa fornece todos os endereos de todos em sua contact list, desde que
estejam conectados. Tambm fornece a verso do ICQ que cada um usa, obviamente, os endereos IP, entre
outras coisas.
Ele pode ser baixado de: http://isoaq.hosted.ru/index.html
Existem ainda outras configuraes de segurana dentro do ICQ, que dificultam o trabalho de algum
que tente lhe prejudicar. Existem algumas falhas no ICQ e alguns servios que NO devem ser usados. A
principal falha o servidor Web que o ICQ possui incorporado. Este servidor web permite que pessoas se
conectem a seu computador, e JAMAIS deve ser usado...
...Uma falha no programa permite que algum acesse qualquer contedo do seu disco, onde o ICQ estiver
instalado. Portanto, deixe esta opo abaixo sempre desligada (Services, My ICQ Page, Activate Homepage
ela est presente em verses antigas do programa):
Existem algumas outras opes rudimentares de segurana no ICQ, que devem ser usadas, como, por
exemplo, ignorar um usurio (qualquer contato que seja indesejado ser ignorado caso seja configurado nesta
lista).
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Windows Messenger
A Microsoft obviamente descobriu o mercado para os programas de mensagens instantneas, e
embarcou nele. O software da Microsoft chama-se Windows Messenger, e usa como protocolo de comunicao
apenas http (o mesmo usado para o servio web de pginas).
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Em todos os casos, a principal preocupao com os servios de mensagens instantneas a
divulgao de seu endereo IP. No caso do AIM e do MSN Explorer, isto pode ser ainda evitado, com algumas
medidas simples, como vimos. J o ICQ, por ser o mais usado em todo o mundo, e o mais complexo, o que
rene o maior potencial para insegurana.
Contudo, deve ficar claro que todos eles, corretamente configurados, podem ser usados. Lembre-se
que, qualquer um que receba um arquivo que seja um cavalo de tria, e o execute, no poder colocar a
culpa no mtodo usado para compartilh-lo. Neste caso, apenas uma questo de educao e hbito.
Correio Eletrnico
O correio eletrnico, hoje em dia, claramente o meio mais usado para disseminao de vrus e
cavalos-de-tria. O email de certa forma uma aplicao bastante invasiva hoje em dia, e, por este motivo,
todo cuidado pouco ao receber qualquer mensagem que seja, com um arquivo anexo. A maioria dos
usurios de rede e Internet hoje no mundo todo, acessam suas contas de correio atravs de um protocolo de
recepo de mensagens chamado POP3 (Post Office Protocol v. 3). Este protocolo, aliado configurao
padro da maioria dos programas clientes de correio, faz com que, ao checar sua caixa postal, todas as
mensagens sejam baixadas de forma no interativa. Caso algum dos correios esteja infectado com um script
ou cavalo-de-tria, o usurio somente saber quando o correio j estiver dentro de sua caixa postal local.
Assim sendo, muito comum o usurio, movido pela curiosidade, tentar abrir qualquer documento
anexo mensagem. Boa parte dos cavalos-de-tria so programinhas grficos apelativos, com mensagens que
alimentam a curiosidade do usurio, como pequenas animaes, desenhos, ou coisas do gnero. Ao executar
algum programa destes, o usurio tem a impresso de que nada ocorreu. Contudo, o cavalo-de-tria tem uma
segunda funo, que geralmente abre o computador para um ataque via Internet. Os cavalos-de-tria sero
discutidos mais a frente.
Exemplo de uma mensagem de
correio com o happy99.exe anexo. Este
trojan/worm foi lanado no final de 1998, e
ainda hoje, circula em grande quantidade na
Internet.
Foi o primeiro vrus a realmente
popularizar a onda que vemos hoje de
disseminao pelo correio. Isto forou os
fabricantes e desenvolvedores de programas
antivrus a adatar seus softwares, de forma
que eles chequem no vo as mensagens que
so depositadas na caixa postal local.
O grande problema que tira o sono da maioria dos administradores de rede de empresas a queda do
conceito que se tinha de que, se no executar um anexo, nunca ser infectado. Esta frase perdeu a
validade, uma vez que existem scripts e programas que exploram falhas nos software de correio, e se autoexecutam.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Obviamente, este definitivamente no o comportamento padro que um programa de correio deve
ter. Estes scripts ou programas maliciosos usam falhas para se executarem automaticamente, e isso s
possvel por causa delas. Para ficar protegido contra este tipo de ameaa, a melhor sada sempre manter o
seu sistema atualizado. Estas falhas so corrigidas antes que algum script seja difundido o suficiente
(infelizmente, a maioria das pessoas no costuma manter seus sistemas atualizados).
Contudo, o risco maior neste caso passa a ser dos administradores de grandes ambientes, que tero
de efetuar atualizaes praticamente durante noite, para poder concluir o trabalho antes que as falhas se
tornem perdas reais, no dia seguinte. Todo administrador de rede j possui trabalho o suficiente, pois por
mais que instrua os usurios de uma rede a no executarem arquivos anexos, os avisos no funcionam.
Agora, imaginemos este ambiente, com vrus e worms que sequer precisem ser executados.
Gerncia Remota
Hoje em dia, existem diversos programas para gerncia remota disponveis. Com o aumento da
velocidade dos meios de comunicao de dados, vemos que as facilidades para gerncia remota tm
melhorado, principalmente, em qualidade. Hoje, apenas com uma linha discada, analgica, a 33.6 Kbps,
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
conseguimos capturar a console de um computador ou servidor, ou at abrir uma sesso grfica
remotamente, isto tudo com um nvel de usabilidade impressionante.
Contudo, quando estamos falando destas facilidades, devemos lembrar tambm que o acesso a um
computador atravs de um mtodo destes praticamente a mesma coisa que estar na console do
computador. Muitas vezes, no lembramos deste detalhe e no tomamos as devidas precaues.
Podemos classificar estes programas / servios em dois tipos:
1. Captura de console
2. Sesso remota
Captura de console
Os programas que permitem capturar a console fazem exatamente isso. Permitem que, remotamente,
se consiga ver e usar o ambiente grfico (GUI) presente na console do computador, desde que devidamente
autenticado. Geralmente, este tipo tem a pior performance, devido ao alto trfego causado pelas imagens da
interface grfica (a imagem geralmente passada como uma matriz de pontos).
(http://www.uk.research.att.com/vnc/)
O VNC tem se tornado uma febre recentemente
em empresas. um utilitrio gratuito, que pode ser
baixado diretamente do site da AT&T acima.
O VNC simplesmente um utilitrio que permite a captura da tela de um computador, seja ele um
Linux, Windows ou Macintosh. Isso por sinal o que faz dele um sucesso.
Outra grande vantagem do VNC o cliente Java. O VNC possui um componente servidor (instalado no
computador que se deseja gerenciar) e um componente cliente (instalado no computador que se deseja usar
para acessar o servidor). Contudo, o prprio componente servidor possui um servidor Web incorporado, o que
dispensa ter o cliente. Em resumo, possvel capturar a tela de um computador remotamente, apenas atravs
de um browser.
O VNC possui duas falhas de segurana em potencial.
A autenticao inicial do VNC criptografada. Porm, todo o trfego a partir da clear text (sem
criptografia de nenhum tipo). Portanto, sua utilizao recomendada apenas em redes confiveis (trusted
networks), ou que faam uso de canais privados de comunicao criptografados, como VPNs (Virtual Private
Networks).
Como abre inicialmente duas portas TCP, fcil detectar que um computador possui o VNC instalado.
Um mtodo bastante simples apontar um browser com suporte a Java para o endereo IP que se deseja
testar, especificando a porta, como por exemplo:
http://servidor_a_ser_testado:5800
... Substituindo o servidor_a_ser_testado pelo nome ou IP do computador. Caso este computador possua o
VNC instalado, e no exista nenhum filtro ou firewall que bloqueie estas portas, receber no browser uma
janela assim:
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Veja:
Uma vez de posse da informao de que um determinado computador em rede possui o VNC
instalado, um potencial hacker poder usar uma ferramenta de ataque por fora bruta, e tentar quebrar a
senha de acesso do VNC, como o VNCrack:
http://www.phenoelit.de/vncrack/
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Este utilitrio ter maior eficincia contra a verso 3.3.3r7 e anteriores. Como administradores
instalam o VNC e nunca atualizam, muito comum encontrar verses at bem mais antigas.
difcil admitir, mas os invasores geralmente conhecem tudo sobre voc e seu sistema.
Por outro lado, ns no conhecemos quem so, e o que pretendem. Alm disso, o tempo
est a seu favor, e absolutamente contra ns.
PCAnywhere
(http://www.symantec.com/pcanywhere/index.html)
O PCAnywhere um dos produtos de acesso remoto mais conhecidos e difundidos. Ele fabricado
pela Symantec, a mesma empresa que fabrica o Norton Antivirus. O PCAnywhere fornece o controle total de
um computador remotamente, seja atravs de uma rede, seja atravs de uma linha discada (modem).
A maioria dos usurios desta ferramenta, quando a configuram para acesso via modem, acham que
no necessrio colocar uma senha de acesso, e confiam completamente no nmero de telefone como
barreira segurana (quem vai adivinhar que no fone 2225522 existe um modem para gerncia via
PCAnywhere ?). Infelizmente, existe uma tcnica chamada war dialing, usada para descobrir, dentro e um
intervalo de nmeros telefnicos, quais respondem voz e quais respondem dados. Basicamente, um
programa que usa um computador para tentar, um a um, vrios nmeros telefnicos e emitir um relatrio
sobre quais destes responderam com sinal de modem. A maioria das grandes empresas possui suas prprias
centrais telefnicas, e contratam um servio da companhia telefnica chamado DDR (Discagem Direta Ramal).
Assim, os nmeros telefnicos desta empresa so sequenciais, facilitando ainda mais a tcnica de war dialing.
Quando isto no ocorre, o hacker tem por prazer configurar o programa de war dialing para discagem
randmica, e deix-lo trabalhando por semanas (s vezes at meses). Mais cedo ou mais tarde, ele achar
algum nmero telefnico com um modem na ponta. Apesar de parecer uma tcnica tipo loteria, sua eficcia
bastante alta, principalmente em empresas que usem servios telefnicos de DDR.
Alm disso, o prprio PCAnywhere possui bugs, como qualquer outro programa. De acordo com o
teorema fundamental dos firewalls, qualquer programa possui bugs. Um programa relativo segurana ter
bugs relativos a segurana. A ltima vulnerabilidade detectada no PCAnywhere permitia um ataque do tipo
DoS, que impedia o programa de ser acessado remotamente depois de um ataque (verso 10.0). Porm,
observe que a m configurao de um programa relativo a segurana pode ser desastrosa, muitas vezes pior e
mais abundante do que qualquer problema relativo a bugs.
Veja mais informaes sobre problemas com o PCAnywhere em:
http://www.securiteam.com/windowsntfocus/5FP0C1F55G.html
http://www.securiteam.com/exploits/5BP0G201FO.html
http://www.securiteam.com/windowsntfocus/5YP0C0K3FI.html
Sesso remota
Os programas de sesso remota permitem abrir uma nova sesso para um usurio, onde um novo
ambiente carregado, independente da console. Imagine um terminal remoto, com uma diferena: grfico.
Estas aplicaes possuem a melhor performance, porque, apesar de tratarem partes da tela como
uma matriz de pontos, mostram alguns itens na tela com comandos pr-definidos. Assim, como a utilizao da
rede menor, h um ganho em velocidade.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
O servio usa a porta 3389/tcp. No existem vulnerabilidades detectadas at hoje nele, e todo o
trfego entre o programa cliente e o servidor criptografado. Contudo, J foi descoberto um problema que
permite um ataque do tipo DoS no servidor como um todo. Maiores informaes em:
http://www.microsoft.com/technet/security/bulletin/MS01-040.asp
http://www.securiteam.com/windowsntfocus/5QP0M2A4UI.html
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Um detalhe: O sevio de terminal s est disponvel no Windows NT 4.0 Terminal Server Edition ou no
Windows 2000 Server em diante. Com o Windows XP, ele tambm est disponvel na verso Professional, e
permitir conexes com console remota da mesma forma.
Repare que a captura das informaes digitadas no lado cliente tambm possvel. Assim sendo,
recomendada sua utilizao apenas em computadores que no sejam compartilhados, e que sejam confiveis.
Estes so trs dos programas de gerncia remota mais usados hoje pela comunidade. Cada um deles
requer uma certa experincia em sua manipulao, pois se feita de forma errada, der a um invasor, a
possibilidade de controlar o computador ou servidor remotamente, de qualquer lugar.
Poucos administradores tomam cuidado ao usar uma destas ferramentas, ou qualquer outra, de
gerncia remota. O maior erro fazer uso delas em computadores compartilhados, ou que estejam
conectados redes no confiveis (untrusted networks). Existem diversos programas disponveis livremente
na Internet que armazenam em um arquivo, para posterior anlise por parte de um hacker, todas as teclas
digitadas em uma mquina comprometida. A concluso bvia: se algum utilitrio de gerncia remota for usado
a partir de uma destas mquinas, estaro no arquivo armazenadas informaes sobre host, usurio e senha
usados para ativ-la.
Portanto, no adianta garantir apenas a segurana do componente de controle (servidor) da aplicao.
A utilizao do cliente de gerncia deve ser feita de um computador confivel, restrito, e que no seja
compartilhado, preferencialmente, conectado a uma rede confivel (afinal, o trfego da rede pode tambm
estar sendo monitorado por um suposto hacker).
Programas Diversos
Vrios programas usados amplamente possuem problemas de segurana. Como regra padro, nunca
salve a senha em nenhum programa que permita esta opo. Nosso comodismo sempre forar para que
deixemos as senhas salvas nos programas (e podem ser facilmente retiradas do registro do computador, ou
de arquivos especiais no disco). Alguns exemplos clssicos so:
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Extenses de FrontPage
O FrontPage um programa que permite a edio de pginas web com recursos WYSIWYG (What You
See Is What You Get), mesmo que a pessoa no saiba uma linha sequer de HTML.
Contudo, o FrontPage dividido em duas partes: o programa cliente, e a poro servidora (chamada
de extenses do programa).
possvel criar um site com FrontPage localmente, e depois, transferi-lo para o servidor web, atravs
do componente servidor. Caso o servidor remoto no suporte as extenses de FrontPage, as pginas podero
ser transferidas atravs de FTP.
Entretanto, as extenses tambm so usadas por outros programas para editorao e publicao de
pginas, como o Visual Interdev, que permite a edio de pginas web de contedo dinmico, suportando
ASP, VBScript, e etc.
As primeiras verses destas extenses possuam dezenas de vulnerabilidades, entre elas, a
possibilidade de se escrever em qualquer arquivo do servidor, sem senha. Elas tambm permitiam que a
senha do site fosse recuperada, porque eram guardadas em um arquivo texto (Access.cnf) dentro do diretrio
/_vti_pvt do servidor.
Dentro deste mesmo diretrio, embaixo da raiz, possvel ver arquivos que contm a configurao do
servidor. Exemplos:
Access.cnf
config de segurana
Linkinfo.cnf
informaes sobre links no site principal
Service.cnf
vrias informaes sobre a configurao do servidor, como tambm que extenses executveis esto
associadas
Services.cnf
webs que o servidor possui
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Como se no bastasse, diversos componentes das extenses, que permitem a utilizao de recursos
chamados bots, possuem vulnerabilidades de buffer overflow, o que permite us-los para executar
comandos remotamente.
Uma documentao detalhada sobre as falhas das Extenses do FrontPage pode ser encontrada em:
http://www.insecure.org/sploits/Microsoft.frontpage.insecurities.html
Perceba que estas vulnerabilidades so antigas. Hoje em dia, as novas verses no exibem mais estas
vulnerabilidades. recomendado que qualquer site / servidor que use extenses de FrontPage, seja
atualizado.
Para tal: http://msdn.microsoft.com/library/en-us/dnservext/html/fpovrw.asp
... ou v no site do produto (http://www.microsoft.com/frontpage) e clique nos downloads ao lado.
Ao proceder com a instalao das extenses, o produto ir perguntar se deseja reforar a segurana
dos sites que as usem. Responda que sim.
Voc
tambm
pode
acessar a mesma funo, clicando
com o boto direito no site, indo
em All Tasks, escolhendo Check
Server
Extensions.
Qualquer
inconsistncia ser corrigida, e a
opo ao lado apresentada.
Contudo, lembre-se
atualizar as extenses.
de
Browsers / Navegadores
Hoje em dia, existem quatro browsers usados normalmente na Web. O Internet Explorer, o Netscape,
O Mozilla, e o Opera.
Todos eles possuem falhas de segurana. Portanto, primordial mant-los atualizados. Sempre use a
ltima verso, mesmo que isso implique em um download considervel.
Alm disso, devem-se instalar as correes publicadas.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Internet Explorer
Para instalar as correes do Internet Explorer, basta realizar o Windows Update, que existe nos
sistemas da Microsoft desde o Windows 98. Caso seja usurio do Windows 95, deve visitar a pgina do
browser, e baixar as atualizaes, que podem ser encontradas em:
http://www.microsoft.com/windows/ie/downloads/archive/default.asp
Para baixar a verso atual:
http://www.microsoft.com/windows/ie/downloads/ie6/default.asp
Netscape
O Netscape possui uma ferramenta de atualizao que pode ser acessada tambm atravs do menu
de ajuda (Centro de Segurana, ou Security Center).
