Segurana

Tecnologias
Anti-Hacker
presentao do Curso
O Objetivo do curso levar aos alunos o conhecimento sobre
invases
de computadores, desde o motivo at a soluo, passando
por vulnerabilidades
e como torn-las sem efeito. Inclui tambm conceitos
bsicos de rede e de
comunicao de dados.

O Curso
Durante o curso ser apresentado material sobre hackers,
como agem e
o que querem, como se proteger e como detectar um
invasor. Sero mostrados
alguns fatos acontecidos no mundo da segurana, algumas
histrias de hackers
famosos e o que lhes aconteceram, bem como algumas
histrias dos
bastidores.

Opinio Sobre os Hackers

Conhea seu inimigo como a si prprio, e

elabore sua estratgia de defesa e ataque
baseadas em suas vulnerabilidades.
O perfil tpico do hacker : jovem entre 15 ~ 25 anos, com
amplo
conhecimento de redes, conhecimento de programao
(geralmente em
linguagens como C, C++, Java e Assembler). Contudo,
existem diversos tipos
de hackers, dos que possuem mais experincia para os
que apenas copiam
furos de segurana explorados por outros hackers.

Temos:
White-Hats
Os white-hats so os hackers que explorarm problemas de
segurana
para divulg-los abertamente, de forma que toda a
comunidade tenha acesso
informaes sobre como se proteger. Desejam abolir a
segurana por
obscuridade, que nada mais do que tentar proteger ou
manter a segurana
pelo segredo de informaes sobre o funcionamento de uma
rede, sistema
operacional ou programa em geral. Seu lema o full
disclosure, ou
conhecimento aberto, acessvel a todos.
www.invasao.com.br

Black-Hats

Ao contrrio dos white-hats, apesar de movidos tambm

pela
curiosidade, usam suas descobertas e habilidades em favor
prprio, em
esquemas de extorso, chantagem de algum tipo, ou
qualquer esquema que
venha a trazer algum benefcio, geralmente, e obviamente,
ilcito. Estes so
extremamente perigosos e difceis de identificar, pois nunca
tentaro chamar a
ateno. Agem da forma mais furtiva possvel.
Crackers
As denominaes para os crackers so muitas. Alguns
classificam de
crackers, aqueles que tem por objetivo invadir sistemas em
rede ou
computadores apenas pelo desafio. Contudo, historicamente,
o nome cracker
tem uma relao com a modificao de cdigo, para obter
funcionalidades que

no existem, ou de certa forma, limitadas. Um exemplo

clssico so os diversos
grupos existentes na Internet que tem por finalidade criar
patches ou mesmo
cracks que modificam programas comerciais (limitados por
mecanismos de
tempo por exemplo, como shareware), permitindo seu uso
irrestrito, sem
limitao alguma.

Phreakers

Apesar de muitos considerarem um cientista russo chamado

Nicola Tesla
(que na virada do sculo realizava experincias assutadoras
at para os dias
de hoje com eletricidade) como o primeiro hacker da
histria, os primeiros
hackers da era digital (ou seria analgica ?) lidavam com
telefonia. Sua
especialidade interferir com o curso normal de
funcionamento das centrais
telefnicas, mudar rotas, nmeros, realizar chamadas sem
tarifao, bem como
realizar chamadas sem ser detectado (origem). Com a
informatizao das
centrais telefnicas, ficou inclusive mais fcil e acessvel o
comprometimento de
tais informaes. Kevin Mitnick, considerado o maior hacker
de todos os tempos
(veremos que nem tanto a mdia excerceu uma influncia
decisiva), era um
timo phreaker. Na fase final de sua captura, quando os
agentes de governo
ajudados pelo Tsutomu Shimomura estavam chegando a um
nome, ele
conseguia enganar as investigaes atravs do controle que
tinha da rede de
telefonia da GTE (consessionria telefnica dos EUA).

Wannabes

Os wannabes ou script-kiddies so aqueles que acham que

sabem, dizem
para todos que sabem, se anunciam, ou divulgam
abertamente suas
faanhas, e usam em 99% dos casos scripts ou exploits
conhecidos, j
divulgados, denominados receitas de bolo, facilmente
encontradas em sites
como www.rootshell.com, ou xforce.iss.net. Estes
possuem relao direta
www.invasao.com.br
com a maioria dos usurios da Internet Brasileira. So
facilmente encontrados
em frums de discusso sobre o tema, e principalmente no
IRC. A maioria no
possui escrpulo algum, portanto, tomar medidas de cautela
aconselhvel. Os
wannabes geralmente atacam sem uma razo ou objetivo,
apenas para testar
ou treinar suas descobertas, o que nos torna, usurios
Internet, potenciais
alvos.

Exemplo / Estudo de Caso:

TakeDown

Para entender melhor o que pensa um tpico black-hat, um

phreaker, e
um white-hat, analisemos o caso de Kevin Mitnick e Tsutomu
Shimomura.
Kevin Mitnick a um bom tempo (meados dos anos 80) j
havia sido
investigado pela polcia, por atividades ilcitas ligadas a
segurana de
computadores, sempre relacionadas a sua atuao como
hacker. Por volta de
1992 ~ 1994, Tsutomu Shimomura e outro hacker conhecido,
chamado Mark
Lotto, desassemblaram o cdigo do sistema operacional de
um celular da OKI.

Tsutomu em si trabalhava como consultor para a Motorola.

