Disciplina: Desenvolvimento de Software Seguro Professor: Kleber Fonseca

Atividade: ATPS Etapa 5

Relatorio 5

Evitando Ataques ||

Em informtica nada 100% seguro, quando se menos espera algo imaginvel quer atacar seu computador, os maliciosos fazem da internet seu divertimento ou ate mesmo sustento, basta clicar em um site e pronto, o computador esta infectado podendo causar danos que podem ser irreversveis. Por mais que se investe em segurana no h como detectar tanta ameaa, a parte que cita no site http://www.rnp.br/newsgen/0003/ddos.html sobre ddos, e bem valida, diz o texto At o momento no existe uma "soluo mgica" para evitar os ataques DDoS, o que sim possvel aplicar certas estratgias para mitigar o ataque,.... Estragegias esta equivalem abortar todas as situaes de ataque a rede e computadores e se proteger ao mximo. Conhecer o inimigo e o seu territrio um enorme passo a conhecer e imaginar o seu prximo ataque, investir como citado no evitando ataques | sim a melhor forma.

a) O servio RPC o servio de chamada de procedimento remoto, ele ativado por um arquivo chamado svchost.exe, utilizado por outros processos, todos de comunicao. H um erro que ocorre normalmente por uma vulnerabilidade em computadores como exemplo o Windows XP desatualizados quando conectado a Internet. A vulnerabilidade, permite que em poucos minutos conectado a Internet, o servidor RPC, seja desativado em definitivo.

b)

 uma tecnologia da Microsoft para o desenvolvimento de pginas dinmicas. Tem presena na programao do lado do servidor e do lado do cliente, embora existam diferenas no uso em cada um desses casos.

No cliente: So pequenos programas que podem ser includos dentro de pginas web e servem para realizar aes de diversa ndole. Por exemplo, existem controles ActiveX para mostrar um calendrio, para implementar um sistema de FTP, etc. So um pouco parecidos aos Applets de Java em seu funcionamento, embora uma diferena fundamental a segurana, pois um Applet de Java no poder tomar privilgios para realizar aes malignas (como apagar o disco rgido) e os controles ActiveX sim, que podem outorgarse permisses para fazer qualquer coisa. Os controles ActiveX so particulares de Internet Explorer. No servidor Tambm existem controles ActiveX do servidor e as pessoas que conhecem ASP certamente j os utiliza, embora seja sem se dar conta. Por exemplo, quando realizamos uma conexo com uma base de dados, estamos utilizando um controle ActiveX do servidor. Desenvolvimento de ActiveX Os controles ActiveX se desenvolvem com meios de Microsoft para a criao de aplicaes Windows, como podem ser Visual Basic Script ou Visual C. Foge totalmente neste artigo a explicao do mtodo de desenvolvimento, porm o que nos cabe assinalar que existem muitos controles ActiveX tanto do lado do servidor como do cliente, que j esto desenvolvidos e podemos inclu-los facilmente em nossas criaes.

c) Sim a varias formas do ActiveX ser atacado por invasores, mas Controles do ActiveX que permite a desenvolvedores de Web criarem Web Pages dinmicas, interativas com funcionalidade mais larga tal como HouseCall. Um controle do ActiveX um objeto componente embutido em uma Web Page que ocorre automaticamente quando a pgina vista. Em muitos casos, o browser de Web pode ser configurado de modo que esses controles do ActiveX no executam por mudar valores de segurana do browser para "altos." Entretanto, hackers, escritores do vrus, e outros que desejam causar o mischief ou pior, podem criar cdigos do ActiveX malicious de uso como um veculo para atacar o sistema. Para remover controles do malicious ActiveX, voc somente necessita apagar eles. Invasores maliciosos:

Boot Sector Viruses (Vrus de setor de Boot) Date of Origin Description Destructive Viruses ELF (DUENDE) Encrypted File Infecting Virus esncrypted viroses Cdigo do Java malicious Joke programs Language Malware Adware Ransonware Worm (Verme) Spyware SpyOne Cyberwoozling Hijackers Backdoor Trojans (Cavalos de Tria) Netbus Macro Vrus Script Viruses (VBScript, JavaScript, HTML) http://benassatto.blogspot.com/2010/10/virus-termos-e-tecnicas.html d) * PREVINIR

* Limitar banda por tipo de trfego Observar se est havendo mais trfego do que o normal (principalmente em casos de sites, seja ele um menos conhecido, ou seja ele um muito utilizado, como o Google), se h pacotes TCP e UDP que no fazem parte da rede ou se h pacotes com tamanho acima do normal. Outra dica importante utilizar softwares de IDS (Intrusion Detection System - Sistema de Identificao de Intrusos). * Planejamento prvio dos procedimentos de resposta

Um prvio planejamento e coordenao so crticos para garantir uma resposta adequada no momento que o ataque est acontecendo: tempo crucial! Este planejamento dever incluir necessariamente procedimentos de reao conjunta com o seu provedor de backbone.

* Instalar patches

Sistemas usados por intrusos para executar ataques DDoS so comumente comprometidos via vulnerabilidades conhecidas. Assim, recomenda-se manter seus sistemas atualizados aplicando os patches quando necessrio.

* DETECTAR

* Comandos/Utilitrios:

Alguns comandos podem ser bastante teis durante o processo de auditoria. Considerando os nomes padres dos binrios das ferramentas DDoS, possvel fazer uma auditoria por nome de arquivo binrio usando o comando find. Caso as ferramentas no tenham sido instaladas com seus nomes padres, possvel fazer uso do comando strings que permitiria, por exemplo, fazer uma busca no contedo de binrios "suspeitos". Esta busca visaria achar cadeias de caracteres, senhas e valores comumente presentes nos binrios das ferramentas DDoS. O utilitrio lsof pode ser usado para realizar uma auditoria na lista de processos em busca do processo daemon inicializado pelas ferramentas DDoS. Por ltimo, se a sua mquina estiver sendo usada como master, o IP do atacante eventualmente poderia aparecer na tabela de conexes da sua mquina (netstat). Se tiver sido instalado previamente um rootkit, este IP no se revelar.

* Ferramentas de auditoria de host:

Ferramentas como o Tripwire podem ajudar a verificar a presena de rootkits.

* Ferramentas de auditoria de rede:

O uso de um scanner de portas pode revelar um eventual comprometimento da sua mquina. Lembre-se que as ferramentas DDoS utilizam portas padres. * Assim tambm, analisadores de pacotes podem ser vitais na deteco de trafego de ataque. Para uma melhor anlise dos pacotes importante conhecer as assinaturas das ferramentas DDoS mais comuns. No caso especfico da ferramenta TFN2K, que utiliza pacotes randmicos e criptografados, o que prejudica em muito a deteco da ferramenta por meio de anlise dos pacotes, possvel alternativamente procurar nos pacotes uma caracterstica peculiar gerada pelo processo de criptografia.

Referencias bibliogrficas

http://benassatto.blogspot.com/2010/10/virus-termos-e-tecnicas.html http://www.forum-invaders.com.br/vb/archive/index.php/t-23214.html http://www.criarweb.com/artigos/231.php http://www.google.com.br/search?q=o+que+%C3%A9+RPC&ie=utf-8&oe=utf8&aq=t&rls=org.mozilla:pt-BR:official&client=firefox-a