Mozilla
De todos os browsers, talvez o Mozilla
seja considerado o mais seguro, devido a sua
poltica de atualizaes freqentes, e suas
opes bastante avanadas para deputrao de
erros, assim como to um roteiro para detectar,
analisar e sanar problemas. Para acessar uma
pgina com uma lista de bugs encontrados, e
atualizaes, basta ir ao menu QA, e clicar em
Known Bugs.
Opera
O Opera aparentemente no possui nenhum esquema de atualizaes automticas, ou de distribuio
de patches. recomendado que o usurio cheque com freqncia a pgina do produto para avaliar se est
executando uma verso atualizada.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
http://www.opera.com/download/
Contudo, o Opera utiliza as bibliotecas Java da Sun, caso deseje suporte a Java. Neste caso,
interessante manter o runtime Java atualizado.
http://java.sun.com/j2se/
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
5. Tcnicas de Invaso
Vrias tcnicas bsicas de invaso ou de DoS exploram problemas gerados pela m configurao de
computadores e servidores em rede, que so os alvos primrios caso algum hacker se interesse em invadir
uma determinada rede.
Existem diversas tcnicas de invaso, que poderamos tratar melhor se chamssemos de abordagens.
Existem diferentes abordagens para diferentes ambientes de rede. A abordagem usada na invaso de uma
rede corporativa ser completamente diferente da abordagem usada em uma pequena rede que talvez nem
esteja conectada diretamente Internet, como tambm ser diferente da abordagem usada para invadir um
usurio apenas.
Em termos de facilidade, uma rede pequena, corporativa, que no tem contato com a Internet, em
escritrios de pequeno a mdio porte, a mais vulnervel, numa abordagem de dentro para fora. Contudo,
tentar invadir uma rede destas de fora para dentro muito difcil, pois no existem conexes permanentes
com a Internet. Nestes casos, um potencial hacker tentar compromenter qualquer computador que esteja
localmente conectado a rede, mas que possua um modem, ou algum outro mtodo de acesso a Internet.
Nestes casos, tcnicas de engenharia social so muito usadas, pois a falta de conexo permanente limita
muito a gama de ferramentas que podem ser usadas para extrair informaes.
Uma rede conectada 24 x 7 Internet j possui pelo menos um canal permanente. Caso a rede no
tenha nenhum servidor para a Internet, e use alguma tcnica de acesso como Proxy ou NAT, estar
relativamente segura.
Por ltimo, ambientes que acessam a Internet atravs de canais permanentes, e que possuem
servidores tambm conectados nesta estrutura, com endereos reais, disponibilizando servios, so os mais
vulnerveis.
Desta forma, os seguintes passos podem ser detectados:
Probing
Hackers tentaro investigar sua rede para determinar: que servios rodam em qu servidores;
quais so as verses destes servios; quais so os servidores, e onde esto localizados na rede; um
esboo ou um mapa da rede; relaes de confiana entre os servidores; sistemas operacionais
utilizados; possveis estaes de gerncia na rede; filtragem de pacotes (se existir); sistema de deteco
intruso IDS (se existir); honeypots ou potes de mel (se existirem); portscanning (passivo e com
spoofing se possvel). Se for justificvel, utilizao de war dialing. Descobrir qual a relao da rede
interna da empresa, com a rede de gerncia (entenda-se por rede interna, aquela usada pelos
funcionrios).
Observao importante: dependendo da inteligncia do suposto hacker, a fase de probing ser
realizada atravs de algum mtodo que impossibilite sua identificao, como atravs de provedores gratuitos
ou atravs de linhas telefnicas roubadas. O probing em si poder ser detectado, mas sua origem no ser.
Hoje em dia, com o advento dos provedores de acesso a Internet gratuita, se torna muito fcil
esconder a natureza de um ataque. A grande maioria dos provedores gratuitos no exige cadastro, nem
monitoram os acessos atravs de contas usurio / senha individuais. Assim, qualquer um se conectar atravs
de um provedor gratuito ter seu vnculo de identificao ligado apenas ao seu endereo de rede IP, e o
telefone de origem.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Entretanto, em vrias cidades, as companhias telefnicas desabilitam as funes de rastreamento de
telefones, mais conhecido como BINA (B Identifica Nmero de A), devido sobrecarga nas centrais
telefnicas em horrios de pico.
Devemos tambm lembrar que o horrio de pico de utilizao do sistema telefnico (horrio
comercial) difere do horrio de pico de utilizao da Internet no Brasil (das 20 a 01 hora). Quando isto ocorre,
o provedor perde a nica informao que pode associar uma conexo / endereo de rede IP a um telefone de
origem.
Nestes casos, a nica forma de rastrear a origem da chamada atravs da prpria companhia
telefnica. Todas elas possuem restries quanto a isto, e no podem divulgar informaes sobre ligaes, a
no ser perante deciso judicial.
Se passarmos a pensar como um potencial hacker, veremos que, dependendo do nvel do ataque, e
de seu risco, o fato de o seu nmero de telefone apenas poder ser rastreado e conhecido atravs de deciso
judicial uma barreira de proteo privacidade que no ameaa o ataque em si.
Caso o potencial invasor sinta que, dada a gravidade dos atos e conseqncias que podero se
desenvolver, ele poder ser alvo de um processo judicial, ento valer apena, para ele, utilizar uma tcnica
alternativa, como o roubo de uma linha telefnica ou a utilizao de um telefone pblico.
Por mais incrvel que parea, esta ltima alternativa no est muito longe da realidade. A linha
telefnica que alimenta um orelho, ou telefone pblico, praticamente a mesma linha telefnica que
alimenta uma empresa ou residncia. Assim sendo, e com pouco conhecimento de eletrnica, se consegue
grampear esta linha, e us-la para um ataque.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
documento do Word e um executvel anexo ao seu correio eletrnico. bem provvel que, com alguns dias
de investigao do trfego da rede interna, voc consiga alguma senha com direitos de administrao. Como
administradores de rede tem o hbito de usar a mesma senha para diversas ferramentas, se na primeira fase
alguma ferramenta de gerncia remota foi achada, ento, mais do que provvel que as senhas sero
idnticas.
Muitos hackers consideram a utilizao de cavalos-de-tria algo condenvel, tecendo duras crticas.
Contudo, estatsticas comprovam que a utilizao desse mtodo bastante difundida.
Independente da abordagem adotada, o hacker ter duas coisas em mente: objetividade, e mxima
dissimulao. Tudo ser feito sem pressa, para no levantar suspeitas. Ele poder at tentar fazer amizade
com algum que trabalhe na empresa (isso mais fcil do que parece: basta visitar os mesmos lugares que
essa pessoa visita, principalmente se estes lugares forem escolas, universidades ou clubes, pois nestes lugares
existe um sentido maior de unio). Obviamente, tudo isso depender da informao que se deseja obter: o
hacker avaliar se todo o esforo vale a pena. Contudo, lembre-se que muitos fazem pelo desafio, e superaro
enormes dificuldades somente para provar a si mesmos que so capazes.
SNMP
O SNMP (Simple Network Management Protocol) um protocolo de rede usado para gerncia de
equipamentos em rede.
Atravs dele, possvel consultar informaes de computadores e quipamentos que possuam o
servio. Ele tem uma abordagem bastante simples, e consiste em ter, no equipamento ou computador, um
agente SNMP, que coletar dados sobre o mesmo. O formato e as informaes que cada equipamento
possui conhecido como MIB (Management Information Base). Possuindo a MIB de um equipamento ou
computador, pode-se ento consultar estas informaes, e, algumas vezes, alter-las.
Contudo, este protocolo / servio bastante inseguro. Para acess-lo, no necessrio usurio ou
senha, apenas conhecer a comunidade na qual o agente est configurado.
Com essa informao, e com qualquer programa que interprete a sada de dados do agente, pode-se
literalmente montar o mapa de uma rede, e consultar informaes como utilizao de disco, CPU e rede de
computadores e equipamentos, bem como tabela de rotas.
Existem programas que usam o SNMP prara construir o mapa de uma rede. Podemos citar o Tivoli, o
Lucent NavisAccess, e o SNMPc. Porm, qualquer ferramenta SNMP pode ser usada.
Por exemplo, qualquer computador UNIX que possua as funcionalidades SNMP instaladas possui um
utilitrio chamado Snmpwalk para consultar um agente. Existe uma ferramenta similar para Windows,
presente no Resource Kit do Windows NT/2000/XP, chamada SNMPUTIL, com a mesma funo. As portas 161
e 162/udp sempre devem estar sendo filtradas e monitoradas.
(http://www.tamos.com/)
Programa fantstico que explora a m configurao de computadores Windows conectados a Internet. Atravs
dele, possivel, dado um intervalo de endereos IP, visualizar quais destes esto com o compartilhamento de
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
arquivos e impressoas ativado, e com algo compartilhado. Voc ficaria surpreso com a quantidade de
computadores que possuem a raiz do drive C: compartilhada, permitindo acesso a qualquer arquivo dentro do
disco, inclusive o .pwl, arquivo que possui a senha salva dos usurios deste computador. Para evitar que o
EssNetTools seja efetivo, necessrio filtrar no firewall as portas usadas pelo NetBIOS (135, 136, 137, 139 e
445, tcp/udp).
(http://www.cerberus-infosec.co.uk/cis.shtml)
(http://www.nextgenss.com/)
Nmap
(htp://www.insecure.org/nmap)
"If your goal is to understand your network from a 40,000-foot view, then Windows port
scanning tools will suffice. But if you're serious about your security and looking for the
holes that crackers will find, then take the time to install a Linux box and use nmap." -Info World
nmap a ferramenta de portscanning mais fantstica conhecida. Com ele, possvel realizar desde
um scan ativo de um nico endereo, at scans passivos de uma rede inteira, de forma automatizada,
revelando inclusive o sistema operacional da vtima, atravs da assinatura da conexo TCP. Possui inclusive a
opo de realizar o scan com o endereo de origem spoofado, ou mudado (no caso de scan passivo). Ele
roda sobre Linux. uma das ferramentas mais usadas. No site acima, existe at uma verso grfica dele.
Evitar a ao do nmap praticamente impossvel. De qualquer forma, primordial configurar um firewall para
apenas permitir trfego entrando na rede, para as portas / servios que tem de ser acessveis de fora.
WhatsUp Gold
(http://www.ipswitch.com)
O WhatsUp um programa desenvolvido pela empresa IPSwitch, com a inteno de ser uma
ferramenta de monitorao de rede. Porm, ele possui internamente uma funo usada para descobrir, dado
um intervalo de endereos, quais esto ou no ativos, bem como outras informaes, como o nome das
mquinas. Bastante eficiente em redes Microsoft, com ele voc poder ter uma idia de quantas mquinas
esto ativas numa determinada classe, por exemplo. Para barrar o WhatsUp, basta filtrar as portas do
NetBIOS e trfego ICMP.
TELNET
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
O prprio telnet do Windows pode ser usado para descobrir que verso um determinado servidor est
rodando, por exemplo, de sendmail, servidor web, POP3 ou FTP. Para isso, basta disparar um TELNET para a
porta do servio desejado. Vejamos:
telnet xyzwabcd.com.br 25
220 dominus.elogica.com.br ESMTP Sendmail 8.9.3/8.9.3; Wed, 29 Mar 2000 20:38:40 0300
Agora, sabemos que o servidor um sendmail, versao 8.9.3. Aliado ao nmap, descobrimos qual o
sistema operacional.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Ele possui requintes como suporte a plugins. Vem em dois componentes: a parte Server ou servidor,
e a parte Client ou cliente. A parte servidora a enviada para a vtima, e a parte cliente, usada para
controlar o componente servidor.
Conjunto de telas de controle (cliente):
Backdoors
J os backdoors podem ter mais ou menos a mesma funcionalidade de um trojan, mas possuem
outras intenes. Quando um hacker consegue acesso a um sistema, uma de suas primeiras atitudes ser
instalar backdoors no sistema. Estas backdoors lhe permitiro voltar a ter acesso a este sistema se por acaso o
dono / usurio ou administrador descobrir que sua segurana foi violada. Uma backdoor pode ser na forma de
um programa (assim como os trojans), como um script (principalmente em ambiente UNIX), ou at como uma
srie de procedimentos (criar uma conta com direitos de administrao, com um nome comum). Esta a
principal diferena para um trojan, que geralmente um arquivo executvel.
Buffer Overflow
Buffer overflows so conseqncia direta de pssimos hbitos de programao. Consiste em enviar
para um programa que espera por uma entrada de dados qualquer, informaes inconsistentes ou que no
esto de acordo com o padro de entrada de dados. De forma resumida, seria mais ou menos tentar encaixar
uma bola de basquete em um buraco de golf.
Em programas que no tratam a consistncia dos dados de entrada, pode haver uma desestruturao
do cdigo em execuo, permitindo que cdigo estranho seja enviado e executado. Imagine um buffer de
entrada de dados configurado para receber 32 bytes. Imagine agora que este mesmo buffer no possui uma
checagem da consistncia dos dados. Agora, tente enviar mais do que 32 bytes. Isso normalmente estourar
o buffer (buffer overflow), e normalmente, o que passar de 32 bytes, invadir outras reas de memria do
sistema. Dependendo de que reas sejam estas, possvel fazer com que esta carga extra tambm seja
executada. exatamente a onde mora o perigo.
As formas mais comuns de buffer overflow so encontradas em servidores web e de FTP. Ao se
submeter uma URL muito grande (geralmente acima de 150 caracteres) o servidor para de responder. Vrios
softwares servidores Web e FTP famosos j foram vtimas de tais vulnerabilidades, como o Apache Web
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Server, o Internet Information Server, o Serv-U FTP Server, War FTP d, entre outros. No ambiente UNIX,
existem ou existiram diversas vulnerabilidades deste tipo nos servidores de SMTP (envio de correio) e POP3
(recebimento de correio).
A critrio de exemplo, uma pesquisa sobre buffer overflow em um site de segurana como o
http://www.securiteam.com retorna em mdia 1300 pginas, APENAS relativas segurana.
Password Crackers
Os password crackers so em sua grande maioria programas de ataque de fora bruta, que tentaro,
dada uma combinao possvel, cada combinao at descobrir qual a senha. Os algoritmos de criptografia
empregados geralmente so conhecidos publicamente. Sua segurana reside em sua chave. Contudo, esta
chave secreta. Asim sendo, o password cracker aplicar o algoritmo em cada combinao possvel de letras
at achar aquela que seja igual a senha criptografada original.
Geralmente os password crackers so lentos, e sua eficincia depende inteiramente da qualidade das
senhas. Senhas dfcieis para um passowrd cracker so aquelas que possuem letras, nmeros, e caracteres de
pontuao, como ! @#$%&*()[]{}-_=+<,>.?/. Contudo, a melhor senha sempre ser aquela sem
sentido, randmica, e que use tais caracteres.
Um tpico password cracker levar algo em torno de 2 a 3 anos de trabalho para quebrar uma senha
de 7 caracteres, com estas caractersticas. Para cada novo caractere adicionado ao tamanho da senha, a
dificuldade e o tempo sobem em ordem exponencial. Uma senha com 14 caracteres com tais caractersticas
levaria milhares de anos. Com isso, chegamos a concluso de que a senha ideal hoje possui pelo menos 12 a
14 caracteres, e as caractersticas descritas acima.
Alm dos password crackers tpicos, que usam a fora bruta, existem aqueles que se baseiam em
vulnerabilidades dos algoritmos de criptografia empregados. Estes no atacam por fora bruta, mas
revertendo o processo de criptografia, geralmente baseado em algoritmo, ou quanto se tem o conhecimento
das chaves.
Alguns dos password crackers mais famosos:
L0pht Heavy Industries / @StakeL0phtCrack ou LC3 (Windows NT/2000)
http://www.atstake.com/research/lc3/index.html
Crack 4.1 / 5.0 (UNIX)
http://www.crypto.dircon.co.uk/download/c50-faq.html
http://www.deter.com/unix/software/crack_4.1.tar.gz
Winzip / RAR / ARJ Password Crackers
http://www.password-crackers.com/crack.html
NAT (NetBIOS Auditing Tool)
http://bbs.ee.ntu.edu.tw/boards/Security/6/16.html
http://nmrc.org/faqs/hackfaq/hackfaq-14.html#ss14.6
http://www.fastlane.net/~thegnome/files/snt/index.html
Diversos
http://www.lostpassword.com/
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Para acelerar o processo de quebra / descoberta das senhas, a maioria dos password crackers podem
ser alimentados com um dicionrio de palavras construdo pelo usurio. Assim, voc pode alimentar o
dicionrio com palavras mais objetivas, aumentando a possibilidade de acerto.
Exploits
Exploits so pequenos scripts ou programas que exploram uma vulnerabilidade de segurana. Seria
mais ou menos como encontrar um furo numa cortina, enfiar os dois dedos, e arrebentar o furo. Geralmente
so cdigos locais (precisam ser executados no computador que se deseja comprometer), apesar de existirem
exploits remotos (via rede). O nome exploit tambm atribuido as vulnerabilidades descobertas em
softwares (sistemas operacionais, servidores, programas em geral). Existem diversos sites de segurana que
falam sobre exploits mais recentes. Os mais famosos so:
RootShell
http://www.rootshell.com
Internet Security Systems Xforce
http://xforce.iss.net
SecuriTeam
http://www.securiteam.com
CIAC (Computer Incident Advisory Capability)
http://ciac.llnl.gov/
CERT (Computer Emergency Response Team)
http://www.cert.org
Man-in-the-Middle
Os ataques do tipo man-in-the-middle so usados em sistemas de segurana baseados em token.