Ningum sabe ao
certo o que fez o Kevin tentar invadir as mquinas de
Tsutomu, contudo, a
comunidade tem uma certeza: no foi uma ataque simples,
foi algo planejado.
Tudo indica que o objetivo de Kevin era conseguir obter os
cdigos fonte dos
celulares que Tsutomu possua, para posteriormente vendlos.
Tudo comeou quando ele conseguiu controlar as centrais
telefnicas da
GTE. Kevin discava de um celular, e raramente de casa, de
uma cidade
chamada Raleigh, na Carolina do Norte, USA. Assim, invadiu
as mquinas de
um provedor chamado The Well, que usava para ter acesso a
Internet. Ele usou
como ponto de partida os servidores do The Well para o
ataque. Enquanto
isso, aproveitou seu acesso invisvel atravs do The Well
para invadir um
outro provedor, chamado NetCom, de onde roubou milhares
de cartes de
crdito. Aps isso, invadiu uma mquina em toad.com. De l,
iniciou o ataque
rede de Tsutomu Shimomura. Atravs de um antigo exploit
do finger, e usando
um pouco de port scanning, ele conseguiu descobrir que
uma mquina de
Tsutomu, chamada Ariel, tinha uma relao de confiana
com outra mquina na
rede de Tsutomu. Ele tirou esta mquina do ar (atravs de
um ataque do tipo
DoS), utilizou uma tcnica chamada IP Spoofing, para a
mquina Ariel pensar
que estava sendo acessada pela mquina na qual confiava.
Da pra frente, ficou

fcil. Observe que Kevin usou de uma srie de artifcios para

no ser detectado,
desde a sua ligao telefnica at seu acesso aos
computadores de Tsutomu, e
que sua motivao tambm era financeira.
Tsutomu conseguiu chegar a Kevin devido a um rastro
deixado em Ariel.
Nela, algumas informaes apontavam para a mquina em
quem confiava,
contudo, como isso poderia ocorrer, uma vez que a mesma
estava fora do ar ?
Descobriu ento, que as conexes tinham partido de
toad.com. Assim, iniciou
uma caada que vrios meses depois, chegou em Raleigh, e
culminou com a
www.invasao.com.br
captura do Kevin (com ajuda do FBI) em fevereiro de 1995,
atravs do sinal de
seu celular, que usava para se conectar.
O mais interessante de tudo que Kevin no era especialista
em UNIX
(sistema usado por Tsutomu, pelo toad.com, pela Well). Ele
era na verdade
especialista em VMS / VAX, um sistema da Digital. Ele
parecia ter profundos
conhecimentos sobre sistemas da Digital. Tudo indica que
Kevin seguiu vrias
dicas de algum em Israel, que at hoje, ningum coseguiu
identificar. Kevin
forneceu vrias informaes sobre como invadir sistemas
VMS / VAX, e recebeu
as dicas de como usar o IP spoofing, que, na poca, era uma
tcnica recente,
nunca testada, apenas discutida academicamente.
Existe um site na Internet que possui um log demonstrando
at a sesso
de telnet que Kevin usou, algumas chamadas que ele teria
realizado para o

Mark Lotto, demonstrando seu interesse pelo cdigo fonte

dos celulares, e
algumas gravaes da secretria telefnica do Tsutomu, que
supostamente,
teriam sido feitas pelo Kevin . O site pode ser acessado em:
http://www.takedown.com
Existem tambm dois livros que contam a histria. Um, com
a viso e Kevin,
escrito pelo Jonattan Littman, e outro, com a viso de
Tsutomu, escrito pelo
John Markoff em conjunto com ele. Este ltimo possui uma
edio nacional,
pela Companhia das Letras. Chama-se Contra-Ataque. O
livro escrito pelo
Littman chama-se The Fugitive Game: online with Kevin
Mitnick. Ambos os
livros podem ser encontrados online, em livrarias como
Amazon.com, por
menos de 20 dlares cada.
Kevin Mitnick foi solto em 21 de janeiro de 2000, e est
sobre condicional.
Boatos dizem que o governo Americano est usando Kevin
Mitnick como
consultor de segurana.
Ningum sabe o paradeiro de Tsutomu Shimomura.
www.invasao.com.br
2. Entendendo Redes e a Internet

Introduo em Redes
Conceito de Redes

As redes de computadores foram criadas a partir da

necessidade de se
compartilhar dados e dispositivos. Com a distribuio do
dado, valioso ou no,
tal ambiente passou a ser alvo de um estudo de
vulnerabilidades, tanto por
parte dos administradores conscientes, quanto por
potenciais ameaas
(sabotagem ou espionagem industrial por exemplo).

Contudo, para que a comunicao de dados ocorra entre

computadores,
necessrio que uma srie de etapas e requisitos sejam
cumpridos. Podemos
dividir a comunicao em rede, didaticamente, em 4
camadas: a parte fsica
(meio de transmisso placas de rede, cabeamento...), a
camada de
endereamento / roteamento (responsvel pelo
endereamento e pela escolha
do melhor caminho para entrega dos dados), a parte de
transporte (protocolo
de comunicao responsvel pelo transporte com
integridade dos dados), e a
camada de aplicao (que faz interface com o usurio). Se
algum elemento de
alguma destas camandas falhar, provavelmente no haver
comunicao.

TCP/IP

O TCP/IP (Transmission Control Protocol / Internet Protocol),

uma
pilha de protocolos que vem sendo modelada a dcadas,
desde a criao de
uma rede chamada ARPANET, em meados dos anos 60, nos
EUA. Ao contrrio
do que muitos acham, no apenas um protocolo de
comunicao, mas uma
pilha deles. Essa pilha de linguagens de comunicao
permite que todas as
camadas de comunicao em rede sejam atendidas e a
comunicao seja
possvel. Todas as pilhas de protocolo, de uma forma ou de
outra, tem de
atender a todas as camadas, para permitir que os
computadores consigam
trocar informaes.
Podemos fazer uma analogia de uma pilha de protocolos
com a

comunicao verbal. Se algum fala com outra pessoa, e

esta o entende,
porque todas as camadas para que a fala seja entendida
foram atendidas.
Imagine que, para que duas pessoas se comuniquem
verbalmente, ser
necessrio:
www.invasao.com.br
1. que ambas saibam o mesmo idioma
2. que ambas tenham toda a estrutura fisiolgica para que
emitam som
(voz cordas vocais, lngua, garganta, pulmes, etc.)
3. que ambas possuam toda a estrutura fisiolgica para que
ouam o som
(orelha, ouvido interno, tmpanos, etc.)
Nesta pilha de protocolos, temos como mais importantes:

ARP (Address Resolution

Protocol)

O ARP o protocolo responsvel pelo mapeamento ou

associao do
endereo fsico ao endereo lgico, de computadores numa
mesma rede. Ele
faz isso atravs do processo exemplificado no tpico
anterior.
IP
O Internet protocol o responsvel pelo endereamento
lgico de
pacotes TCPIP. Alm disso, responsvel pelo roteamento
destes pacotes, e
sua fragmentao, caso a rede seguinte no possa
interpretar pacotes do
mesmo tamanho. O mais importante para entendermos o
funcionamento do IP
entender como feito seu endereamento lgico.
Um endereo IP algo parecido com isto:
200.241.236.94
Apesar de aparentemente no ter muita lgica, este
endereo contm

uma srie de informaes. A primeira delas que, neste

nmero esto
presentes a identificao da rede na qual o computador est
ligado, e o seu
nmero, em relao a esta rede. Detalhe: o computador NO
interpreta este
nmero acima como 4 cadeias decimais separadas por
pontos (esta
representao apenas para tornar nossas vidas mais
fceis). Ele entende
como 4 octetos, ou 4 campos de 8 bits:
11001000.11110001.11101100.01011110
Algumas concluses e fatos sobre endereos IP:
1. QUALQUER endereo iniciado por 127, considerado
endereo de
diagnstico, e representa sua prpria interface (tambm
chamado de
loopback);
2. O endereamento IP usado hoje chamado de IP verso
4. O nmero
de endereos IP em uso preocupa vrios especialistas. Um
dos
projetistas da pilha, Vincent Cerf, previu que at 2008, todos
os
endereos estaro em uso. Para isso, j existe em
funcionamento uma
www.invasao.com.br
nova verso, chamada de IP verso 6, que ter como
endereamento
128 bits, ao invs dos 32 bits do IP verso 4;
3. Para entender as vulnerabilidades e como funciona a
maioria dos
mecanismos de ataque e defesa, necessrio enteder o
conceito bsico
do endereamento IP;
4. A pilha TCP/IP vem sendo modificada desde a dcada de
60. Como seu
design bastante antigo, existem diversas vulnerabilidades
inerentes ao

protocolo, que so bastante usadas por hackers;

5. cada octeto no pode ter um valor decimal acima de 255
afinal, 8 bits
somente conseguem assumir 256 combinaes diferentes, o
que d, em
decimal, a contagem de 0 a 255.
Problemas comuns de configurao IP:
1. mscara errada;
2. endereo do gateway (roteador) errado;
3. poro rede errada, ou endereo IP duplicado.

I CMP (Internet Control

Message Protocol)

A funo do ICMP basicamente de diagnstico e

tratamento de
mensagens. Atravs dele, possvel determinar por
exemplo, quanto tempo um
pacote est demorando para ir a uma mquina remota e
voltar (round trip),
bem como determinar se houve perda de pacotes durante a
transmisso. Com
ele, tambm possvel determinar qual o caminho que um
pacote est
seguindo a partir de uma mquina. O ICMP tambm possui
outras funes
como o SOURCE_SQUENCH. Esta funo permite ao
protocolo IP saber se a
taxa de transmisso est muito rpida entre redes. Quando
um roteador recebe
um pacote ICMP SOURCE_SQUENCH, ele sabe que ter de
diminuir a
velocidade para no saturar o prximo roteador. Existem
outros tipos de
pacotes ICMP, como o perigoso SOURCE_ROUTING, que
possibilita a troca
temporria de uma rota.

TCP (Transmission Control

Protocol)

O protocolo TCP um protocolo de transporte, responsvel

pela entrega
correta dos pacotes. Sua principal caracterstica a
confiabilidade. Para cada
pacote ou conjunto de pacotes que envia, espera do
destinatrio uma
confirmao da chegada dos mesmos. Caso isso no ocorra,
ou o pacote
chegue corrompido, ele tratar de efetuar a restransmisso.
Ele tambm coloca
nos pacotes um nmero de sequncia, para que o destino
possa remontar o
dado original, caso os pacotes sigam por caminhos
diferentes ou cheguem
atrasados (fora de ordem). Este nmero de sequncia
tambm usado como
recurso de segurana.
www.invasao.com.br

UDP (User Datagram

Protocol)

O UDP assim como o TCP, tambm um protocolo de

transporte.
Contudo, no possui nenhuma checagem de erros,
confirmao de entrega ou
sequenciamento. Ele muito utilizado em aplicaes que
necessitem de trfego
urgente, e no sejam to sensveis a algumas perdas de
pacotes. Exemplos de
aplicaes que usam UDP como transporte: transmisso de
udio e video pela
rede (RealPlayer, Realvideo ou Media Player), jogos online
(como Quake, HalfLife). Pela falta do nmero de sequncia ou confirmao de
conexo, trfego

UDP muito mais vulnervel em termos de segurana.

DNS (Domain Name System)

No final da dcada de 70, comearam a pensar numa forma

mais fcil de
tratar computadores ligados a uma rede TCPIP. Imagine que
para estabelecer
uma conexo, voc deve fornecer o endereo IP do destino,
e o servio que
deseja usar (e a porta), e o transporte. Decorar dezenas de
endereos IP no
uma tarefa fcil, to pouco prtica. O DNS foi concebido para
evitar este
transtorno. Atravs dele, cada host recebe um nome, mais
fcil de aprender,
dentro de uma hierarquia, o que ajuda ainda mais na hora
de identific-lo. Um
exemplo seria www.invasao.com.br. Este caso uma
referncia ao servidor
www, dentro do domnio invasao.com.br. No Brasil, a
entidade que controla o
registro de nomes (de forma a impedir fraudes e utilizao
indevida / registro
indevido) a FAPESP Fundao de Fomento a Pesquisa do
Estado de So
Paulo.