Consiste em interceptar o trfego entre dois computadores, e, para ambos, continuar parecendo que a
comunicao direta. Contudo, a entidade que intercepta o trfego tambm o altera, de forma que a
requisio de rede parea original e autntica. So ataques bastante difceis de ocorrer, pois geralmente
requerem grande conhecimento de programao e da rede que se deseja comprometer. Normalmente,
ataques MITM (Man-in-the-Middle) requerem que um dos pontos de conexo j tenha sido comprometido
(como o provedor a qual voc est conectado, ou o fornecedor da rede onde se encontra o servidor que se
deseja acessar). A maioria dos ataques MITM usada contra sistemas criptogrficos. Para maiores
informaes:
How to brake RSA
http://gaia.cs.umass.edu/cs653-1998/notes/ch9-1/sld001.htm
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Os ataques do tipo DDoS consistem geralmente em enviar para uma nica mquina ou rede, milhes
de pacotes de rede ou requisies de servio, em um dado momento. Obviamente, no existe maneira de
gerar este trfego todo de um nico ponto.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Imagine que um computador,
atacker, deseje derrumar o computador
Agora, de forma simples, imagine que
conectado via modem (50 Kbps) enquanto a
via ISDN (64 Kbps).
que chamaremos de
vtima, com trfego.
nosso atacker est
vtima est conectada
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
endereo na Internet. Trfeo abundante utilizando como transporte o UDP tambm sinal de um ataque
DDoS, caso os pacotes tenham o mesmo destino, sejam saindo de sua rede, ou tentando entrar nela.
Contra estes tipos de ataques, existem poucas medidas, principalmente se o objetivo do hacker for
realizar um ataque DDoS por ocupao de banda. Contudo, um bom firewall pode dificultar bastante a eficcia
de um ataque destes. Algumas regras bsicas de filtragem em firewalls para evitar ataques DDoS:
1. Filtrar qualquer trfego ICMP entrando ou saindo da rede
2. Filtrar qualquer trfego entrando na rede, em portas (servios) que no esto em uso
3. Filtrar qualquer trfego saindo da rede, a partir de computadores que fiquem 24 horas no ar, e que
NO precisem emitir tal trfego
4. No firewall, configur-lo de forma a impedir conexes a partir do localhost (127.0.0.0)
5. De qualquer mquina que possua filtragem de pacotes (Windows 2000, Linux, etc.) impedir conexes
a partir de interfaces internas e / ou localhost (127.0.0.0)
A regra bsica impedir trfego no autorizado, no s entrando na rede, mas tambm, a partir
dela, de forma que computadores em sua rede interna no possam ser usados como agentes. Veja o captulo
a seguir, Ferramentas / Personal Firewalls. L, filtragem de pacotes ser tratada com maiores detalhes.
O que mais importante percebermos no DDoS a dificuldade de se proteger. Imagine que um
ataque seja inciado contra um host dentro da rede interna de sua empresa. Imagine tambm que o firewall da
empresa no permita que o trfego entre na rede interna, descartando todos os pacotes (UDP). Neste cenrio,
entenda que os pacotes chegaram at a porta do roteador, portanto, mesmo que o firewall descarte os
mesmos, j ocuparam a banda do link de WAN. Neste caso, apesar do ataque no ter sido eficiente contra
especificamente o servidor ou host em questo, ir tirar toda a rede do ar.
Apesar de serem considerados worms, ou vermes, uma espcie de vrus, eles possuem funes
internas que se assemelham bastante a um ataque do tipo DDoS, apesar de no ser possvel direcionar tais
ataques.
Em 1988, a Internet foi assolada por um verme, ou prova de conceito criado por um estudante de
graduao de Cincia da Computao, da Universidade de Cornell, nos Estados Unidos. O ento desconhecido
Sr. Robert Morris, no tinha a mnima idia dos efeitos do cdigo que tinha acabado de construir, e
inicialmente, no pensava que sequer funcionasse.
O programa escrito por ele visava explorar uma falha no sendmail, software usado para troca de
mensagens eletrnicas (email). Contudo, algo no saiu como planejado: o verme que acabara de construir
entrou em colapso (loop infinito) ao infectar os servidores, e, como efeito disso, passou a utilizar todos os
recursos dos servidores, como CPU e memria.
O caos se instalou nas principais instituies de ensino (universidades) e algumas instituies
controladas pelo governo americano. Mais de 6000 hosts foram infectados pelo verme, e todos eles se
transformaram em "zumbis", ou agentes, na tentativa de propagar-se.
Em julho de 2001, a histria se repetiu.
Code Red
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
A Internet foi atacada novamente por um verme com as mesmas caractersticas. O Code Red, ou
"Cdigo Vermelho", utiliza uma falha no servidor web da Microsoft, o IIS - Internet Information Server, e,
atravs desta falha, uma vez infectado, o servidor passa a se comportar como zumbi, ou agente, tentando de
forma randmica, descobrir novos servidores que usem o IIS, vulnervel, para infect-los.
http://www.cert.org/advisories/CA-2001-19.html
O mais interessante disso tudo, que, 13 anos aps o Internet Worm original, de Robert Morris, o
mesmo princpio ainda obteve sucesso. Pior, um patch, ou atualizao, que corrige a falha explorada pelo
Code Red, tinha sido publicado um ms antes.
http://www.microsoft.com/technet/security/bulletin/MS01-033.asp
Entretanto, o primeiro Code Red, ou Code Red I, no possui uma carga que podemos classificar como
realmente prejudicial ao servidor infectado. No nos termos que incluem roubo ou comprometimento das
informaes. Seria mais adequado classificarmos o mesmo como uma prova de conceito, ou "proof of
concept", apesar do aumento de trfego que acarreta. Alm disso, o seu cdigo possui um bug. Ele gera
randomicamente, endereos de rede (IP) que ir tentar infectar. O bug fez com que estes endereos no
fossem realmente randmicos, fazendo com que o Code Red I atacasse uma faixa limitada de endereos,
diminuindo seu raio de ao.
Uma anise COMPLETA do Code Red pode se encontrada em:
http://www.eeye.com/html/advisories/codered.zip
Code Red II
Como se no bastasse, pelo fato do Code Red I no possuir uma carga diretamente prejudicial, foi
lanado na Internet uma nova verso, chamada Code Red II. Esta verso possui o bug corrigido, de forma
que seu algoritmo usado para gerar endereos de rede funcione corretamente.
Alm de gerar endereos de rede com maior eficincia, desta vez, trouxe uma carga extremamente
prejudicial.
Ao ser infectado pelo verme em sua mais nova verso, o servidor ter a raiz de cada partio
(unidades de disco) vlidas adicionadas estrutura de diretrios do servidor web. Isso faz com que qualquer
arquivo em todo o servidor se torne disponvel a Internet, atravs de um browser.
O verme tambm copia, para dentro do dietrio /scripts do servidor web, uma cpia do arquivo
cmd.exe. Este arquivo, no Windows NT 4.0 / 2000, o prompt de comando. Com o comando certo enviado
atravs de uma URL, para o servidor infectado, e com a ajuda do cmd.exe, possvel executar QUALQUER
comando no mesmo, at mesmo criar um usurio, e adicion-lo ao grupo de administradores.
Ele tambm cria um novo explorer.exe, na raiz do drive C:, que executado quando algum efetua
logon na console do servidor. Atravs dele que o Code Red II realiza a maioria de suas tarefas, como descrito
acima.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
vulnerability - Microsoft Bulletin MS00-078 - http://www.microsoft.com/technet/security/bulletin/ms00078.asp).
O Nimda to perigoso porque alia s funes de um worm, trs formas de contgio, uma delas
normalmente encontrada em vrus hoje em dia: contaminao atravs de mensagens de correio eletrnico.
Para os trs modos que o nimda pode infectar o sistema, em todas as trs, ele usa falhas de
segurana encontradas e consertadas a bastante tempo. De qualquer forma, muito comum encontrarmos
usurios e administradores de sistema que simplesmente no fazem seu dever de casa, atualizando seus
computadores e servidores.
Ele infecta sistemas de forma quase idntica ao Code Red - atravs de uma falha do servidor web IIS
- Internet Information Server - apesar de no ser exatamente a mesma. Ele compartilha a partio que
contm os arquivos de dados do servidor web, habilita a conta de "guest", e a coloca dentro do grupo de
administradores (isso no Windows NT 4.0 / 2000).
Da mesma forma que o Code Red II, sistemas servidores infectados com o Nimda devem ser
formatados e reinstalados, devido ao comprometimento de uma conta de administrador ou equivalente. O que
mais impressiona neste worm o fato de que ele tambm infecta atravs de mensagens de correio, e na visita
de pginas infectadas (servidores web infectados pelo Nimda exibiro pginas que tambm contaminaro
computadores que as visualizar - desde que no estejam atualizados).
Concluses
Apesar do Internet Worm original, que aparentemente no foi colocado na Internet com a inteno de
prejudicar computadores conectados rede, os worms de hoje em dia so bem mais perigosos. Perceba que
estes exploram falhas de segurana presentes em sistemas operacionais, j corrigidas a pelo menos um ms
do incio do contgio, o que levanta uma questo alarmante: administradores de sistema no esto cumprindo
com suas tarefas bsicas, como atualizao / instalao de patches.
Tambm podemos concluir que daqui pra frente, com o aumento do poder computacional, iremos
presenciar uma onda de worms e vrus cada vez mais sofisticados. Quase 100% dos vrus hoje em dia utilizam
alguma funcionalidade de rede, seja para sua propagao, ou como sua funcionalidade principal.
E pensar que tudo isso poderia ter sido evitado apenas se os sistemas estivessem atualizados. Estudos
comprovam que o Code Red I infectou cerca de 250.000 servidores pelo mundo, em apenas 9 horas, no dia
19 de julho de 2001. O Code Red II, que utiliza a mesma falha do Code Red I, ainda conseguiu atingir mais de
100.000 servidores. A anlise dos worms indica que o Code Red II infectou TODOS os sistemas vulnerveis
em menos de 48 horas. Alm das falhas de segurana j explicadas, o Code Red foi responsvel pelo aumento
de cerca de 300% do trfego na Internet, deixando toda a rede cerca de 3 vezes mais lenta; ou seja, afetando
a todos, mesmo aqueles que no estavam vulnerveis ao ataque direto.
Outra lio que pode ser tirada destes acontecimentos recentes: como eles infectam servidores web, e
realizam esta tarefa enviado comandos diretamente para qualquer servidor que encontrarem randomicamente,
tambm foram responsveis por tirar do ar equipamentos de rede que possuem servidores web embutidos, de
diversos fabricantes, simplesmente porque estes componentes no possuam uma checagem correta de
buffers de entrada. Com isso, at equipamentos de rede como switches e roteadores foram afetados.
Para se proteger de worms e vrus no futuro, a melhor forma manter o sistema atualizado, e com
um bom antivrus instalado. Estas medidas teriam transformado estes worms em absolutamente... nada.
Apesar destes worms terem cargas potencialmente nocivas, e terem como seu objetivo principal
explorar uma vulnerabilidade em um software servidor, causaram o efeito colateral de elevar em at 300% o
trfego na Internet. Vrios computadores e equipamentos de rede foram tirados do ar devido ao trfego
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
causado pelos worms. Mesmo no tendo sido considerados ataques DDoS com uma natureza direcionada,
acarretaram este efeito indiretamente. Este, por sinal, o saldo mais perigoso e comentado sobre a ao dos
mesmos.
IP Spoofing
http://www.fc.net/phrack/files/p48/p48-14.html
http://www.pcwebopedia.com/TERM/I/IP_spoofing.html
A tcnica de spoofing possui uma lgica bastante simples. Muitos servios antigos que so executados
em hosts UNIX dependem de uma relao de confiana, baseada no endereo de rede de um determinado
host. Digamos que um servio determinado, s aceite comandos ou conexes de um computador que esteja
em um determinado endereo IP pr-configurado. A tcnica de spoofing consiste em personificar este
computador na qual a vtima confia. Basicamente, precisa-se ter o endereo IP da vtima, o endereo IP do
computador confiado, ter algum modo de tirar o computador confiado do ar, saber como quebrar o
nmero de sequncia TCP da vtima. Teoricamente, quaquer servio que tenha sua segurana dependente
apenas da confirmao de um endereo origem de rede, vulnervel a este tipo de ataque. uma tcnica
bastante apurada, e que requer geralmente uma certa dedicao. Nos anexos, a tcnica e descrita em
detalhes em um timo whitepaper.
Para maiores detalhes sobre como proteger uma rede de IP Spoofing, veja o captulo Ferramentas /
Personal Firewalls, que possui maiores detalhes sobre como implementar segurana com filtragem de pacotes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
estas informaes de cache, ou mudar a resposta para uma determinada pergunta que o servidor DNS j
possui. Em resumo, ao perguntar para o servidor DNS qual o endereo IP do servidor
www.receita.fazenda.gov.br ?, ao invs de responder 161.148.231.100, ele responder outro endereo de
rede, provavelmente de uma mquina previamente preparada por um hacker para tal fim.
Portanto, temos dois cenrios:
1. Quando o servidor DNS a autoridade de um domnio
2. Quando o servidor DNS no a autoridade de um domnio, e resolve o IP pelo seu cache.
Nestes dois casos, o resultado o mesmo. Contudo, esta tcnica de ataque requer acesso ao servidor
DNS, de forma a modificar o arquivo que contm as informaes do domnio, ou modificar o cache do
servidor.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
7. Ferramentas
Existem diversas ferramentas prontas para testar vulnerabilidades em hosts, ou redes. Estas
ferramentas podem ser classificadas basicamente em:
Portscanners
Service Fingerprinter
Sniffer
Estas ferramentas so usadas para recuperar informaes do computador remoto, ou da rede na qual
ele est. Finalmente, estas inormaes so usadas para dar a vantagem ao invasor, que, numa segunda parte
de um possvel ataque, ir listar quais falhas de segurana cada componente descoberto possui.
Estas ferramentas no tm muita utilidade sozinhas, se no forem aliadas a algumas tcnicas. Estas
tcnicas que permitem explorar as falhas que as ferramentas podem potencialmente apresentar.
Portscanners
Portscanners so a base de qualquer tentativa de invaso. Da mesma forma, so a base para qualquer
teste de vulnerabilidade que possa ser feito.
O portscan basicamente consiste em tentar estabelecer, com um determinado host, conexes TCP em
todas as portas, da 0 a 65535. Devido ao princpio de negociao de conexo do TCP, o three-way handshake,
para cada tentativa de conexo em uma porta aberta, o host que est sendo testado ir responder. Quando
isto ocorre, sabemos ento que a determinada porta est aberta.
Na maioria das implementaes de pilhas TCP, mesmo que uma determinada porta no esteja aberta,
geralmente o host responder com uma recusa de conexo. Neste caso, sabemos que o host existe, est
online, que a porta no est no ar, mas que provavelmente, no existe um firewall entre voc e o host.
Chegamos a esta concluso porque existe uma diferena entre connection refused, e
connection time out. Quando uma conexo recusada, o host envia um pacote de volta, determinando o
estado da porta (fechada). Quando existe um firewall corretamente configurado, ele simplesmente descarta o
pacote de requisio de conexo do portscanner, e o mesmo assumir que a porta est fechada por time out
(o pacote foi enviado, mas nenhuma resposta foi recebida, seja qual for).
Portanto, quando um hacker usa um portscanner e recebe connection refused como resposta, ele
sabe que potencialmente, nenhum firewall existe. Quando um firewall est presente, e corretamente
configurado, nenhum pacote de resposta ser enviado, no importa de que tipo.
Isto implica em 2 resultados: se o firewall estiver presente, o portscan demorar minutos, s vezes,
dezenas de minutos. Quando o host sendo testado responde com connection refused, o portscan demora
poucos segundos.
Mais frente, em Introduo ao Conceito de Filtragem de Pacotes, veremos que um firewall pode
simular a rejeio de um pacote, ou o descarte do mesmo.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Existem diversos portscanners disponveis na Internet. A maioria dos bons portscanners est
disponvel para a plataforma UNIX. Entretanto, existem opes interessantes para Windows, apesar de no
to poderosas (vide nmap, em Tcnicas de Invaso).
Entretanto, devido natureza de uma transferncia de dados UDP, a maioria dos scanners usam TCP.
Os que possuem a opo UDP no obtm resultado confivel, pois uma porta UDP pode estar aberta, mas no
enviar resposta caso a requisio no seja exata.
http://www.gfi.com/lanselm/lanselmdownloads.htm
O LANGuard Network Scanner uma ferramenta poderosa para Windows. Ele rene em um nico
utilitrio um service fingerprinter, e um portscanner eficiente. Basta entrar com o endereo IP inicial, e o
endereo IP final. Ele ir consultar cada um dos endereos no intervalo, e listar os servios existentes. Alm
disso, captura as informaes de cada porta.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Apesar de ser direcionado para scanear a mquina localmente, nada impede que seja informado
qualquer endereo IP vlido. bem eficiente, e permite diversos modos de scan, como stealth, quick e full.
Enquanto no sai uma compilao decente do NMAP para Windows, o LPS faz seu trabalho, mas costuma ser
lento.
Services Fingerprinting
O service fingerprinting uma tcnica que consiste em determinar que servio est rodando em uma
determinada porta. Uma vez descoberto o servio, determinar sua verso e reviso, se possvel, e listar
tambm vulnerabilidades.
O portscanner s faz parte do trabalho. por isso que o service fingerprinting considerado uma
tcnica, e no um programa ou utilitrio (apesar de existirem programas que automatizam o processo,
deixando a coisa mais fcil).