Protocolos de Aplicao

Em cima da infra-estrutura fornecida pelos protocolos

descritos at
agora, funcionam os protocolos de aplicao. Estes fazem a
interface com o
usurio, ou com a aplicao do usurio. Exemplos de
protocolos de aplicao:
HTTP (HyperText Transfer Protocol), FTP (File Transfer
Protocol), SMTP (Simple
Mail Transfer Protocol), SNMP (Simple Network Management
Protocol), POP3
(Post Office Protocol v.3), TELNET, e assim por diante. Cada
protocolo de

aplicao se comunica com a camada de transporta atravs

de portas de
comunicao. Existem 65536 portas possveis, e por
conveno, as portas de 1
a 1023 so conhecidas como Well Known Port Numbers,
portas privilegiadas
ou portas baixas, que possuem servios mais comuns
previamente associados.
Cada protocolo de aplicao precisa de uma porta, TCP ou
UDP, para
funcionar. Os mais antigos possuem suas portas padro j
determinadas.
Exemplo:
www.invasao.com.br
Protocolo / Aplicao Porta Padro Transporte
FTP 21 TCP
TELNET 23 TCP
SMTP 25 TCP
WINS NameServer 42 UDP
HTTP 80 TCP
POP3 110 TCP
SNMP 161 UDP
SNMP trap 162 UDP
As portas acima de 1023 so denominadas portas altas, e
so usadas
como end points, ou pontos de devoluo de uma
conexo. Imagine uma
conexo como um cano de gua conectando duas casas. A
diferena que
neste cano, a gua pode ir em qualquer sentido. Portanto, ao
tentar ler seu
correio eletrnico, provavelmente usar um protocolo
chamado POP3, que
funciona na porta 110. Seu computador estabelecer uma
conexo com o
servidor de correio, na porta 110 remota, e 1026 (por
exemplo) localmente. A
porta local na maioria dos protocolos, uma porta acima de
1023, desde que

no esteja sendo usada.

Sockets (soquetes de
comunicao)

Os sockets so a base para o estabelecimento da

comunicao numa rede
TCP/IP. Atravs dele que a transferncia de dados se torna
possvel. Cada
conexo montada por um socket, que composto de 3
informaes:
1. endereamento (origem e destino)
2. porta origem / destino
3. transporte
Portanto, no caso acima, ao tentar ler seu correio, um socket
ser
estabelecido entre sua mquina e o servidor de correio. Para
mont-lo,
precisamos:
1. do seu endereo IP e do endereo IP destino
2. porta origem / destino (neste caso, porta destino 110,
origem 1026)
3. transporte (TCP)

Gerenciando Erros de
Comunicao

Por padro, existem alguns utilitrios presentes na pilha

TCPIP que
possibilitam ao usurio diagnosticar problemas. Alguns dos
utilitrios mais
usados so:
www.invasao.com.br

PING (Packet INternet

Grouper)

Este utilitrio utiliza o protocolo ICMP para diagnosticar o

tempo de

reposta entre dois computadores ligados numa rede TCP/IP. A

partir da, podese
ter uma estimativa do trfego (se o canal de comunicao
est ou no
saturado) bem como o tempo de latencia do canal. Ao
contrrio do que muitos
pensam, a latencia de um link est tambm diretamente
ligada a velocidade do
roteador (em termos de processamento) e no somente a
velocidade do canal
de comunicao.

...Ento, O que a Internet

Uma vez explicados os conceitos da pilha de protocolos

usada na
Internet, e seu funcionamento, fica mais fcil entend-la. A
Internet nada mais
do que uma rede enorme, a nvel mundial, que usa como
linguagem de
comunicao, a pilha de protocolos TCP/IP. Como tal, herda
uma srie de
vulnerabilidades inerentes prpria pilha TCP/IP, alm de
problemas e bugs
que possam existir nas aplicaes que usam esta infraestrutura de rede.
Muitos perguntam naturalmente como a Internet pode
funcionar. Seu
conceito bastante simples. Na dcada de 60, criou-se na
Universidade de
Berkeley, em Chicago, uma rede experimental, para
utilizao militar. Esta rede
cresceu muito, dada a necessidade das prprias
universidades de trocarem
informaes. Ela se chamava ARPANET. No incio da dcada
de 80, esta rede
passou a utilizar apenas uma pilha de protocolos padro,
que na poca passou
a se chamar TCP/IP. Pouco tempo depois, ocorreu a abertura
desta rede para

fins comerciais, o que, ao longo de pouco mais de 10 anos, a

transformou no
que conhecemos hoje.
A comunicao na Internet provida atravs de backbones,
ou espinhas
dorsais de comunicao (link de altssima velocidade)
mantidos por provedores,
pontos de presena, governos, entidades de ensino, e
empresas privadas.
Contudo, para participar dela, uma srie de requisitos
precisam ser obedecidos.
O primeiro deles relativo ao endereamento.
Vimos que o endereo IP, numa rede, precisa ser distinto.
Portanto, em
toda a Internet, no pode haver dois endereos IP iguais.
Assim sendo, para
uma mquina se comunicar com outras na Internet, ela deve
possuir um
endereo vlido. Cada provedor de backbone possui um lote,
ou intervalo de
endereos IP que pode fornecer aos seus clientes. Aqui no
Brasil, podemos citar
a Embratel como provedora de backbone. Ao requisitar um
link com a Internet
Embratel, receber juntamente com o link, um intervalo de
endereos para
ser usado por seus computadores, ligados ao backbone da
Embratel. A nvel
mundial, o rgo que gerencia os endereos IP vlidos
chama-se IANA
(Internet Assigned Numbers Authority).
www.invasao.com.br
Para que a comunicao seja possvel a nvel mundial, cada
detentor de
uma rede (ou espao de endereamento) responsvel por
estabelecer a
comunicao com seu provedor de backbone, bem como
configurar seu

roteador ou roteadores com as rotas necessrias ao

funcionamento de sua sub
rede. Se levarmos isso a uma escala mundial, cada detentor
de uma sub rede
fazendo com que ela seja acessvel atravs de um roteador
corretamente
configurado, entendemos como funciona a Internet a nvel
administrativo (por
mais incrvel que parea).
www.invasao.com.br
3. Entendendo a Invaso
Na Internet Brasileira, a quantidade de vtimas, sejam
corporativas ou o usurio final, s no maior pela falta
de conhecimento que nossos hackers wannabe
possuem, no pela quantidade de investimentos ou
medidas de contra-ataque adotadas, que so
desprezveis.