Se formos analisar de forma prtica, veremos que o portscanner apenas detecta a presena de uma
porta aberta, mas no identifica que servio est rodando naquela porta. Um exemplo clssico disso so
servidores Web (http) ou FTP rodando em portas diferentes do padro, o que perfeitamente possvel e fcil
de se fazer, e desejvel quando se quer esconder este servio. muito comum vermos na Internet servidores
Web rodando em portas como 8000, 8080, ou 8888, diferentes da porta padro (80), ou servidores FTP
rodando em portas como 2020, 2121 ou 2021 (diferentes do padro 21).
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Alm de tentar determinar o tipo de servio presente em uma determinada porta, a tcnica consiste
em identificar qual o desenvolvedor / produtor do programa que disponibiliza servio. Imagine que existem
diversos servidores Web disponveis no mercado, como Apache, Internet Information Server, Netscape
Enterprise Server, entre outros, assim como dezenas de servidores FTP, como Internet Information Server,
Serv-U, WFTPD, e etc.
Alguns dos programas usados para desenvolver esta tcnica, alm de classificarem o que est
rodando em uma determinada porta, analisam sua verso e j classificam quais so as vulnerabilidades
conhecidas do mesmo.
Todos os programas que ajudam nesta tcnica utilizam padres de resposta enviados durante uma
conexo para tentar adivinhar qual o servio que est em execuo em uma determinada porta. Portanto,
so sujeitos a falhas, e a melhor forma de analisar e utilizar a tcnica atravs de experincia, e
manualmente.
Imagine que uma das formas mais eficientes de service fingerprinting usar o telnet. Voc estabelece
uma conexo TCP com um determinado host, especificando uma porta, digita alguns comandos e descobre,
na maioria dos casos, qual o programa que est rodando.
Exemplo 1: Servidor Web.
Um simples comando como telnet endereo_ip 80, e depois, get ../.. (requisio invlida) nos
revelou MUITA coisa. Sabemos agora que o servidor roda o Internet Information Server verso 5.0 (presente
apenas em computadores Windows 2000). Descobriu-se com um comando simples, 2 informaes primordiais.
Exemplo 2: Servidor FTP.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
O comando telnet endereo_ip 21 estabeleceu uma conexo com a porta 21 do servidor. Como
podemos ver na imagem, ele j se identificou como um Windows NT 5.0 (Windows 2000). Atravs dos
comandos user e pass foi efetuado login como usurio annimo. Aps o login, o comando SYST nos
devolveu novamente a verso do sistema.
E toda ferramenta que foi necessria: o telnet do Windows.
No tpico Automatizao do Estudo de vulnerabilidades Conhecidas ainda neste captulo, veremos
algumas das ferramentas bsicas para service fingerprinting.
Sniffing
O sniffing uma tcnica bastante antiga, que explora uma vulnerabilidade de qualquer rede que
possua trfego compartilhado. Mais comum e simples de realizar em redes Ethernet, consiste em programar a
interface de rede do computador para escutar todo e qualquer pacote de rede que por ela trafegue,
independente do destinatrio. Por padro, as placas de rede somente retiram da rede aqueles pacotes
endereados fisicamente para si. Porm, voc pode colocar a placa em modo promscuo, que far com que
ela recupere da rede qualquer pacote que passar por ela. Assim, voc poder observar qualquer pacote que
trafegue na rede.
Muitos servios TCPIP antigos no utilizam criptografia para trocar senhas, transmitindo na rede
informaes de autenticao em modo texto, simples. Atravs de um software de sniffering, voc pode
observar todo o trfego e eventualmente capturar usurios e senhas vlidas para determinados servios, como
HTTP (Web), FTP (transferncia de arquivos), TELNET (emulao de terminal, ou terminal remoto) e POP3
(leitura de correio eletrnico).
Alguns sistemas operacionais j vem equipados com sniffers. o caso do Windows NT Server /
Windows 2000 Server, e do Linux.
Entretanto,
existem
timos
sniffers para Linux (os melhores
so para sistemas UNIX, alm de
serem free ou open-source),
como
o
Ethereal
(http://www.ethereal.com/).
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Para Windows, temos o Iris, da Eletronic Eye, que pago, mas possui download de teste limitado por tempo
(http://www.eeye.com/html/Products/Iris/index.html).
Automatizao do Estudo
de Vulnerabilidades Conhecidas
Como j foi explorado anteriormente, existem diversas ferramentas que automatizam a busca por
vulnerabilidades. Estas ferramentas procedem da seguinte forma:
1. Realizam um portscan no host;
2. Identificam o sistema operacional;
3. Internamente, em seu banco de dados prprio, listam quais as vulnerabilidades conhecidas deste
sistema operacional, e dos servios detectados;
4. Testam as vulnerabilidades conhecidas, e listam as que obtiveram sucesso.
Os melhores programas com tais caractersticas geralmente so pagos, e custam caro. Eles
incorporam as funcionalidades acima, e, alm disso, fazem a atualizao do banco de dados de
vulnerabilidades frequentemente, atravs da Internet. Assim, sempre estaro testando por falhas que so
atuais.
eEye Retina
http://www.eeye.com/html/Products/Retina/index.html
O Retina uma das ferramentas mais fantsticas disponveis, para anlise automatizada de
segurana. Alm de realizar os passos descritos acima, mostra, para cada vulnerabilidade encontrada, caso
seja problema de bug ou furo no programa, o link para o site do fornecedor, contendo a correo. Caso seja
um problema de configurao, mostrar onde obter a soluo.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Infelizmente, a poltica comercial da eEye bastante agressiva. Alm dos preos serem bastante altos,
cobrado at o servio de atualizao. Entretanto, o site dispe de verses de demonstrao para download,
com timebomb de 15 dias, o que j mais do que o suficiente para se ter uma idia de como o programa
funciona.
Typhon
CIS (Cerberus Internet Scanner)
(http://www.nextgenss.com/)
(http://www.cerberus-infosec.co.uk/cis.shtml)
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Depois de realizar o teste no endereo de rede selecionado, o programa montar uma pgina com
todos os detalhes do teste, e o que foi encontrado, como segue:
Talvez o programa mais difundido entre os hackers wannabe, pois torna a pesquisa de hosts
vunlerveis, e o acesso a esses hosts, MUITO fcil. Entretanto, voltado para apenas uma funcionalidade de
rede, o NetBIOS / SMB (Server Message Block), que a base de uma rede Microsoft, o que inclui todo e
qualquer programa que seja compatvel, como Samba (para UNIX).
Essa
ferramenta,
como
outras
do
gnero
(como
o
rhino9
legion
http://www.dsinet.org/tools/mirrors/rhino9/), no explora uma falha de segurana no software da Microsoft,
ou no Samba. Por sua vez, ela tenta achar falhas de configurao. Quanto a isto, impressionante a
quantidade de computadores conectados Internet que demonstram tais falhas de configurao.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Neotrace
http://www.neotrace.com
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
O Neotrace um timo programa que permite, dado um endereo IP, traar em um mapa mundi a
rota que o pacote de dados percorre de seu computador at o destino. um excelente recurso para descobrir
a localizao geogrfica de potencial invasor, por exemplo.
Alm de traar a rota, ele identifica todas as redes as quais os endereos dos roteadores no meio do
caminho pertencem.
Finalmente, importante observar que nenhuma dessas ferramentas substitui a real experincia de
um profissional qualificado.
Personal Firewalls
Introduo ao Conceito de Filtragem de Pacotes
Ao contrrio do que muitos acham, um firewall no um componente de software ou hardware (ou os
dois). Um firewall um conceito, uma srie de regras, que devem ser implementadas, para que ao final, se
consiga obter o efeito de firewalling.
Estas regras so bastante simples, contudo, imutveis.
Todo o trfego (em qualquer sentido que seja) deve passar pelo firewall
Apenas trfego autorizado, a partir da ACL (Access Control List) dever passar pelo firewall, em
qualquer dos sentidos
O firewall em si deve ser imune invaso.
(Firewalls and Internet Security: Repelling the Wily Hacker
William Cheswick / Steven Bellovin)
Apesar destes conceitos, a idia do firewall, ultimamente, tem sido bastante deturpada, infelizmente.
Hoje em dia, temos no mercado diversos produtos denominados Personal Firewalls, ou firewalls pessoais, com
a inteno de proteger o computador de ataques. Eles resumem as 3 premissas de um sistema firewall em um
nico produto, ou programa / software, que voc pode instalar em seu computador.
Estes programas funcionam de forma bastante simples. Eles utilizam a forma universal de filtragem de
pacotes para determinar se um determinado pacote de dados pode ou no passar. A nvel lgico, eles ficam
entre a interface de rede e o sistema operacional, atuando antes que o mesmo possa processar o dado.
Funo
Valor
Pol.
Funo / Sentido
Interface
Proto
Nmero
Origem
IP Origem
Destino
IP Destino
Opes
Logging
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
A seguir, vemos um esquema simples de firewall:
Firewalls: Filtragem
I
n
t
e
r
n
e
t
Rede Segura
Invasor
Permitido
Firewall
Invasor
Existem outros modelos lgicos para uso com firewalls. O modelo mais eficiente o de zona
desmilitarizada. Nele, servidores e computadores crticos so protegidos tanto da rede interna quanto da rede
externa.
Veja:
Zona Desmilitarizada
Firewall
Firewall
Sub-rede
limitada
Gateway
Internet
Servers
R
e
d
e
S
e
g
u
r
a
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Componentes de filtragem de um firewall sempre usaro as funes acima. Entretanto, os personal
firewalls associam tais funes aplicao que est tentando acessar a rede, ou que est tentando colocar
algum componente servidor no ar.
Portanto, os personal firewalls exibiro alertas baseados na utilizao dos programas. Digamos por
exemplo, que voc acabou de instalar um personal firewall e, pela primeira vez, ir usar o correio eletrnico.
Ao abrir o programa de correio, quando ele tentar acessar os servidores remotos para enviar ou receber
mensagens, voc recber um alerta do personal firewall, identificando o programa, e qual a funo que ele
deseja realizar.
Esta a parte mais importante para a correta configurao do mesmo.
Devemos sempre ficar alerta para programas que no conhecemos, que tentem acessar a rede.
Nestes casos, podemos de forma fcil identificar um cavalo de tria, por exemplo.
Veja:
ZoneLabs ZoneAlarm
http://www.zonealarm.com
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
http://www.tinysoftware.com/home/tiny?s=3782371648935103301A3&pg=download
O TPF to eficiente quando o ZoneAlarm. Contudo, possui alguns recursos bem mais avanados. Ele
permite a definio de regras, baseadas nas definies padro (vide tabela). Alm disso, permite tambm
gerencia remota.
Antivrus
Existem inmeros antivrus no mercado. Entretanto, a grande maioria paga, para a plataforma
Windows. difcil achar algum que seja gratuito. Um exemplo o AVG, da Grisoft, que pode ser baixado de
http://www.grisoft.com.
Basicamente, hoje em dia todos os programas antivrus permitem trs tipos de funcionalidades.
Proteo em tempo real (impede a armazenagem ou execuo de arquivo infectado), proteo via email
(checa automaticamente todas as mensagens e limpa ou apaga vrus anexos) e a pesquisa de arquivos. Como
atualmente a grande maioria dos vrus so espalhados via email, um bom antivrus que tenha integrao com
seu programa de emails essencial.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
O Que Fazer ?
Usurio final
O usurio ter muita dificuldade de detectar que foi invadido. A no ser que o hacker deixe sua
assinatura dentro do computador, o tpico usurio na grande maioria das vezes sequer saber que algum
mexeu em seus arquivos, a no ser que possua algum utilitrio para detectar uma invaso. Em todo caso, se
isto for verdade, o usurio acabou de provar que o programa no funciona (...).
A primeira coisa que deve ser feita instalar um bom antivrus e execut-lo fazendo uma varredura
em todo o sistema. Isso eliminar a possibilidade de cavalos-de-tria. Caso no ache nada, ento muito
provvel que, se o seu computador for Windows, ele foi invadido pelo compartilhamento de arquivos e
impressoras para redes Microsoft, ou por algum servio que esteja sendo executado, como FTP ou HTTP.
Usurio Corporativo
Neste caso, o administrador da rede deve ser notificado IMEDIATAMENTE. NO DESLIGUE, ou
desconecte o computador! Parte da anlise que ser feita depende inteiramente do fato de que o hacker ainda
no sabe que foi descoberto. Simplesmente chame o administrador. Ele tomar alguma abordagem. Perceba
que, do ponto de vista de um invasor, desconectar o computador da rede praticamente a mesma coisa do
que deslig-lo.
Precaues
Jamais fale com estranhos na rua, ou aceite qualquer coisa de um estranho.
Mais uma vez, lembre-se que segurana um hbito. Se seguir os procedimentos relacionados aqui,
dificilmente algum invadir seu computador. Contudo, mesmo que voc siga estes procedimentos, lembre-se
tambm da segurana local. No adianta tomar nenhuma precauo e deixar algum mexer no seu
computador inadvertidamente, ou sem acompanhamento. Da mesma forma, jamais use um computador
compartilhado para digitar senhas ou informaes sensveis, MESMO QUE lhe dem todas as seguranas
possveis e imaginveis.
Anlise Forense
Assim como em qualquer estudo criminalstico, o estudo srio da criminalidade envolvendo informtica
tambm tem seu ramo de anlise forense. Contudo, pela prpria informalidade do ambiente de informtica
nas empresas, e pela ausncia de um corpo de estudo criminalstico na polcia, o assunto tratado como
conto de fadas.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Grandes empresas que possuam uma infra-estrutura de TI proporcional tero provavelmente sua
prpria equipe de TI de segurana, e, consequentemente, de anlise forense. Estudos mostram que a maioria
dos ataques parte de dentro da empresa. Levando isso em considerao, faz-se necessria a presena de uma
equipe que estude casos como por exemplo, proliferao de vrus. Porm, o objetivo principal da anlise a
investigao de uma falha, com a inteno de colher evidncias, que ajudem no processo de
responsabilizao, bem como no reparo dos danos e da prpria falha.
O trabalho do investigador forense baseado em provas digitais, dados armazenados em sistemas de
informtica. A caracterstica destes dados sua volatibilidade. Dados podem ser alterados com muita
facilidade, estragando uma prova crucial, ou incriminando quem no tem nada a ver com a histria.
O especialista em segurana deve:
Tentar recuperar cada log possvel, retir-lo do computador e guard-lo em um local seguro
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
8. Comrcio Eletrnico
Tecnicamente falando, a tecnologia envolvida com comrcio eletrnico relativamente segura.
Contudo, a segurana ao se realizar uma transao bancria, por exemplo, depende de diversos fatores, no
s da tecnologia ou da segurana que a instituio financeira possui.
Anlise de Vulnerabilidades
Existem diversos pontos que so vulnerveis no comrcio eletrnico. A tpica conexo do usurio, at
seu banco, no caso de home banking pela Internet, se parece com o seguinte diagrama:
http://home.netscape
.com/eng/ssl3/3--SPEC.HTM
http://home.netscape.com/eng/ssl3/3
http://www.setco
.org/
http://www.setco.org/
Comrcio Eletrnico
Vulnerabilidade:
Baixa
Mdia
Alta
Usurio
Internet
Provedor
Servidor de
Comrcio
No diagrama acima, vemos claramente que o maior risco de segurana est no computador do prprio
usurio. Se este estiver infectado com um cavalo-de-tria como o BO, todas as suas senhas, transaes
financeiras, enfim, tudo que estiver sendo digitado no teclado pode ser capturado para um arquivo e acessado
por um suposto hacker.
Muitos autores de segurana iro discutir o quo seguras so as solues para comrcio eletrnico.
Realmente, a grande maioria das solues tcnicas excelente. Contudo, o usurio leigo no possui o
conceito ou conhecimento para separar at onde vai a tecnologia de seu computador, e onde se inicia a
tecnologia da companhia telefnica ou do provedor de acesso, ou at mesmo da instituio financeira ou loja
virtual que se est acessando. O usurio leigo enxerga todos estes elementos como um nico servio. Assim
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
sendo, ele no tomar as precaues necessrias com a segurana de seu computador, muitas vezes porque o
servio de comrcio eletrnico lhe disse que o sistema era to seguro que chegava a ser prova de falhas.
Hackers que desejem obter tais informaes SEMPRE exploraro as FALHAS dos sistemas. Nunca iro de
encontro com uma barreia praticamente intransponvel: atacaro sempre o ponto mais frgil, mais vulnervel,
aquele elo que pode ser corrompido. Neste caso, fcil at demais: o computador do usurio.
A grande maioria dos sites de comrcio eletrnico usam trs tecnologias (saparadas ou em conjunto,
na maioria das vezes). So elas:
1. SSL (Secure Sockets Layer)
2. SET (Secure Eletronic Transactions)
3. Shopping Carts
O SSL um padro de criptografia desenvolvido pela Netscape, para criar um tnel seguro, onde
todas as informaes entre o browser do usurio e o site da loja ou instituio financeira so trocadas de
forma criptografada. Acessar e quebrar as informaes durante o trfego praticamente impossvel. Contudo,
estudos comprovam ser possvel realizar tal faanha.
http://developer.netscape.com/docs/manuals/security/sslin/contents.htm
O padro SET (Secure Eletronic Transactions) foi criado por administradoras de carto de crdito, com
a inteno de instituir um mtodo capaz de impedir fraudes relativas a transaes financeiras (geralmente
compras atravs da Internet). A filosofia do sistema bem simples: ao se comprar um produto numa loja
virtual, voc seleciona o(s) produto(s), e, na hora de efetuar o pagamento, atravs do SET, a cobrana
enviada diretamente do seu computador para a instituio financeira (digamos, a administradora do seu
carto de crdito). Assim, suas informaes pessoais como o nmero do seu carto NO so enviadas para a
loja, e sim para administradora. A loja apenas recebe a confirmao do dbito. Desta forma, mesmo que o site
da loja seja atacado e suas informaes sejam expostas, elas no conteriam em tese seu cadastro.
Recentemente tivemos a invaso de uma grande loja de venda de CDs pela Internet, a CD Universe. Milhares
de nmeros de cartes de crdito foram comprometidos, o que forou a empresa a entrar em um acordo com
a administradora e emitir novos cartes para todos aqueles expostos. Um gasto de milhares de dlares, sem
contar com o dano causado a imagem da empresa.
Os shopping carts so pequenos programas usados nos sites de comrcio eletrnico que acompanham
as pginas que voc visitou recentemente no site, assim como que itens escolheu ultimamente, e que itens
esto na sua relao de compra. A grande maioria deles utiliza cookies, pequenos textos que so trocados
entre o seu browser e o site, para armazenar tais informaes. Em sites que no possuem SET, ou que
trabalham com programas de shopping carts de baixa qualidade / vulnerveis, eles podem gravar em cookies
suas informaes pessoais, sem criptografia, ou com criptografia fraca. Assim, qualquer um que tenha acesso
ao seu computador localmente ter potencialmente acesso a tais arquivos. Algumas vezes, at senhas e
nmeros de cartes de crdito podem ser gravados em cookies. Como regra bsica, no efetue transaes de
comrcio eletrnico em computadores compartilhados. Mesmo assim, certifique-se que sua mquina est livre
de cavalos-de-tria antes de prosseguir.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
9. Como Prevenir
Assim como a segurana boa parte uma questo de hbito, a preveno tambm. Existem vrias
formas de prevenir o comprometimento das informaes, com pequenas alteraes em programas, sem
nenhum custo. Alm disso, existem na Internet diversos utilitrios que nos ajudam a manter seguros nossos
sistemas, muitos deles sem custo algum.
Senhas
A primeira instncia de segurana em qualquer sistema sua senha. Escolha senhas difceis. Uma
seha difcil aquela com no mnio 12 caracteres, sem sentido, incluindo letras, nmeros e caracteres
especiais, como !, @, #, $, e etc.
Correio Eletrnico
Como diz o ditado: a curiosidade para o mal geralmente possui consequncias malficas, tenha por
hbito no abrir documentos ou programas anexos em mensagens de correio eletrnico. De forma anloga,
evite baixar programas ou receb-los atravs do ICQ por exemplo, sem saber sua procedncia.
Antivrus
Tenha um antivrus instalado, mantenha-o sempre atualizado (pelo menos a cada 15 dias). Os
antivrus atuais detectam cavalos-de-tria, o que quase que elimina a possibilidade de algum tentar invadir
seu computador atravs de um, desde que devidamente atualizado
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
problema no menor tempo possvel. Alm disso, a comunidade exercer maior presso nas empresas para que
consertem os problemas em tempo recorde.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
http://www.sans.org/newlook/resources/IDFAQ/ID_FAQ.htm
-- x --
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Anexos
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Lista atualizada em 17/03/2000. Listas atualizadas podem ser encontradas em:
http://www.simovits.com/nyheter9902.html
-port 2 - Death
port 21 - Back Construction, Blade Runner, Doly Trojan, Fore, FTP
trojan, Invisible FTP, Larva, Net Administrator, Senna
Spy FTP Server, WebEx, WinCrash
port 23 - Tiny Telnet Server, Truva Atl
port 25 - Ajan, Antigen, Email Password Sender, Haebu Coceda (Naebi),
Happy 99, Kuang2, NewApt, ProMail trojan, Shtrilitz,
Stealth, Tapiras, Terminator, WinPC, WinSpy
port 31 - Agent 31, Hackers Paradise, Masters Paradise
port 41 - DeepThroat
port 48 - DRAT
port 50 - DRAT
port 59 - DMSetup
port 79 - Firehotcker
port 80 - Executor, Hooker, RingZero
port 99 - Hidden Port
port 110 - ProMail trojan
port 113 - Kazimas
port 119 - Happy 99
port 121 - JammerKillah
port 123 - Net Controller
port 146 - Infector
port 146 (UDP) - Infector
port 421 - TCP Wrappers
port 456 - Hackers Paradise
port 531 - Rasmin
port 555 - Ini-Killer, NeTAdministrator, Phase Zero, Stealth Spy
port 605 - Secret Service
port 666 - Attack FTP, Back Construction, Satanz Backdoor, ServeU,
port 777 - Aim Spy
port 911 - Dark Shadow
port 999 - DeepThroat, WinSatan
port 1000 - Der Spacher 3
port 1001 - Der Spacher 3, Silencer, WebEx
port 1010 - Doly Trojan
port 1011 - Doly Trojan
port 1012 - Doly Trojan
port 1015 - Doly Trojan
port 1020 - Vampire
port 1024 - NetSpy
port 1042 - Bla
port 1045 - Rasmin
port 1050 - MiniCommand
port 1080 - WinHole
port 1090 - Xtreme
port 1095 - RAT
port 1097 - RAT
port 1098 - RAT
port 1099 - RAT
port 1170 - Psyber Stream Server, Streaming Audio trojan, Voice
port 1200 (UDP - NoBackO
port 1201 (UDP - NoBackO
port 1207 - SoftWAR
port 1234 - Ultors Trojan
port 1243 - BackDoor-G, SubSeven, SubSeven Apocalypse
port 1245 - VooDoo Doll
port 1269 - Mavericks Matrix
port 1313 - NETrojan
port 1349 (UDP) - BO DLL
port 1492 - FTP99CMP
port 1509 - Psyber Streaming Server
port 1600 - Shivka-Burka
port 1807 - SpySender
port 1969 - OpC BO
port 1981 - Shockrave
port 1999 - BackDoor, TransScout
port 2000 - Der Spaeher 3, Insane Network, TransScout
port 2001 - Der Spaeher 3, TransScout, Trojan Cow
port 2002 - TransScout
port 2003 - TransScout
port 2004 - TransScout
port 2005 - TransScout
port 2023 - Ripper
port 2115 - Bugs
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
port
10607
10666
11000
11050
11223
12076
12223
12345
12346
12349
12361
12362
12623
12631
13000
16484
16772
16969
17300
17777
19864
20001
20034
20203
20331
21544
22222
23456
23476
23477
26274
27374
27573
29891
30029
30100
30101
30102
30303
30999
31336
31337
31337
31338
31338
31339
31666
31785
31787
31788
31789
31791
31792
32418
33333
33911
34324
34555
35555
37651
40412
40421
40422
40423
40426
47262
50505
50766
52317
53001
54283
54320
54321
54321
57341
60000
61348
61466
61603
63485
65000
65432
- Coma
(UDP) - Ambush
- Senna Spy
- Host Control
- Progenic trojan, Secret Agent
- Gjamer
- Hack99 KeyLogger
- GabanBus, NetBus, Pie Bill Gates, X-bill
- GabanBus, NetBus, X-bill
- BioNet
- Whack-a-mole
- Whack-a-mole
(UDP) - DUN Control
- WhackJob
- Senna Spy
- Mosucker
- ICQ Revenge
- Priority
- Kuang2 The Virus
- Nephron
- ICQ Revenge
- Millennium
- NetBus 2 Pro
- Chupacabra, Logged
- Bla
- GirlFriend
- Prosiak
- Evil FTP, Ugly FTP, Whack Job
- Donald Dick
- Donald Dick
(UDP) - Delta Source
- SubSeven
- SubSeven
(UDP) - The Unexplained
- AOL Trojan
- NetSphere
- NetSphere
- NetSphere
- Sockets de Troie
- Kuang2
- Bo Whack
- Baron Night, BO client, BO2, Bo Facil
(UDP) - BackFire, Back Orifice, DeepBO
- NetSpy DK
(UDP) - Back Orifice, DeepBO
- NetSpy DK
- BOWhack
- HackaTack
- HackaTack
- HackaTack
(UDP) - HackaTack
(UDP) - HackaTack
- HackaTack
- Acid Battery
- Prosiak
- Spirit 2001a
- BigGluck, TN
(UDP) - Trinoo
(UDP) - Trinoo
- YAT
- The Spy
- Agent 40421, Masters Paradise
- Masters Paradise
- Masters Paradise
- Masters Paradise
(UDP) - Delta Source
- Sockets de Troie
- Fore, Schwindler
- Acid Battery 2000
- Remote Windows Shutdown
- SubSeven
- Back Orifice 2000
- School Bus
(UDP) - Back Orifice 2000
- NetRaider
- Deep Throat
- Bunker-Hill
- Telecommando
- Bunker-Hill
- Bunker-Hill
- Devil
- The Traitor
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
port 65432 (UDP) - The Traitor
port 65535 - RC
---
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Keyword
------#
tcpmux
tcpmux
#
compressnet
compressnet
compressnet
compressnet
#
#
#
rje
rje
#
#
#
echo
echo
#
#
#
discard
discard
#
#
#
systat
systat
#
#
#
daytime
daytime
#
#
#
#
#
#
#
qotd
qotd
#
msp
msp
#
chargen
chargen
ftp-data
ftp-data
ftp
ftp
#
#
#
telnet
telnet
#
Decimal
------0/tcp
0/udp
1/tcp
1/udp
2/tcp
2/udp
3/tcp
3/udp
4/tcp
4/udp
5/tcp
5/udp
6/tcp
6/udp
7/tcp
7/udp
8/tcp
8/udp
9/tcp
9/udp
10/tcp
10/udp
11/tcp
11/udp
12/tcp
12/udp
13/tcp
13/udp
14/tcp
14/udp
15/tcp
15/udp
16/tcp
16/udp
17/tcp
17/udp
18/tcp
18/udp
19/tcp
19/udp
20/tcp
20/udp
21/tcp
21/udp
22/tcp
22/udp
23/tcp
23/udp
24/tcp
24/udp
#
smtp
smtp
#
#
#
nsw-fe
nsw-fe
#
#
#
msg-icp
msg-icp
#
#
#
msg-auth
25/tcp
25/udp
26/tcp
26/udp
27/tcp
27/udp
28/tcp
28/udp
29/tcp
29/udp
30/tcp
30/udp
31/tcp
Description
----------Reserved
Reserved
Jon Postel
TCP Port Service Multiplexer
TCP Port Service Multiplexer
Mark Lottor
Management Utility
Management Utility
Compression Process
Compression Process
Bernie Volz
Unassigned
Unassigned
Remote Job Entry
Remote Job Entry
Jon Postel
Unassigned
Unassigned
Echo
Echo
Jon Postel
Unassigned
Unassigned
Discard
Discard
Jon Postel
Unassigned
Unassigned
Active Users
Active Users
Jon Postel
Unassigned
Unassigned
Daytime
Daytime
Jon Postel
Unassigned
Unassigned
Unassigned [was netstat]
Unassigned
Unassigned
Unassigned
Quote of the Day
Quote of the Day
Jon Postel
Message Send Protocol
Message Send Protocol
Rina Nethaniel <---none--->
Character Generator
Character Generator
File Transfer [Default Data]
File Transfer [Default Data]
File Transfer [Control]
File Transfer [Control]
Jon Postel
Unassigned
Unassigned
Telnet
Telnet
Jon Postel
any private mail system
any private mail system
Rick Adam
Simple Mail Transfer
Simple Mail Transfer
Jon Postel
Unassigned
Unassigned
NSW User System FE
NSW User System FE
Robert Thomas
Unassigned
Unassigned
MSG ICP
MSG ICP
Robert Thomas
Unassigned
Unassigned
MSG Authentication
References
----------
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
msg-auth
#
#
#
dsp
dsp
#
#
#
#
#
#
time
time
#
rap
rap
#
rlp
rlp
#
#
#
graphics
graphics
nameserver
nameserver
nicname
nicname
mpm-flags
mpm-flags
mpm
mpm
mpm-snd
mpm-snd
#
ni-ftp
ni-ftp
#
auditd
auditd
#
login
login
#
re-mail-ck
re-mail-ck
#
la-maint
la-maint
#
xns-time
xns-time
#
domain
domain
#
xns-ch
xns-ch
#
isi-gl
isi-gl
xns-auth
xns-auth
#
31/udp
32/tcp
32/udp
33/tcp
33/udp
34/tcp
34/udp
35/tcp
35/udp
36/tcp
36/udp
37/tcp
37/udp
38/tcp
38/udp
39/tcp
39/udp
40/tcp
40/udp
41/tcp
41/udp
42/tcp
42/udp
43/tcp
43/udp
44/tcp
44/udp
45/tcp
45/udp
46/tcp
46/udp
47/tcp
47/udp
48/tcp
48/udp
49/tcp
49/udp
50/tcp
50/udp
51/tcp
51/udp
52/tcp
52/udp
53/tcp
53/udp
54/tcp
54/udp
55/tcp
55/udp
56/tcp
56/udp
57/tcp
57/udp
#
xns-mail
xns-mail
#
58/tcp
58/udp
59/tcp
59/udp
#
ni-mail
ni-mail
#
acas
acas
60/tcp
60/udp
61/tcp
61/udp
62/tcp
62/udp
MSG Authentication
Robert Thomas
Unassigned
Unassigned
Display Support Protocol
Display Support Protocol
Ed Cain
Unassigned
Unassigned
any private printer server
any private printer server
Jon Postel
Unassigned
Unassigned
Time
Time
Jon Postel
Route Access Protocol
Route Access Protocol
Robert Ullmann
Resource Location Protocol
Resource Location Protocol
Mike Accetta
Unassigned
Unassigned
Graphics
Graphics
Host Name Server
Host Name Server
Who Is
Who Is
MPM FLAGS Protocol
MPM FLAGS Protocol
Message Processing Module [recv]
Message Processing Module [recv]
MPM [default send]
MPM [default send]
Jon Postel
NI FTP
NI FTP
Steve Kille
Digital Audit Daemon
Digital Audit Daemon
Larry Scott
Login Host Protocol
Login Host Protocol
Pieter Ditmars
Remote Mail Checking Protocol
Remote Mail Checking Protocol
Steve Dorner
IMP Logical Address Maintenance
IMP Logical Address Maintenance
Andy Malis
XNS Time Protocol
XNS Time Protocol
Susie Armstrong
Domain Name Server
Domain Name Server
Paul Mockapetris
XNS Clearinghouse
XNS Clearinghouse
Susie Armstrong
ISI Graphics Language
ISI Graphics Language
XNS Authentication
XNS Authentication
Susie Armstrong
any private terminal access
any private terminal access
Jon Postel
XNS Mail
XNS Mail
Susie Armstrong
any private file service
any private file service
Jon Postel
Unassigned
Unassigned
NI MAIL
NI MAIL
Steve Kille
ACA Services
ACA Services
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
#
#
#
covia
covia
#
#
tacacs-ds
tacacs-ds
#
sql*net
sql*net
#
bootps
bootps
bootpc
bootpc
#
tftp
tftp
#
gopher
gopher
#
netrjs-1
netrjs-1
netrjs-2
netrjs-2
netrjs-3
netrjs-3
netrjs-4
netrjs-4
#
63/tcp
63/udp
64/tcp
64/udp
65/tcp
65/udp
66/tcp
66/udp
67/tcp
67/udp
68/tcp
68/udp
69/tcp
69/udp
70/tcp
70/udp
71/tcp
71/udp
72/tcp
72/udp
73/tcp
73/udp
74/tcp
74/udp
75/tcp
75/udp
#
deos
deos
#
76/tcp
76/udp
77/tcp