O Porqu da Invaso

Os motivos so diversos. Variam desde a pura curiosidade

pela
curiosidade, passando pela curiosade em aprender, pelo
teste de capacidade
(vamos ver se eu sou capaz), at o extremo, relativo a
ganhos financeiros,
extorso, chantagem de algum tipo, espionagem industrial,
venda de
informaes confidenciais e, o que est muito na moda, ferir
a imagem de uma
determinada empresa ou servio (geralmente, a notcia de
que uma empresa
foi invadida proporcional a sua fama e normalmente um
desastre em
termos de RP).
As empresas hoje em dia investem quantias fantsticas em
segurana,
mas no no Brasil. O retrato do descaso segurana de
informaes no Brasil

claramente traduzido na falta de leis neste sentido. Alm

disso, existe um fator
agravante: quando existir o interesse em elaborar tais leis,
sero por indivduos
que no tem por objetivo principal a segurana em si. O
resultado sero leis
absurdas, que iro atrapalhar mais do que ajudar. Um
exemplo disso o que
vem ocorrendo em alguns estados nos EUA. Nestes estados,
a lei chega a ser
to restritiva que at testes de vulnerabilidade so
considerados ilegais, mesmo
com o conscentimento da empresa contratante do servio.
Isto no aspecto empresarial.
No caso do usurio final, esse est entregue sorte. No
existe nenhum
servio de segurana gratuito, que possa ser utilizado pelo
usurio. De qualquer
forma, existem diversas ferramentas e procedimentos que
podem ser usados
para aumentar o nvel de segurana de seu computador,
digamos, em casa,
que acessa a Internet por um link discado. justamente
neste nicho de
mercado em que esto as principais vtimas, que inclusive,
no so notcia no
dia seguinte a uma invaso. A quantidade de wannabes
enorme, e a
tendncia aumentar. Os wannabes esto sempre procura
de um novo
desafio, e o usurio final na maioria das vezes a vtima
preferida,
JUSTAMENTE pela taxa de sucesso que os Wannabes tem em
relao ao
nmero de ataques realizados.
www.invasao.com.br

Ponto de Vista do White-hat

O white-hat geralmente um programador bem sucedido,

que, na
grande maioria das vezes, contratado como consultor de
segurana. Nestes
casos, ele tambm recebe o nome de Samurai. Ao
descobrir uma falha ou
vulnerabilidade, envia um how-to, ou procedimento para
que o problema
seja recriado, para amigos ou pessoas de convvio prximo,
que tambm
estejam envolvidas com segurana ou desenvolvimento.
Uma vez confirmada a
falha, ela reportada em listas de discusso que debatem o
tema, onde os
maiores especialistas se encontram. Exemplos de listas:
NTBugtraq
A lista NTBugtraq uma lista moderada por um canadense
chamado Russ
Cooper. Ela discute segurana em ambiente Windows NT e
2000. O nvel de
barulho ou de informaes que no dizem respeito ao
assunto muito baixo
(Russ bem rigoroso na moderao do grupo) portanto, a
grande maioria das
informaes de nvel alto. Para assin-la, basta enviar uma
mensagem para:
listserv@listserv.ntbugtraq.com
e no corpo da mensagem:
subscribe ntbugtraq Primeiro_nome Sobrenome
Contudo, antes de assinar esta lista, aconselhvel ler a
FAQ da mesma
em:
http://ntbugtraq.ntadvice.com/default.asp?pid=31&sid=1

NT Security

A lista NT Security uma lista NO moderada (espere por

dezenas de
mensagens diariamente), mantida por uma empresa
chamada ISS (Internet

Security Systems). Para assin-la, a forma mais fcil ir no

seguinte endereo:
http://xforce.iss.net/maillists/
Os white-hats (os black-hats e crackers tambm) se mantm
muito bem
atualizados. Ser inscrito em diversas lista de discusso, ler
muito sobre o tema
e visitar sites de segurana essencial. Alguns sites muito
bons sobre o tema:
http://www.securityfocus.com/
http://www.hackers.com.br
www.invasao.com.br

Ponto de Vista do Black-Hat

O black-hat possui tanta habilidade quanto o white-hat.

Porm, ao
descobrir uma nova vulnerabilidade, no publicar esta na
Internet: usar para
fins geralmente ilegais, em proveito prprio. Possui tambm
profundos
conhecimentos de programao, e geralmente est
empregado em alguma
empresa de desenvolvimento de sistemas, ou como
programador-analista, ou
como responsvel pelo suporte. Hoje em dia, podemos
encontrar black-hats em
empresas de comunicao, assim como em provedores de
acesso Internet
(ISPs).
Contudo, ao contrrio do white-hat, wannabe ou cracker, o
black-hat
far de tudo para manter sua identidade secreta, bem como
suas atividades
ilegais. A prpria natureza ilegal de suas realizaes o
mantm afastado de
qualquer publicidade. A maioria dos black-hats possui algum
tipo de identidade
digital, ou pseudnimo na Internet, que afasta qualquer
possibilidade de

identificao, como um email free (contas free de correio

eletrnico, com
cadastro errado), e acessa a Internet por servidores de Proxy
alheios (uma lista
de servidores proxy pode ser encontrada no anexo 6). Possui
contas de acesso
a Internet em diversos provedores, de preferncia em
provedores muito
pequenos ou do interior, que no possuem um sistema exato
para identificao
de chamadas ou conexes. Hoje em dia, provedores
gratuitos fornecem este
acesso de forma bastante satisfatria, principalmente em
grandes cidades.
Provedores gratuitos que no possuem senhas
individualizadas, s podem
identificar um usurio pelo nmero da chamada. a onde
entra o Phreaker.
Contudo, no Brasil, em grandes cidades, as companhias
telefnicas NO
utilizam o sistema BINA (B Identifica Nmero de A), por
motivos de carga
imposta s centrais telefnicas. A troca das informaes de
caller ID
necessrias identificao do nmero origem de uma
chamada gera uma
utilizao maior das centrais. Muitas centrais que j esto
em sua capacidade
mxima no conseguiriam operar com as informaes de
Caller ID
habilitadas. Assim sendo, se torna praticamente impossvel
identificar a origem
de uma chamada, por parte de um provedor de acesso.
Mesmo assim, teramos o sistema de tarifao da companhia
telefnica,
que, judicialmente, poderia comprovar a origem de uma
ligao. Contudo,
existem vrias formas de se burlar a tarifao. Uma delas
discar de um

telefone pblico isolado, em um horrio de nenhum

movimento (madrugada).
Outra opo roubar uma linha telefnica diretamente em
um quadro de
conexes de um quarteiro, ou at mesmo no prprio poste
de iluminao
pblica, ou em quadros de telefonia de um condomnio, por
exemplo. A terceira
opo seria usar conhecimentos de phreaking para evitar
que a companhia
telefnica consiga obter a identificao da chamada.
www.invasao.com.br
Independente do mtodo utilizado, o esforo empregado na
identificao
ser proporcional ao efeito das aes de um hacker. Um
black-hat pode
perfeitamente usar os mtodos descritos acima, de conexo
atravs de um
provedor gratuito, apenas para identificar ou obter
informaes necessrias ao
seu trabalho. Uma vez determinada uma abordagem ou
traada uma
metodologia para se realizar uma invaso, a sim, mtodos
mais avanados
podem ser usados, como roubo de linha (conhecido no Brasil
como papagaio)
ou at phreaking, impedindo sua identificao.
Alm do black-hat, temos os crackers e os wannabes, que de
certa
forma, poderiam ser enquadrados como black-hats, mesmo
no tendo
conhecimento para tal.
Os crackers faro ou tentaro fazer uma invaso apenas
pelo desafio, ou
para enaltecer seu ego, junto ao espelho, ou junto
comunidade da qual
participa. Neste aspecto, o wannabe possui mais ou menos o
mesmo ponto de

vista. Contudo, o wannabe usa mais suas histrias para se

afirmar dentro do
seu grupo social do que o cracker. Um exemplo clssico do
comportamento de
um cracker foi o demonstrado pelo Kevin Poulsen, hacker
bastante conhecido,
que foi preso nos EUA por ter invadido a rede de defesa
(ARPANET). Um
resumo sobre ele pode ser encontrado em:
http://www.zdnet.com/zdtv/thesite/0797w4/iview/iview747_0
72497.html
Como demonstrado, esta uma diferena bsica: o cracker
possui algum
conhecimento e mais objetivo em suas realizaes. O
wannabe geralmente
no organizado, e tenta testar em tudo e em todos as
novidades que
conseguir obter. Este mais perigoso, pois pelo fato de
atirar em todas as
direes, pode atingir qualquer um, eu, voc, ou algum
conhecido / famoso.
tambm o mais fcil de cair nas mos da justia, pela
enorme trilha de pistas
que deixa no caminho por onde passa.

Vulnerabilidades em meu
sistema

Todo e qualquer sistema, cdigo, script ou programa,

vulnervel a
bugs. Todos estes so escritos por mos (dedos) humanas, e
concebidos por
mentes humanas, sujeitas a falhas. Por consequncia,
tambm esto sujeitos
falhas.
A grande maioria dos furos de segurana surgem de bugs no
cdigo
original. Contudo, nem todos os bugs so furos de
segurana. Obviamente, se

um bug surge em uma aplicao de editorao de imagens

ou texto, no
necessariamente estar relacionada a segurana. Porm, se
este bug
descoberto e existe no software do firewall que sua empresa
usa, ou voc
possui instalado em seu computador, a sim, estar
relacionado diretamente
com segurana. inclusive importante observar que muitos
destes bugs
www.invasao.com.br
surgem pela interao de programas. Digamos, que o
programa original,
instalado em um contexto onde realiza suas tarefas sozinho,
no apresente
falhas. Mas, a partir do momento que posto para trabalhar
em conjunto com
outro programa, expe algum bug ou falha operacional.
Estas por sinal so as
mais difceis de diagnosticar, pois geralmente apresentam
caractersticas
intermitentes.

Que Componentes So
Vulnerveis

Qualquer um.
Principalmente se este est ligado diretamente a algum
servio de rede.
Existem diversos tratados, estudos e documentos discutindo
estatsticas
de produo de bugs. Contudo, uma regra bsica que
sempre trar um bom
aproveitamento com relao segurana a seguinte:
menos cdigo no ar,
menos bugs, menos problemas de segurana.
Axioma 1 (Murphy) Todos os programas tm bugs.
Teorema 1 (Lei dos Programas Grandes) Programas
grandes possuem ainda mais bugs do que o seu
tamanho pode indicar.

Prova: por inspeo

Corolrio 1.1 Um programa relativo a segurana possui
bugs de segurana.
Teorema 2 Se voc no executar um programa, no
importar se ele possui ou no bugs.
Prova: como em todos os sistemas lgicos, (falso
verdadeiro) = verdadeiro.
Corolrio 2.1 Se voc no executar um programa, no
importar se ele possui ou no bugs de
segurana.
Teorema 3 Mquinas expostas devem rodar to poucos
programas quanto possvel; os que rodarem,
devem ser to pequenos quanto o possvel.
Prova: corolrios 1.1 e 2.1
Corolrio 3.1 (Teorema Fundamental dos Firewalls) A
maioria dos hosts no consegue atender s
nossas necessidades: eles rodam programas demais que so
grandes demais. Desta forma, a nica
soluo isolar atrs de um firewall se voc deseja rodar
qualquer programa que seja.
(Firewalls and Internet Security: Repelling the Wily Hacker
William Cheswick / Steven Bellovin)
Concluso: quanto menos servios no ar, menor a
possibilidade do
computador apresentar uma falha de segurana.
www.invasao.com.br
Plataforma Windows: Windows 9x
O Windows 9x (95 ou 98) no foi concebido com segurana
em mente.
Contudo, a Microsoft esqueceu que, com o advento da
Internet, alguma
segurana deveria existir por padro no sistema para evitar
ataques pela
Internet, para usurios deste sistema. De qualquer forma,
existem alguns
procedimentos que qualquer um pode adotar para tornar seu
computador
windows 9x mais seguro. Obviamente, praticamente
impossvel ter uma

funcionalidade de servidor de algum tipo, exposto Internet,

aliada
segurana, com este sistema operacional.
A principal medida que deve ser adotada a remoo do
compartilhamento de arquivos e impressoras para redes
Microsoft, no painel de
controle. Caso seu computador participe de uma rede,
dentro de uma empresa
por exemplo, consulte o administrador da rede ANTES de
realizar qualquer
alterao. As empresas geralmente possuem polticas
internas para tais
configuraes.