77/udp
#
vettcp
vettcp
#
finger
finger
#
www-http
www-http
#
hosts2-ns
hosts2-ns
#
xfer
xfer
#
mit-ml-dev
mit-ml-dev
#
ctf
ctf
#
mit-ml-dev
mit-ml-dev
#
mfcobol
mfcobol
#
78/tcp
78/udp
79/tcp
79/udp
80/tcp
80/udp
81/tcp
81/udp
82/tcp
82/udp
83/tcp
83/udp
84/tcp
84/udp
85/tcp
85/udp
86/tcp
86/udp
87/tcp
87/udp
#
kerberos
kerberos
#
su-mit-tg
su-mit-tg
#
dnsix
dnsix
#
mit-dov
mit-dov
88/tcp
88/udp
89/tcp
89/udp
90/tcp
90/udp
91/tcp
91/udp
E. Wald
Unassigned
Unassigned
Communications Integrator (CI)
Communications Integrator (CI)
"Tundra" Tim Daneliuk
TACACS-Database Service
TACACS-Database Service
Kathy Huber
Oracle SQL*NET
Oracle SQL*NET
Jack Haverty
Bootstrap Protocol Server
Bootstrap Protocol Server
Bootstrap Protocol Client
Bootstrap Protocol Client
Bill Croft
Trivial File Transfer
Trivial File Transfer
David Clark
Gopher
Gopher
Mark McCahill
Remote Job Service
Remote Job Service
Remote Job Service
Remote Job Service
Remote Job Service
Remote Job Service
Remote Job Service
Remote Job Service
Bob Braden
any private dial out service
any private dial out service
Jon Postel
Distributed External Object Store
Distributed External Object Store
Robert Ullmann
any private RJE service
any private RJE service
Jon Postel
vettcp
vettcp
Christopher Leong
Finger
Finger
David Zimmerman
World Wide Web HTTP
World Wide Web HTTP
Tim Berners-Lee
HOSTS2 Name Server
HOSTS2 Name Server
Earl Killian
XFER Utility
XFER Utility
Thomas M. Smith
MIT ML Device
MIT ML Device
David Reed <--none--->
Common Trace Facility
Common Trace Facility
Hugh Thomas
MIT ML Device
MIT ML Device
David Reed <--none--->
Micro Focus Cobol
Micro Focus Cobol
Simon Edwards <--none--->
any private terminal link
any private terminal link
Jon Postel
Kerberos
Kerberos
B. Clifford Neuman
SU/MIT Telnet Gateway
SU/MIT Telnet Gateway
Mark Crispin
DNSIX Securit Attribute Token Map
DNSIX Securit Attribute Token Map
Charles Watt
MIT Dover Spooler
MIT Dover Spooler
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
#
npp
npp
#
dcp
dcp
#
objcall
objcall
#
supdup
supdup
#
dixie
dixie
#
swift-rvf
swift-rvf
#
#
tacnews
tacnews
#
metagram
metagram
#
newacct
hostname
hostname
#
iso-tsap
iso-tsap
#
gppitnp
gppitnp
acr-nema
acr-nema
#
csnet-ns
csnet-ns
#
3com-tsmux
3com-tsmux
#
rtelnet
rtelnet
#
snagas
snagas
#
pop2
pop2
#
pop3
pop3
#
sunrpc
sunrpc
#
mcidas
mcidas
#
auth
auth
#
audionews
audionews
#
sftp
sftp
#
ansanotify
ansanotify
#
uucp-path
uucp-path
sqlserv
sqlserv
#
nntp
nntp
#
cfdptkt
92/tcp
92/udp
93/tcp
93/udp
94/tcp
94/udp
95/tcp
95/udp
Eliot Moss
Network Printing Protocol
Network Printing Protocol
Louis Mamakos
Device Control Protocol
Device Control Protocol
Daniel Tappan
Tivoli Object Dispatcher
Tivoli Object Dispatcher
Tom Bereiter <--none--->
SUPDUP
SUPDUP
Mark Crispin
DIXIE Protocol Specification
DIXIE Protocol Specification
96/tcp
96/udp
Tim Howes
97/tcp
Swift Remote Vitural File Protocol
97/udp
Swift Remote Vitural File Protocol
Maurice R. Turcotte
98/tcp
98/udp
99/tcp
99/udp
100/tcp
101/tcp
101/udp
102/tcp
102/udp
103/tcp
103/udp
104/tcp
104/udp
105/tcp
105/udp
106/tcp
106/udp
107/tcp
107/udp
108/tcp
108/udp
109/tcp
109/udp
110/tcp
110/udp
111/tcp
111/udp
112/tcp
112/udp
113/tcp
113/udp
114/tcp
114/udp
115/tcp
115/udp
116/tcp
116/udp
117/tcp
117/udp
118/tcp
118/udp
119/tcp
119/udp
120/tcp
TAC News
TAC News
Jon Postel
Metagram Relay
Metagram Relay
Geoff Goodfellow
[unauthorized use]
NIC Host Name Server
NIC Host Name Server
Jon Postel
ISO-TSAP
ISO-TSAP
Marshall Rose
Genesis Point-to-Point Trans Net
Genesis Point-to-Point Trans Net
ACR-NEMA Digital Imag. & Comm. 300
ACR-NEMA Digital Imag. & Comm. 300
Patrick McNamee <--none--->
Mailbox Name Nameserver
Mailbox Name Nameserver
Marvin Solomon
3COM-TSMUX
3COM-TSMUX
Jeremy Siegel
Remote Telnet Service
Remote Telnet Service
Jon Postel
SNA Gateway Access Server
SNA Gateway Access Server
Kevin Murphy
Post Office Protocol - Version 2
Post Office Protocol - Version 2
Joyce K. Reynolds
Post Office Protocol - Version 3
Post Office Protocol - Version 3
Marshall Rose
SUN Remote Procedure Call
SUN Remote Procedure Call
Chuck McManis
McIDAS Data Transmission Protocol
McIDAS Data Transmission Protocol
Glenn Davis
Authentication Service
Authentication Service
Mike St. Johns
Audio News Multicast
Audio News Multicast
Martin Forssen
Simple File Transfer Protocol
Simple File Transfer Protocol
Mark Lottor
ANSA REX Notify
ANSA REX Notify
Nicola J. Howarth
UUCP Path Service
UUCP Path Service
SQL Services
SQL Services
Larry Barnes
Network News Transfer Protocol
Network News Transfer Protocol
Phil Lapsley
CFDPTKT
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
cfdptkt
#
erpc
erpc
#
smakynet
smakynet
#
ntp
ntp
#
ansatrader
ansatrader
#
locus-map
locus-map
#
unitary
unitary
#
locus-con
locus-con
#
gss-xlicen
gss-xlicen
#
pwdgen
pwdgen
#
cisco-fna
cisco-fna
cisco-tna
cisco-tna
cisco-sys
cisco-sys
statsrv
statsrv
#
ingres-net
ingres-net
#
loc-srv
loc-srv
#
profile
profile
#
netbios-ns
netbios-ns
netbios-dgm
netbios-dgm
netbios-ssn
netbios-ssn
#
emfis-data
emfis-data
emfis-cntl
emfis-cntl
#
bl-idm
bl-idm
#
imap2
imap2
#
news
news
#
uaac
uaac
#
iso-tp0
iso-tp0
iso-ip
iso-ip
#
cronus
cronus
#
aed-512
aed-512
#
sql-net
120/udp
121/tcp
121/udp
122/tcp
122/udp
123/tcp
123/udp
124/tcp
124/udp
125/tcp
125/udp
126/tcp
126/udp
CFDPTKT
John Ioannidis
Encore Expedited Remote Pro.Call
Encore Expedited Remote Pro.Call
Jack O'Neil <---none--->
SMAKYNET
SMAKYNET
Mike O'Dowd
Network Time Protocol
Network Time Protocol
Dave Mills
ANSA REX Trader
ANSA REX Trader
Nicola J. Howarth
Locus PC-Interface Net Map Ser
Locus PC-Interface Net Map Ser
Eric Peterson
Unisys Unitary Login
Unisys Unitary Login
127/tcp
127/udp
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
sql-net
#
hems
hems
#
bftp
bftp
#
sgmp
sgmp
#
netsc-prod
netsc-prod
netsc-dev
netsc-dev
#
sqlsrv
sqlsrv
#
knet-cmp
knet-cmp
#
pcmail-srv
pcmail-srv
#
nss-routing
nss-routing
#
sgmp-traps
sgmp-traps
#
snmp
snmp
snmptrap
snmptrap
#
cmip-man
cmip-man
cmip-agent
smip-agent
#
xns-courier
xns-courier
#
s-net
s-net
#
namp
namp
#
rsvd
rsvd
#
send
send
#
print-srv
print-srv
#
multiplex
multiplex
cl/1
cl/1
#
xyplex-mux
xyplex-mux
#
mailq
mailq
#
vmnet
vmnet
#
genrad-mux
genrad-mux
#
xdmcp
xdmcp
#
nextstep
NextStep
#
bgp
150/udp
SQL-NET
Martin Picard <<---none--->
151/tcp
HEMS
151/udp
HEMS
Christopher Tengi
152/tcp
Background File Transfer Program
152/udp
Background File Transfer Program
Annette DeSchon
153/tcp
SGMP
153/udp
SGMP
Marty Schoffstahl
154/tcp
NETSC
154/udp
NETSC
155/tcp
NETSC
155/udp
NETSC
Sergio Heker
156/tcp
SQL Service
156/udp
SQL Service
Craig Rogers
157/tcp
KNET/VM Command/Message Protocol
157/udp
KNET/VM Command/Message Protocol
Gary S. Malkin
158/tcp
PCMail Server
158/udp
PCMail Server
Mark L. Lambert
159/tcp
NSS-Routing
159/udp
NSS-Routing
Yakov Rekhter
160/tcp
SGMP-TRAPS
160/udp
SGMP-TRAPS
Marty Schoffstahl
161/tcp
SNMP
161/udp
SNMP
162/tcp
SNMPTRAP
162/udp
SNMPTRAP
Marshall Rose
163/tcp
CMIP/TCP Manager
163/udp
CMIP/TCP Manager
164/tcp
CMIP/TCP Agent
164/udp
CMIP/TCP Agent
Amatzia Ben-Artzi <---none--->
165/tcp
Xerox
165/udp
Xerox
Susie Armstrong
166/tcp
Sirius Systems
166/udp
Sirius Systems
Brian Lloyd <---none--->
167/tcp
NAMP
167/udp
NAMP
Marty Schoffstahl
168/tcp
RSVD
168/udp
RSVD
Neil Todd
169/tcp
SEND
169/udp
SEND
William D. Wisner
170/tcp
Network PostScript
170/udp
Network PostScript
Brian Reid
171/tcp
Network Innovations Multiplex
171/udp
Network Innovations Multiplex
172/tcp
Network Innovations CL/1
172/udp
Network Innovations CL/1
Kevin DeVault <<---none--->
173/tcp
Xyplex
173/udp
Xyplex
Bob Stewart
174/tcp
MAILQ
174/udp
MAILQ
Rayan Zachariassen
175/tcp
VMNET
175/udp
VMNET
Christopher Tengi
176/tcp
GENRAD-MUX
176/udp
GENRAD-MUX
Ron Thornton
177/tcp
X Display Manager Control Protocol
177/udp
X Display Manager Control Protocol
Robert W. Scheifler
178/tcp
NextStep Window Server
178/udp
NextStep Window Server
Leo Hourvitz
179/tcp
Border Gateway Protocol
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
bgp
#
ris
ris
#
unify
unify
#
audit
audit
#
ocbinder
ocbinder
ocserver
ocserver
#
remote-kis
remote-kis
kis
kis
#
aci
aci
#
mumps
mumps
#
qft
qft
#
gacp
cacp
#
prospero
prospero
#
osu-nms
osu-nms
#
srmp
srmp
#
irc
irc
#
dn6-nlm-aud
dn6-nlm-aud
dn6-smm-red
dn6-smm-red
#
dls
dls
dls-mon
dls-mon
#
smux
smux
#
src
src
#
at-rtmp
at-rtmp
at-nbp
at-nbp
at-3
at-3
at-echo
at-echo
at-5
at-5
at-zis
at-zis
at-7
at-7
at-8
at-8
#
tam
tam
#
z39.50
z39.50
179/udp
180/tcp
180/udp
181/tcp
181/udp
182/tcp
182/udp
183/tcp
183/udp
184/tcp
184/udp
185/tcp
185/udp
186/tcp
186/udp
187/tcp
187/udp
188/tcp
188/udp
189/tcp
189/udp
190/tcp
190/udp
191/tcp
191/udp
192/tcp
192/udp
Doug Karl
193/tcp
193/udp
194/tcp
194/udp
195/tcp
195/udp
196/tcp
196/udp
197/tcp
197/udp
198/tcp
198/udp
199/tcp
199/udp
200/tcp
200/udp
201/tcp
201/udp
202/tcp
202/udp
203/tcp
203/udp
204/tcp
204/udp
205/tcp
205/udp
206/tcp
206/udp
207/tcp
207/udp
208/tcp
208/udp
209/tcp
209/udp
210/tcp
210/udp
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
#
#
914c/g
914c/g
#
anet
anet
#
ipx
ipx
#
vmpwscs
vmpwscs
#
softpc
softpc
#
atls
atls
#
dbase
dbase
#
#
mpp
mpp
#
uarps
uarps
#
imap3
imap3
#
fln-spx
fln-spx
rsh-spx
rsh-spx
cdc
cdc
#
#
#
#
#
sur-meas
sur-meas
#
#
#
link
link
dsp3270
dsp3270
#
#
#
#
pdap
pdap
#
pawserv
pawserv
zserv
zserv
fatserv
fatserv
csi-sgwp
csi-sgwp
#
clearcase
clearcase
#
ulistserv
ulistserv
#
legent-1
legent-1
legent-2
legent-2
#
hassle
hassle
#
Mark Needleman
211/tcp
211/udp
212/tcp
212/udp
213/tcp
213/udp
214/tcp
214/udp
215/tcp
215/udp
216/tcp
216/udp
217/tcp
217/udp
218/tcp
218/udp
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
nip
nip
#
tnETOS
tnETOS
dsETOS
dsETOS
#
is99c
is99c
is99s
is99s
#
hp-collector
hp-collector
hp-managed-node
hp-managed-node
hp-alarm-mgr
hp-alarm-mgr
#
arns
arns
#
ibm-app
ibm-app
#
asa
asa
#
aurp
aurp
#
unidata-ldm
unidata-ldm
#
ldap
ldap
#
uis
uis
#
synotics-relay
synotics-relay
synotics-broker
synotics-broker
#
dis
dis
#
embl-ndt
embl-ndt
#
netcp
netcp
#
netware-ip
netware-ip
mptn
mptn
#
kryptolan
kryptolan
#
#
#
work-sol
work-sol
#
ups
ups
#
genie
genie
#
decap
decap
nced
nced
ncld
ncld
#
imsp
imsp
376/tcp
376/udp
377/tcp
377/udp
378/tcp
378/udp
379/tcp
379/udp
380/tcp
380/udp
381/tcp
381/udp
382/tcp
382/udp
383/tcp
383/udp
384/tcp
384/udp
385/tcp
385/tcp
386/tcp
386/udp
387/tcp
387/udp
388/tcp
388/udp
389/tcp
389/udp
390/tcp
390/udp
391/tcp
391/udp
392/tcp
392/udp
393/tcp
393/udp
394/tcp
394/udp
395/tcp
395/udp
396/tcp
396/udp
397/tcp
397/udp
398/tcp
398/udp
399/tcp
399/udp
400/tcp
400/udp
401/tcp
401/udp
402/tcp
402/udp
403/tcp
403/udp
404/tcp
404/udp
405/tcp
405/udp
406/tcp
406/udp
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
#
timbuktu
timbuktu
#
prm-sm
prm-sm
prm-nm
prm-nm
#
decladebug
decladebug
#
rmt
rmt
#
synoptics-trap
synoptics-trap
#
smsp
smsp
infoseek
infoseek
#
bnet
bnet
#
silverplatter
silverplatter
#
onmux
onmux
#
hyper-g
hyper-g
#
ariel1
ariel1
#
smpte
smpte
#
ariel2
ariel2
ariel3
ariel3
#
opc-job-start
opc-job-start
opc-job-track
opc-job-track
#
icad-el
icad-el
#
smartsdp
smartsdp
#
svrloc
svrloc
#
ocs_cmu
ocs_cmu
ocs_amu
ocs_amu
#
utmpsd
utmpsd
utmpcd
utmpcd
iasd
iasd
#
nnsp
nnsp
#
mobileip-agent
mobileip-agent
mobilip-mn
mobilip-mn
#
dna-cml
dna-cml
#
407/tcp
407/udp
408/tcp
408/udp
409/tcp
409/udp
410/tcp
410/udp
411/tcp
411/udp
412/tcp
412/udp
413/tcp
413/udp
414/tcp
414/udp
415/tcp
415/udp
416/tcp
416/udp
417/tcp
417/udp
418/tcp
418/udp
419/tcp
419/udp
420/tcp
420/udp
421/tcp
421/udp
422/tcp
422/udp
423/tcp
423/udp
424/tcp
424/udp
425/tcp
425/udp
426/tcp
426/udp
427/tcp
427/udp
428/tcp
428/udp
429/tcp
429/udp
430/tcp
430/udp
431/tcp
431/udp
432/tcp
432/udp
433/tcp
433/udp
434/tcp
434/udp
435/tcp
435/udp
436/tcp
436/udp
John Myers
Timbuktu
Timbuktu
Marc Epard
Prospero Resource Manager Sys. Man.
Prospero Resource Manager Sys. Man.
Prospero Resource Manager Node Man.
Prospero Resource Manager Node Man.