Veja:
Atravs do cone Rede no painel de controle, se tem
acesso caixa de dilogo
ao lado. L, voc poder encontrar o componente
Compartilhamento de
arquivos e impressoras para redes Microsoft. Este
componete transforma o
Windows 9x em uma espcie de servidor de rede que, se
configurado de forma
incorreta, poder abrir seu computador para qualquer
invasor. Se no for
possvel remover o componente, pea proprie-dades do
adaptador dial-up
(como na imagem acima), v em Ligaes e desmarque a
opo
Compartilhamento de arquivos e impressoras para redes
Microsoft. Isso far
com que o componente servidor do Windows 9x no esteja
ativo atravs de sua
conexo via modem / dial-up.
Alm da configurao de rede de um computador Windows
9x, existem
outros aspectos que devem ser observados. O primeiro deles
em relao
atualizaes. O Windows 9x possui um servio bastante
interessante, chamado

Windows Update. Atravs dele, quando conectado na

Internet, voc poder
atualizar seu sistema automaticamente. Basta clicar o cone
Windows Update
no menu iniciar. Manter o seu sistema sempre atualizado
primordial para
manter a segurana.
O segundo aspecto em relao a que servios seu
computador est
iniciando automaticamente ao ser ligado / inicializado. Olhe
dentro do grupo
Iniciar por programas estranhos, e nas seguintes chaves
no registro:
HKEY_LOCAL_MACHINE\Software\Miicrosoft\Wiindows\Current
Versiion\RunServiicesHKEY_LOCAL
_MACHINE\Software\Miicrosoft\Wiindows\CurrentVersiion\Run
Por padro, apenas o
systray e algum programa anti-virus devem estar listados.
Se em algumas
destas linhas est aparecendo algum programa que voc
tenha pego da
www.invasao.com.br
Internet recentemente, aconselhvel instalar um anti-virus
atualizado o mais
rpido possvel. Provavelmente um cavalo-de-tria.
Indo um pouco mais alm, voc pode executar o comando
netstat
an para verificar se seu computador est configurado para
escutar em
alguma porta suspeita. Isto tambm pode indicar algum
cavalo-de-tria.
Ao digitar o netstat an voc ter como resposta algo
assim:
Microsoft(R) Windows 98
(C)Copyright Microsoft Corp 1981-1999.
C:\WINDOWS\Desktop>netstat -an
Conexes ativas
Proto Endereo local Endereo externo Estado
TCP 200.249.213.241:137 0.0.0.0:0 LISTENING

TCP 200.249.213.241:138 0.0.0.0:0 LISTENING

TCP 200.249.213.241:139 0.0.0.0:0 LISTENING
UDP 200.249.213.241:137 *:*
UDP 200.249.213.241:138 *:*
C:\WINDOWS\Desktop>
Essa a tpica resposta de um computador com uma placa
de rede, que
no est conectado Internet, e que acabou de ser iniciado.
Note que ele est
escutando nas portas 137, 138 e 139. Para um computador
Windows 9x, isso
normal. Contudo, se voc no realizou a instalao de
nenhum programa de
rede em seu computador que o transforme em algum tipo de
servidor, e ainda
assim portas estranhas aparecerem listadas, isto quer dizer
que algo est
errado. Uma lista de portas que indicam cavalos-de-tria
pode ser encontrada
no anexo 3. Porm, alguns destes cavalos-de-tria usam
portas que por
padro, so usadas por servios conhecidos, como FTP File
Transfer Protocol
(porta 20 e 21), HTTP Hypertext Transfer Protocol (porta
80) e assim por
diante. Portanto, antes de imaginar que est infectado,
certifique-se de que tais
servios no estejam rodando em seu computador. Uma lista
com as portas
privilegiadas (conhecidas como Well known port numbers)
pode ser
encontrada no anexo 4, bem como uma lista de portas no
privilegiadas, acima
de 1024, podem ser encontradas no anexo 5. Caso o
material no esteja mo
e uma consulta seja necessria, dentro da pasta
\WINDOWS\ (Windows 9x)
ou \WINNT\SYSTEM32\DRIVERS\ETC (Windows NT/2000)
existe um arquivo

chamado services que contm as principais portas.

Plataforma Windows NT / 2000
O Windows NT/2000 foi concebido para suportar e operar
sobre padres
de segurana, ao contrrio do Windows 9x. A inteno deste
material no
escrever um tutorial de segurana no Windows NT/2000,
pois isso foraria a
escrita de um material inteiramente novo. Porm, existem
alguns tpicos que
podem e devem ser abordados, que contm conceitos
bsicos de proteo
usando este sistema operacional.
www.invasao.com.br
A principal diferena em termos de segurana do Windows
NT/2000 para
o 9x, ns podemos reconhecer logo no incio: apenas um
usurio vlido pode
usar o computador localmente, bem como via rede, de
acordo com as
permisses configuradas. Voc precisa ser autenticado para
ter acesso
console. Portanto, manter um cadastro de usurios
necessrio. Este cadastro
deve forar os usurios a trocar de senha priodicamente,
bem como exigir que
senhas de um determinado tamanho mnimo sejam usadas
(em sistemas
seguros, recomendado usar o mximo de caracteres
suportados pelo NT: 14.
No caso do 2000, tambm podemos usar 14, pois um bom
valor. Contudo, o
Windows 2000 permite senhas de at 256 caracteres).
A primeira coisa que se deve fazer ao usar NT/2000
escolher que
sistemas de arquivos voc usar. Se segurana um
requisito, o sistema NTFS
deve ser usado. Contudo, o sistema NTFS no ser visvel
por outro sistema

operacional, apenas pelo NT/2000 (O Linux pode enxergar

parties NTFS para
leitura).
Em segundo lugar, logo aps a instalao, o ltimo service
pack deve
ser instalado. Service packs so atualizaes do Windows
NT, disponveis no
site da Microsoft. Estas atualizaes so acumulativas,
portanto, caso o ltimo
service pack seja o 7, no ser necessrio instalar os
anteriores. Apenas a
ltima verso. Observao: no Windows 2000, o mtodo de
atualizaes foi
alterado. Ele est muito parecido com o do Windows 9x
(atravs do Windows
Update). Portanto, para atualizar um sistema Windows 2000,
basta escolher a
opo Windows Update no menu iniciar. Caso deseje
baixar manualmente as
atualizaes, poder proceder pelo seguinte endereo:
http://www.microsoft.com/windows2000/downloads/
Uma vez instalado e atualizado, precisamos ento realizar
algumas
alteraes no sistema para torn-lo mais seguro. Existem 4
alteraes
essenciais: auditoria, remover servios desnecessrios,
alterar as permisses
padro do sistema de arquivos, e alterar as configuraes de
rede.