B. Clifford Neuman
DECLadebug Remote Debug Protocol
DECLadebug Remote Debug Protocol
Anthony Berent
Remote MT Protocol
Remote MT Protocol
Peter Eriksson
Trap Convention Port
Trap Convention Port
Illan Raab
SMSP
SMSP
InfoSeek
InfoSeek
Steve Kirsch
BNet
BNet
Jim Mertz
Silverplatter
Silverplatter
Peter Ciuffetti
Onmux
Onmux
Stephen Hanna
Hyper-G
Hyper-G
Frank Kappe
Ariel
Ariel
Jonathan Lavigne
SMPTE
SMPTE
Si Becker <71362.22@CompuServe.COM>
Ariel
Ariel
Ariel
Ariel
Jonathan Lavigne
IBM Operations Planning and Control
IBM Operations Planning and Control
IBM Operations Planning and Control
IBM Operations Planning and Control
Conny Larsson
ICAD
ICAD
Larry Stone
smartsdp
smartsdp
Alexander Dupuy
Server Location
Server Location
Start
Start
Track
Track
OCS_CMU
OCS_CMU
OCS_AMU
OCS_AMU
Florence Wyman
UTMPSD
UTMPSD
UTMPCD
UTMPCD
IASD
IASD
Nir Baroz
NNSP
NNSP
Rob Robertson
MobileIP-Agent
MobileIP-Agent
MobilIP-MN
MobilIP-MN
Kannan Alagappan
DNA-CML
DNA-CML
Dan Flowers
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
comscm
comscm
#
dsfgw
dsfgw
#
dasp
dasp
#
sgcp
sgcp
#
decvms-sysmgt
decvms-sysmgt
#
cvc_hostd
cvc_hostd
#
https
https
#
snpp
snpp
#
microsoft-ds
microsoft-ds
#
ddm-rdb
ddm-rdb
ddm-dfm
ddm-dfm
ddm-byte
ddm-byte
#
as-servermap
as-servermap
#
tserver
tserver
#
#
exec
#
#
biff
#
#
#
login
#
#
#
#
who
#
#
#
cmd
#
#
syslog
printer
printer
#
#
talk
#
#
#
#
talk
#
#
#
437/tcp
437/udp
ntalk
ntalk
utime
utime
efs
router
#
#
518/tcp
518/udp
519/tcp
519/udp
520/tcp
520/udp
438/tcp
438/udp
439/tcp
439/udp
440/tcp
440/udp
441/tcp
441/udp
442/tcp
442/udp
443/tcp
443/udp
444/tcp
444/udp
445/tcp
445/udp
446/tcp
446/udp
447/tcp
447/udp
448/tcp
448/udp
449/tcp
449/udp
450/tcp
450/udp
451-511
512/tcp
512/udp
513/tcp
513/udp
514/tcp
514/udp
515/tcp
515/udp
516/tcp
516/udp
517/tcp
517/udp
comscm
comscm
Jim Teague
dsfgw
dsfgw
Andy McKeen
dasp
Thomas Obermair
dasp
tommy@inlab.m.eunet.de
Thomas Obermair
sgcp
sgcp
Marshall Rose
decvms-sysmgt
decvms-sysmgt
Lee Barton
cvc_hostd
cvc_hostd
Bill Davidson
https MCom
https MCom
Kipp E.B. Hickman
Simple Network Paging Protocol
Simple Network Paging Protocol
[RFC1568]
Microsoft-DS
Microsoft-DS
Arnold Miller
DDM-RDB
DDM-RDB
DDM-RFM
DDM-RFM
DDM-BYTE
DDM-BYTE
Jan David Fisher
AS Server Mapper
AS Server Mapper
Barbara Foss
TServer
TServer
Harvey S. Schultz
Unassigned
remote process execution;
authentication performed using
passwords and UNIX loppgin names
used by mail system to notify users
of new mail received; currently
receives messages only from
processes on the same machine
remote login a la telnet;
automatic authentication performed
based on priviledged port numbers
and distributed data bases which
identify "authentication domains"
maintains data bases showing who's
logged in to machines on a local
net and the load average of the
machine
like exec, but automatic
authentication is performed as for
login server
spooler
spooler
Unassigned
Unassigned
like tenex link, but across
machine - unfortunately, doesn't
use link protocol (this is actually
just a rendezvous port from which a
tcp connection is established)
like tenex link, but across
machine - unfortunately, doesn't
use link protocol (this is actually
just a rendezvous port from which a
tcp connection is established)
unixtime
unixtime
extended file name server
local routing process (on site);
uses variant of Xerox NS routing
information protocol
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
#
timed
timed
tempo
tempo
#
courier
courier
conference
conference
netnews
netnews
netwall
netwall
#
apertus-ldp
apertus-ldp
uucp
uucp
uucp-rlogin
uucp-rlogin
#
#
klogin
klogin
kshell
kshell
#
new-rwho
new-rwho
#
dsf
dsf
remotefs
remotefs
#
rmonitor
rmonitor
monitor
monitor
chshell
chshell
#
#
9pfs
9pfs
whoami
whoami
#
meter
meter
meter
meter
#
ipcserver
ipcserver
nqs
nqs
urm
urm
#
sift-uft
sift-uft
#
npmp-trap
npmp-trap
npmp-local
npmp-local
npmp-gui
npmp-gui
#
ginad
ginad
#
mdqs
mdqs
doom
doom
#
elcsd
elcsd
521-524
525/tcp
525/udp
526/tcp
526/udp
527-529
530/tcp
530/udp
531/tcp
531/udp
532/tcp
532/udp
533/tcp
533/udp
534-538
539/tcp
539/udp
540/tcp
540/udp
541/tcp
541/udp
542/tcp
542/udp
543/tcp
543/udp
544/tcp
544/udp
545-549
550/tcp
550/udp
551-555
555/tcp
555/udp
556/tcp
556/udp
557-559
560/tcp
560/udp
561/tcp
561/udp
562/tcp
562/udp
563/tcp
563/udp
564/tcp
564/udp
565/tcp
565/udp
566-569
570/tcp
570/udp
571/tcp
571/udp
572-599
600/tcp
600/udp
607/tcp
607/udp
606/tcp
606/udp
entrustmanager
608/tcp
608/udp
609/tcp
609/udp
610/tcp
610/udp
611/tcp
611/udp
634/tcp
634/udp
Unassigned
timeserver
timeserver
newdate
newdate
Unassigned
rpc
rpc
chat
chat
readnews
readnews
for emergency broadcasts
for emergency broadcasts
Unassigned
Apertus Technologies Load Determination
Apertus Technologies Load Determination
uucpd
uucpd
uucp-rlogin Stuart Lynne
uucp-rlogin sl@wimsey.com
Unassigned
Unassigned
krcmd
krcmd
Unassigned
new-who
new-who
Unassigned
rfs server
rfs server
Unassigned
rmonitord
rmonitord
chcmd
chcmd
Unassigned
Unassigned
plan 9 file service
plan 9 file service
whoami
whoami
Unassigned
demon
demon
udemon
udemon
Unassigned
Sun IPC server
Sun IPC server
nqs
nqs
Cray Unified Resource Manager
Cray Unified Resource Manager
Bill Schiefelbein
Sender-Initiated/Unsolicited File Transfer
Sender-Initiated/Unsolicited File Transfer
Rick Troth
npmp-trap
npmp-trap
npmp-local
npmp-local
npmp-gui
npmp-gui
John Barnes
ginad
ginad
Mark Crother
666/tcp
666/udp
666/tcp
666/tcp
doom Id Software
doom Id Software
704/tcp
704/udp
709/tcp
EntrustManager
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
entrustmanager
#
netviewdm1
netviewdm1
netviewdm2
netviewdm2
netviewdm3
netviewdm3
#
netgw
netgw
netrcs
netrcs
#
flexlm
flexlm
#
#
fujitsu-dev
fujitsu-dev
ris-cm
ris-cm
kerberos-adm
kerberos-adm
rfile
loadav
pump
pump
qrh
qrh
rrh
rrh
tell
tell
nlogin
nlogin
con
con
ns
ns
rxe
rxe
quotad
quotad
cycleserv
cycleserv
omserv
omserv
webster
webster
phonebook
phonebook
vid
vid
cadlock
cadlock
rtip
rtip
cycleserv2
cycleserv2
submit
notify
rpasswd
acmaint_dbd
entomb
acmaint_transd
wpages
wpages
wpgs
wpgs
concert
concert
#
mdbs_daemon
mdbs_daemon
device
device
xtreelic
xtreelic
#
maitrd
maitrd
busboy
709/udp
729/tcp
729/udp
730/tcp
730/udp
731/tcp
731/udp
741/tcp
741/udp
742/tcp
742/udp
744/tcp
744/udp
747/tcp
747/udp
748/tcp
748/udp
749/tcp
749/udp
750/tcp
750/udp
751/tcp
751/udp
752/tcp
752/udp
753/tcp
753/udp
754/tcp
754/udp
758/tcp
758/udp
759/tcp
759/udp
760/tcp
760/udp
761/tcp
761/udp
762/tcp
762/udp
763/tcp
763/udp
764/tcp
764/udp
765/tcp
765/udp
767/tcp
767/udp
769/tcp
769/udp
770/tcp
770/udp
771/tcp
771/udp
772/tcp
772/udp
773/tcp
773/udp
774/tcp
774/udp
775/tcp
775/udp
776/tcp
776/udp
780/tcp
780/udp
786/tcp
786/udp
800/tcp
800/udp
801/tcp
801/udp
996/tcp
996/udp
EntrustManager
Peter Whittaker
IBM NetView DM/6000 Server/Client
IBM NetView DM/6000 Server/Client
IBM NetView DM/6000 send/tcp
IBM NetView DM/6000 send/tcp
IBM NetView DM/6000 receive/tcp
IBM NetView DM/6000 receive/tcp
Philippe Binet (phbinet@vnet.IBM.COM)
netGW
netGW
Network based Rev. Cont. Sys.
Network based Rev. Cont. Sys.
Gordon C. Galligher
Flexible License Manager
Flexible License Manager
Matt Christiano
Fujitsu Device Control
Fujitsu Device Control
Russell Info Sci Calendar Manager
Russell Info Sci Calendar Manager
kerberos administration
kerberos administration
send
send
phone
phone
Concert
Concert
Josyula R. Rao
997/tcp
997/udp
998/tcp
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
puparp
garcon
applix
puprouter
puprouter
cadlock
ock
998/udp
999/tcp
999/udp
999/tcp
999/udp
1000/tcp
1000/udp
1023/tcp
1024/udp
Applix ac
Reserved
Reserved
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Keyword
------#
blackjack
blackjack
iad1
iad1
iad2
iad2
iad3
iad3
#
instl_boots
instl_boots
instl_bootc
instl_bootc
#
socks
socks
#
nerv
nerv
#
hermes
hermes
alta-ana-lm
alta-ana-lm
bbn-mmc
bbn-mmc
bbn-mmx
bbn-mmx
sbook
sbook
editbench
editbench
#
equationbuilder
equationbuilder
#
lotusnote
lotusnote
#
relief
relief
#
rightbrain
rightbrain
#
intuitive edge
intuitive edge
#
#
cuillamartin
cuillamartin
pegboard
pegboard
#
#
connlcli
connlcli
ftsrv
ftsrv
#
mimer
mimer
#
linx
linx
#
timeflies
timeflies
#
ndm-requester
ndm-requester
ndm-server
ndm-server
#
#
adapt-sna
Decimal
------1024/tcp
1024/udp
1025/tcp
1025/udp
1030/tcp
1030/udp
1031/tcp
1031/udp
1032/tcp
1032/udp
1067/tcp
1067/udp
1068/tcp
1068/udp
1080/tcp
1080/udp
1222/tcp
1222/udp
Description
----------Reserved
Reserved
IANA
network blackjack
network blackjack
BBN IAD
BBN IAD
BBN IAD
BBN IAD
BBN IAD
BBN IAD
Andy Malis
Installation Bootstrap
Installation Bootstrap
Installation Bootstrap
Installation Bootstrap
David Arko <
Socks
Socks
Ying-Da Lee
SNI R&D network
SNI R&D network
Martin Freiss
References
----------
Proto.
Proto.
Proto.
Proto.
Serv.
Serv.
Cli.
Cli.
1248/tcp
1248/udp
1346/tcp
Alta Analytics License Manager
1346/udp
Alta Analytics License Manager
1347/tcp
multi media conferencing
1347/udp
multi media conferencing
1348/tcp
multi media conferencing
1348/udp
multi media conferencing
1349/tcp
Registration Network Protocol
1349/udp
Registration Network Protocol
1350/tcp
Registration Network Protocol
1350/udp
Registration Network Protocol
Simson L. Garfinkel
1351/tcp
Digital Tool Works (MIT)
1351/udp
Digital Tool Works (MIT)
Terrence J. Talbot
1352/tcp
Lotus Note
1352/udp
Lotus Note
Greg Pflaum
1353/tcp
Relief Consulting
1353/udp
Relief Consulting
John Feiler
1354/tcp
RightBrain Software
1354/udp
RightBrain Software
Glenn Reid
1355/tcp
Intuitive Edge
1355/udp
Intuitive Edge
Montgomery Zukowski
1356/tcp
1356/udp
1357/tcp
1357/udp
CuillaMartin Company
CuillaMartin Company
Electronic PegBoard
Electronic PegBoard
Chris Cuilla
1358/tcp
1358/udp
1359/tcp
1359/udp
CONNLCLI
CONNLCLI
FTSRV
FTSRV
Ines Homem de Melo
MIMER
MIMER
Per Schroeder
LinX
LinX
Steffen Schilke <---none--->
TimeFlies
TimeFlies
Doug Kent
Network DataMover Requester
Network DataMover Requester
Network DataMover Server
Network DataMover Server
Toshio Watanabe
1360/tcp
1360/udp
1361/tcp
1361/udp
1362/tcp
1362/udp
1363/tcp
1363/udp
1364/tcp
1364/udp
1365/tcp
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
adapt-sna
#
netware-csp
netware-csp
#
dcs
dcs
#
screencast
screencast
#
gv-us
gv-us
us-gv
us-gv
#
fc-cli
fc-cli
fc-ser
fc-ser
#
chromagrafx
chromagrafx
#
molly
molly
#
bytex
bytex
#
ibm-pps
ibm-pps
#
cichlid
cichlid
#
elan
elan
#
dbreporter
dbreporter
#
telesis-licman
telesis-licman
#
apple-licman
apple-licman
#
udt_os
udt_os
gwha
gwha
#
os-licman
os-licman
#
atex_elmd
atex_elmd
#
checksum
checksum
#
cadsi-lm
cadsi-lm
#
objective-dbc
objective-dbc
#
iclpv-dm
iclpv-dm
iclpv-sc
iclpv-sc
iclpv-sas
iclpv-sas
iclpv-pm
iclpv-pm
iclpv-nls
iclpv-nls
iclpv-nlc
iclpv-nlc
iclpv-wsm
iclpv-wsm
#
1365/udp
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
dvl-activemail
dvl-activemail
audio-activmail
audio-activmail
video-activmail
video-activmail
#
cadkey-licman
cadkey-licman
cadkey-tablet
cadkey-tablet
#
goldleaf-licman
goldleaf-licman
#
prm-sm-np
prm-sm-np
prm-nm-np
prm-nm-np
#
igi-lm
igi-lm
ibm-res
ibm-res
netlabs-lm
netlabs-lm
dbsa-lm
dbsa-lm
#
sophia-lm
sophia-lm
#
here-lm
here-lm
#
hiq
hiq
af
af
#
innosys
innosys
innosys-acl
innosys-acl
#
ibm-mqseries
ibm-mqseries
#
dbstar
dbstar
#
novell-lu6.2
novell-lu6.2
#
timbuktu-srv1
timbuktu-srv1
timbuktu-srv2
timbuktu-srv2
timbuktu-srv3
timbuktu-srv3
timbuktu-srv4
timbuktu-srv4
#
gandalf-lm
gandalf-lm
#
autodesk-lm
autodesk-lm
#
essbase
essbase
hybrid
hybrid
#
zion-lm
zion-lm
#
sas-1
sas-1
#
mloadd
mloadd
#
1396/tcp
1396/udp
1397/tcp
1397/udp
1398/tcp
1398/udp
1399/tcp
1399/udp
1400/tcp
1400/udp
1401/tcp
1401/udp
1402/tcp
1402/udp
1403/tcp
1403/udp
1404/tcp
1404/udp
1405/tcp
1405/udp
1406/tcp
1406/udp
1407/tcp
1407/udp
1408/tcp
1408/udp
1409/tcp
1409/udp
1410/tcp
1410/udp
1411/tcp
1411/udp
1412/tcp
1412/udp
1413/tcp
1413/udp
1414/tcp
1414/udp
1415/tcp
1415/udp
1416/tcp
1416/udp
1417/tcp
1417/tcp
1418/tcp
1418/udp
1419/tcp
1419/udp
1420/tcp
1420/udp
1421/tcp
1421/udp
1422/tcp
1422/udp
1423/tcp
1423/udp
1424/tcp
1424/udp
1425/tcp
1425/udp
1426/tcp
1426/udp
1427/tcp
1427/udp
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
informatik-lm
informatik-lm
#
#
nms
nms
tpdu
tpdu
#
rgtp
rgtp
#
blueberry-lm
blueberry-lm
#
ms-sql-s
ms-sql-s
ms-sql-m
ms-sql-m
#
ibm-cics
ibm-cics
#
sas-2
sas-2
#
tabula
tabula
#
#
eicon-server
eicon-server
eicon-x25
eicon-x25
eicon-slp
eicon-slp
#
cadis-1
cadis-1
cadis-2
cadis-2
#
ies-lm
ies-lm
#
marcam-lm
marcam-lm
#
proxima-lm
proxima-lm
ora-lm
ora-lm
apri-lm
apri-lm
#
oc-lm
oc-lm
#
peport
peport
#
dwf
dwf
#
infoman
infoman
#
gtegsc-lm
gtegsc-lm
#
genie-lm
genie-lm
#
interhdl_elmd
interhdl_elmd
#
esl-lm
esl-lm
#
dca
dca
#
valisys-lm
1428/tcp
1428/udp
1429/tcp
1429/udp
1430/tcp
1430/udp
Hypercom NMS
Hypercom NMS
Hypercom TPDU
Hypercom TPDU
Noor Chowdhury
Reverse Gosip Transport
Reverse Gosip Transport
1431/tcp
1431/udp
1432/tcp
1432/udp
1433/tcp
1433/udp
1434/tcp
1434/udp
1435/tcp
1435/udp
1436/tcp
1436/udp
1437/tcp
1437/udp
Manager
Manager
System 2
System 2
1438/tcp
1438/udp
1439/tcp
1439/udp
1440/tcp
1440/udp
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
valisys-lm
#
nrcabq-lm
nrcabq-lm
#
proshare1
proshare1
proshare2
proshare2
#
ibm_wrless_lan
ibm_wrless_lan
#
world-lm
world-lm
#
nucleus
nucleus
#
msl_lmd
msl_lmd
#
pipes
pipes
#
oceansoft-lm
oceansoft-lm
#
csdmbase
csdmbase
csdm
csdm
#
aal-lm
aal-lm
#
uaiact
uaiact
#
csdmbase
csdmbase
csdm
csdm
#
openmath
openmath
#
telefinder
telefinder
#
taligent-lm
taligent-lm
#
clvm-cfg
clvm-cfg
#
ms-sna-server
ms-sna-server
ms-sna-base
ms-sna-base
#
dberegister
dberegister
#
pacerforum
pacerforum
#
airs
airs
#
miteksys-lm
miteksys-lm
#
afs
afs
#
confluent
confluent
#
lansource
lansource
#
nms_topo_serv
1457/udp
Valisys License Manager
Leslie Lincoln
1458/tcp
Nichols Research Corp.
1458/udp
Nichols Research Corp.
Howard Cole
1459/tcp
Proshare Notebook Application
1459/udp
Proshare Notebook Application
1460/tcp
Proshare Notebook Application
1460/udp
Proshare Notebook Application
Robin Kar
1461/tcp
IBM Wireless LAN
1461/udp
IBM Wireless LAN
1462/tcp
1462/udp
1463/tcp
1463/udp
1464/tcp
1464/udp
1465/tcp
1465/udp
1466/tcp
1466/udp
1467/tcp
1467/udp
1468/tcp
1468/udp
Robert Stabl
1469/tcp
Active Analysis Limited License Manager
1469/udp
Active Analysis Limited License Manager
David Snocken +44 (71)437-7009
1470/tcp
Universal Analytics
1470/udp
Universal Analytics
Mark R. Ludwig
1471/tcp
csdmbase
1471/udp
csdmbase
1472/tcp
csdm
1472/udp
csdm
Robert Stabl
1473/tcp
OpenMath
1473/udp
OpenMath
Garth Mayville
1474/tcp
Telefinder
1474/udp
Telefinder
Jim White
1475/tcp
Taligent License Manager
1475/udp
Taligent License Manager
Mark Sapsford
1476/tcp
clvm-cfg
1476/udp
clvm-cfg
Eric Soderberg
1477/tcp
ms-sna-server
1477/udp
ms-sna-server
1478/tcp
ms-sna-base
1478/udp
ms-sna-base
Gordon Mangione
1479/tcp
dberegister
1479/udp
dberegister
Brian Griswold
1480/tcp
PacerForum
1480/udp
PacerForum
Peter Caswell
1481/tcp
AIRS
1481/udp
AIRS
Bruce Wilson, 905-771-6161
1482/tcp
Miteksys License Manager
1482/udp
Miteksys License Manager
Shane McRoberts
1483/tcp
AFS License Manager
1483/udp
AFS License Manager
Michael R. Pizolato
1484/tcp
Confluent License Manager
1484/udp
Confluent License Manager
James Greenfiel
1485/tcp
LANSource
1485/udp
LANSource
Doug Scott
1486/tcp
nms_topo_serv
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
nms_topo_serv
#
localinfosrvr
localinfosrvr
#
docstor
docstor
#
dmdocbroker
dmdocbroker
#
insitu-conf
insitu-conf
#
anynetgateway
anynetgateway
#
stone-design-1
stone-design-1
#
netmap_lm
netmap_lm
#
ica
ica
#
cvc
cvc
#
liberty-lm
liberty-lm
#
rfx-lm
rfx-lm
#
watcom-sql
watcom-sql
#
fhc
fhc
#
vlsi-lm
vlsi-lm
#
sas-3
sas-3
#
shivadiscovery
shivadiscovery
#
imtc-mcs
imtc-mcs
#
evb-elm
evb-elm
#
funkproxy
funkproxy
#
#
ingreslock
ingreslock
orasrv
orasrv
prospero-np
prospero-np
pdap-np
pdap-np
#
tlisrv
tlisrv
coauthor
coauthor
issd
issd
nkd
nkd
proshareaudio
proshareaudio
prosharevideo
prosharevideo
prosharedata
prosharedata
1486/udp
nms_topo_serv
Sylvia Siu
1487/tcp
LocalInfoSrvr
1487/udp
LocalInfoSrvr
Brian Matthews
1488/tcp
DocStor
1488/udp
DocStor
Brian Spears
1489/tcp
dmdocbroker
1489/udp
dmdocbroker
Razmik Abnous
1490/tcp
insitu-conf
1490/udp
insitu-conf
Paul Blacknell
1491/tcp
anynetgateway
1491/udp
anynetgateway
Dan Poirier
1492/tcp
stone-design-1
1492/udp
stone-design-1
Andrew Stone
1493/tcp
netmap_lm
1493/udp
netmap_lm
Phillip Magson
1494/tcp
ica
1494/udp
ica
John Richardson, Citrix Systems
1495/tcp
cvc
1495/udp
cvc
Bill Davidson
1496/tcp
liberty-lm
1496/udp
liberty-lm
Jim Rogers
1497/tcp
rfx-lm
1497/udp
rfx-lm
Bill Bishop
1498/tcp
Watcom-SQL
1498/udp
Watcom-SQL
Rog Skubowius
1499/tcp
Federico Heinz Consultora
1499/udp
Federico Heinz Consultora
Federico Heinz
1500/tcp
VLSI License Manager
1500/udp
VLSI License Manager
Shue-Lin Kuo
1501/tcp
Satellite-data Acquisition System 3
1501/udp
Satellite-data Acquisition System 3
Bill Taylor
1502/tcp
Shiva
1502/udp
Shiva
Jonathan Wenocur
1503/tcp
Databeam
1503/udp
Databeam
Jim Johnstone
1504/tcp
EVB Software Engineering License Manager
1504/udp
EVB Software Engineering License Manager
B.G. Mahesh < mahesh@sett.com>
1505/tcp
Funk Software, Inc.
1505/udp
Funk Software, Inc.
Robert D. Vincent
1506-1523
Unassigned
1524/tcp
ingres
1524/udp
ingres
1525/tcp
oracle
1525/udp
oracle
1525/tcp
Prospero Directory Service non-priv
1525/udp
Prospero Directory Service non-priv
1526/tcp
Prospero Data Access Prot non-priv
1526/udp
Prospero Data Access Prot non-priv
B. Clifford Neuman
1527/tcp
oracle
1527/udp
oracle
1529/tcp
oracle
1529/udp
oracle
1600/tcp
1600/udp
1650/tcp
1650/udp
1651/tcp
proshare conf audio
1651/udp
proshare conf audio
1652/tcp
proshare conf video
1652/udp
proshare conf video
1653/tcp
proshare conf data
1653/udp
proshare conf data
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
prosharerequest 1654/tcp
proshare conf request
prosharerequest 1654/udp
proshare conf request
prosharenotify 1655/tcp
proshare conf notify
prosharenotify 1655/udp
proshare conf notify
#
netview-aix-1
1661/tcp
netview-aix-1
netview-aix-1
1661/udp
netview-aix-1
netview-aix-2
1662/tcp
netview-aix-2
netview-aix-2
1662/udp
netview-aix-2
netview-aix-3
1663/tcp
netview-aix-3
netview-aix-3
1663/udp
netview-aix-3
netview-aix-4
1664/tcp
netview-aix-4
netview-aix-4
1664/udp
netview-aix-4
netview-aix-5
1665/tcp
netview-aix-5
netview-aix-5
1665/udp
netview-aix-5
netview-aix-6
1666/tcp
netview-aix-6
netview-aix-6
1666/udp
netview-aix-6
#
Martha Crisson
licensedaemon
1986/tcp
cisco license management
licensedaemon
1986/udp
cisco license management
tr-rsrb-p1
1987/tcp
cisco RSRB Priority 1 port
tr-rsrb-p1
1987/udp
cisco RSRB Priority 1 port
tr-rsrb-p2
1988/tcp
cisco RSRB Priority 2 port
tr-rsrb-p2
1988/udp
cisco RSRB Priority 2 port
tr-rsrb-p3
1989/tcp
cisco RSRB Priority 3 port
tr-rsrb-p3
1989/udp
cisco RSRB Priority 3 port
#PROBLEMS!===================================================
mshnet
1989/tcp
MHSnet system
mshnet
1989/udp
MHSnet system
#
Bob Kummerfeld
#PROBLEMS!===================================================
stun-p1
1990/tcp
cisco STUN Priority 1 port
stun-p1
1990/udp
cisco STUN Priority 1 port
stun-p2
1991/tcp
cisco STUN Priority 2 port
stun-p2
1991/udp
cisco STUN Priority 2 port
stun-p3
1992/tcp
cisco STUN Priority 3 port
stun-p3
1992/udp
cisco STUN Priority 3 port
#PROBLEMS!===================================================
ipsendmsg
1992/tcp
IPsendmsg
ipsendmsg
1992/udp
IPsendmsg
#
Bob Kummerfeld
#PROBLEMS!===================================================
snmp-tcp-port
1993/tcp
cisco SNMP TCP port
snmp-tcp-port
1993/udp
cisco SNMP TCP port
stun-port
1994/tcp
cisco serial tunnel port
stun-port
1994/udp
cisco serial tunnel port
perf-port
1995/tcp
cisco perf port
perf-port
1995/udp
cisco perf port
tr-rsrb-port
1996/tcp
cisco Remote SRB port
tr-rsrb-port
1996/udp
cisco Remote SRB port
gdp-port
1997/tcp
cisco Gateway Discovery Protocol
gdp-port
1997/udp
cisco Gateway Discovery Protocol
x25-svc-port
1998/tcp
cisco X.25 service (XOT)
x25-svc-port
1998/udp
cisco X.25 service (XOT)
tcp-id-port
1999/tcp
cisco identification port
tcp-id-port
1999/udp
cisco identification port
callbook
2000/tcp
callbook
2000/udp
dc
2001/tcp
wizard
2001/udp
curry
globe
2002/tcp
globe
2002/udp
mailbox
2004/tcp
emce
2004/udp
CCWS mm conf
berknet
2005/tcp
oracle
2005/udp
invokator
2006/tcp
raid-cc
2006/udp
raid
dectalk
2007/tcp
raid-am
2007/udp
conf
2008/tcp
terminaldb
2008/udp
news
2009/tcp
whosockami
2009/udp
search
2010/tcp
pipe_server
2010/udp
raid-cc
2011/tcp
raid
servserv
2011/udp
ttyinfo
2012/tcp
raid-ac
2012/udp
raid-am
2013/tcp
raid-cd
2013/udp
troff
2014/tcp
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
raid-sf
cypress
raid-cs
bootserver
bootserver
cypress-stat
bootclient
terminaldb
rellpack
whosockami
about
xinupageserver
xinupageserver
servexec
xinuexpansion1
down
xinuexpansion2
xinuexpansion3
xinuexpansion3
xinuexpansion4
xinuexpansion4
ellpack
xribs
scrabble
scrabble
shadowserver
shadowserver
submitserver
submitserver
device2
device2
blackboard
blackboard
glogger
glogger
scoremgr
scoremgr
imsldoc
imsldoc
objectmanager
objectmanager
isis
isis
isis-bcast
isis-bcast
rimsl
rimsl
cdfunc
cdfunc
sdfunc
sdfunc
dls
dls
dls-monitor
dls-monitor
shilp
shilp
dlsrpn
dlsrpn
dlswpn
dlswpn
ats
ats
rtsserv
rtsserv
rtsclient
rtsclient
#
#
hp-3000-telnet
www-dev
www-dev
NSWS
NSWS
ccmail
ccmail
dec-notes
dec-notes
#
mapper-nodemgr
mapper-nodemgr
mapper-mapethd
mapper-mapethd
2014/udp
2015/tcp
2015/udp
2016/tcp
2016/udp
2017/tcp
2017/udp
2018/tcp
2018/udp
2019/tcp
2019/udp
2020/tcp
2020/udp
2021/tcp
2021/udp
2022/tcp
2022/udp
2023/tcp
2023/udp
2024/tcp
2024/udp
2025/tcp
2025/udp
2026/tcp
2026/udp
2027/tcp
2027/udp
2028/tcp
2028/udp
2030/tcp
2030/udp
2032/tcp
2032/udp
2033/tcp
2033/udp
2034/tcp
2034/udp
2035/tcp
2035/udp
2038/tcp
2038/udp
2042/tcp
2042/udp
2043/tcp
2043/udp
2044/tcp
2044/udp
2045/tcp
2045/udp
2046/tcp
2046/udp
2047/tcp
2047/udp
2048/tcp
2048/udp
2049/tcp
2049/udp
2065/tcp
2065/udp
2067/tcp
2067/udp
2201/tcp
2201/udp
2500/tcp
2500/udp
2501/tcp
2501/udp
2564/tcp
2784/tcp
2784/udp
3049/tcp
3049/udp
3264/tcp
3264/udp
3333/tcp
3333/udp
3984/tcp
3984/udp
3985/tcp
3985/udp
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
mapper-ws_ethd
mapper-ws_ethd
#
bmap
bmap
#
udt_os
udt_os
#
nuts_dem
nuts_dem
nuts_bootp
nuts_bootp
#
unicall
unicall
#
krb524
krb524
#
rfa
rfa
commplex-main
commplex-main
commplex-link
commplex-link
rfe
rfe
telelpathstart
telelpathstart
telelpathattack
telelpathattack
#
mmcc
mmcc
rmonitor_secure
rmonitor_secure
aol
aol
#
padl2sim
padl2sim
hacl-hb
hacl-hb
hacl-gs
hacl-gs
hacl-cfg
hacl-cfg
hacl-probe
hacl-probe
hacl-local
hacl-local
hacl-test
hacl-test
#
x11
x11
#
sub-process
sub-process
meta-corp
meta-corp
#
aspentec-lm
aspentec-lm
#
watershed-lm
watershed-lm
#
statsci1-lm
statsci1-lm
statsci2-lm
statsci2-lm
#
lonewolf-lm
lonewolf-lm
#
montage-lm
montage-lm
#
xdsxdm
xdsxdm
afs3-fileserver
3986/tcp
MAPPER workstation server
3986/udp
MAPPER workstation server
John C. Horton
3421/tcp
Bull Apprise portmapper
3421/udp
Bull Apprise portmapper
Jeremy Gilbert
3900/tcp
Unidata UDT OS
3900/udp
Unidata UDT OS
James Powell
4132/tcp
NUTS Daemon
4132/udp
NUTS Daemon
4133/tcp
NUTS Bootp Server
4133/udp
NUTS Bootp Server
Martin Freiss
4343/tcp
UNICALL
4343/udp
UNICALL
James Powell
4444/tcp
KRB524
4444/udp
KRB524
B. Clifford Neuman
4672/tcp
remote file access server
4672/udp
remote file access server
5000/tcp
5000/udp
5001/tcp
5001/udp
5002/tcp
radio free ethernet
5002/udp
radio free ethernet
5010/tcp
TelepathStart
5010/udp
TelepathStart
5011/tcp
TelepathAttack
5011/udp
TelepathAttack
Helmuth Breitenfellner
5050/tcp
multimedia conference control tool
5050/udp
multimedia conference control tool
5145/tcp
5145/udp
5190/tcp
America-Online
5190/udp
America-Online
Marty Lyons
5236/tcp
5236/udp
5300/tcp
# HA cluster heartbeat
5300/udp
# HA cluster heartbeat
5301/tcp
# HA cluster general services
5301/udp
# HA cluster general services
5302/tcp
# HA cluster configuration
5302/udp
# HA cluster configuration
5303/tcp
# HA cluster probing
5303/udp
# HA cluster probing
5304/tcp
5304/udp
5305/tcp
5305/udp
Eric Soderberg
6000-6063/tcp
X Window System
6000-6063/udp
X Window System
Stephen Gildea
6111/tcp
HP SoftBench Sub-Process Control
6111/udp
HP SoftBench Sub-Process Control
6141/tcp
Meta Corporation License Manager
6141/udp
Meta Corporation License Manager
Osamu Masuda <--none--->
6142/tcp
Aspen Technology License Manager
6142/udp
Aspen Technology License Manager
Kevin Massey
6143/tcp
Watershed License Manager
6143/udp
Watershed License Manager
David Ferrero
6144/tcp
StatSci License Manager - 1
6144/udp
StatSci License Manager - 1
6145/tcp
StatSci License Manager - 2
6145/udp
StatSci License Manager - 2
Scott Blachowicz
6146/tcp
Lone Wolf Systems License Manager
6146/udp
Lone Wolf Systems License Manager
Dan Klein
6147/tcp
Montage License Manager
6147/udp
Montage License Manager
Michael Ubell
6558/udp
6558/tcp
7000/tcp
file server itself
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
afs3-fileserver 7000/udp
afs3-callback
7001/tcp
afs3-callback
7001/udp
afs3-prserver
7002/tcp
afs3-prserver
7002/udp
afs3-vlserver
7003/tcp
afs3-vlserver
7003/udp
afs3-kaserver
7004/tcp
afs3-kaserver
7004/udp
afs3-volser
7005/tcp
afs3-volser
7005/udp
afs3-errors
7006/tcp
afs3-errors
7006/udp
afs3-bos
7007/tcp
afs3-bos
7007/udp
afs3-update
7008/tcp
afs3-update
7008/udp
afs3-rmtsys
7009/tcp
afs3-rmtsys
7009/udp
ups-onlinet
7010/tcp
ups-onlinet
7010/udp
#
font-service
7100/tcp
font-service
7100/udp
#
fodms
7200/tcp
fodms
7200/udp
#
David Anthony
man
9535/tcp
man
9535/udp
isode-dua
17007/tcp
isode-dua
17007/udp
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Backdoor
Tela do trojan:
Tela do Backdoor
ICKiller ou ICQKiller
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
NetBus
Tela de Controle
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
SubSeven
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Happy99
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.
Deep Throat
Romulo Moacyr Cholewa http://www.rmc.eti.br, agosto de 2001. Vide Distribuio / Cpia neste material
para maiores detalhes.