1. Auditoria

Em um sistema seguro, primordial que exista algum tipo

de auditoria,
onde certos erros de permisso sejam armazenados para
anlise.
recomendado que no NT/2000, todos os objetos sejam
auditados quanto
falha de acesso. No caso do objeto Logon/Logoff,
tambm recomendado

que o sucesso seja auditado, para que uma anlise de quem

efetuou ou no
logon no computador, localmente ou via rede, seja possvel.
No acione a
auditoria em processos ou em arquivos, a no ser que seja
para depurao de
um problema de segurana eminente. Estes dois objetos
causam muita
atividade de log, deixando o computador / servidor mais
lento.
www.invasao.com.br

2. Removendo servios
desnecessrios

Alguns servios que so instalados por padro so

considerados ou
vulnerveis a ataque, ou servios que podem divulgar
informaes reservadas
do sistema, via rede. recomendado parar tais servios para
impedir que isto
ocorra.
Os seguintes servios precisam ser parados, e configurados
para inicializao
Manual:
Alerter
permite que um suposto hacker envie mensagens de
alerta para a console

Messenger

permite que um suposto hacker via rede visualize o nome

do usurio
atualmente logado na console, atravs do comando nbtstat

Clipbook Server

permite que um usurio via rede visualize o contedo da

rea de trabalho

SNMP Service / SNMP Trap

Service

So dois servios que pemitem a utilizao do Simple

Network Management
Protocol. Se no possurem uma inteno especfica (como
instalado pelo
administrador para monitorao do computador) ou se no
estiver
corretamente configurado, pode revelar muitas informaes
sobre o
computador em si, como interfaces de rede, rotas padro,
entre outros dados.
recomendado ter cautela com tais servios

Scheduler

um servio que permite o agendamento de tarefas no

sistema. Voc pode
programar para que tarefas sejam executadas numa
determinada hora.
Cuidado: por padro, qualquer pograma iniciado pelo
sistema de agendamento,
possuir o contexto de segurana do prprio sistema, tendo
acesso a
praticamente qualquer informao. Caso seja realmente
necessrio, crie um
usurio sem direitos (com direito apenas de executar a
tarefa desejada) e
programe este servio para ser inciado no contexto de
segurana deste usurio
criado (no Windows 2000, o servio se chama Task
Scheduler)
Em computadores que so usados exclusivamente em casa,
e que no
participam de nenhuma rede, apenas acessam a Internet
atravs de um
modem, recomendado tambm parar os seguintes
servios:

Computer Browser

Servio excencial a uma rede Microsoft. Permite que este

computador seja
eleito um Browser Master, ou controlador de lista de
recursos de um grupo de
www.invasao.com.br
trabalho ou domnio. Numa configurao de apenas uma
mquina, no
necessrio estar no ar

Server

O Server Service o equivalente no Windows NT/2000, ao

Compartilhamento de arquivos e impressoras para redes
Microsoft, do
Windows 9x. Da mesma forma, se seu computador no
participa de nenhuma
rede, e apenas acessa a Internet via modem, este servio
pode ser parado, e
configurado para no iniciar automaticamente, assim como
os demais.

Correio Eletrnico

O correio eletrnico, hoje em dia, claramente o meio mais

usado para
disseminao de vrus e cavalos-de-tria. O email de certa
forma uma
aplicao bastante invasiva, e, por este motivo, todo
cuidado pouco ao
receber qualquer mensagem que seja, com um arquivo
anexo. A maioria dos
usurios de rede e Internet hoje no mundo todo, acessam
suas contas de
correio atravs de um protocolo de recepo de mensagens
chamado POP3
(Post Office Protocol v. 3). Este protocolo, aliado
configurao padro da
maioria dos programas clientes de correio, faz com que, ao
checar sua caixa

postal, todas as mensagens sejam baixadas de forma no

interativa. Caso
algum dos correios esteja infectado com um script ou
cavalo-de-tria, o usurio
somente saber quando o correio j estiver dentro de sua
caixa postal local.
Assim sendo, muito comum o usurio, movido pela
curiosidade, tentar
abrir qualquer documento anexo mensagem. Boa parte
dos cavalos-de-tria
so programinhas grficos apelativos, com mensagens que
alimentam a
curiosidade do usurio, como pequenas animaes,
desenhos, ou coisas do
gnero. Ao executar algum programa destes, o usurio tem a
impresso de que
nada ocorreu. Contudo, o cavalo-de-tria tem uma segunda
funo, que
geralmente abre o computador para um ataque via Internet.
Os cavalos-detria
sero discutidos mais a frente.

FTP Voyager / FTP Explorer /

WS_FTP

Estes 3 programas de FTP so bastante usados como

clientes FTP. As
senhas de acesso a sites FTP so salvas ou no registro ou em
arquivos dentro
da pasta do programa, e so criptografadas com um
esquema bem fraco.
Existem tambm programas na Internet que podem ser
usados para retirar
destes arquivos as senhas dos sites FTP. Recomendao:
caso use um destes
programas para efetuar acesso FTP a algum site que tenha
acesso diferente de
anonymous, NO escolha a opo de salvar a senha, ou
lembr-la.
www.invasao.com.br

Microsoft SQL Enterprise

Manager

O Microsoft SQL Enterprise Manager uma console de

gerncia de
servidores Microsoft SQL 7.0, que utilizam como base o MMC
(Microsoft
Management Console). Foi descoberta uma vulnerabilidade
quando o usurio
registra um banco de dados para gerncia, e opta por salvar
a senha para uso
posterior. A senha armazenada no registro do sistema com
criptografia fraca,
sendo possvel descobrir qual a senha. recomendado NO
salvar a senha, e,
ao registrar um novo banco de dados, marcar a opo de
no salvar a senha e
perguntar pela informao de autenticao todas as vezes
que entrar no
Enterprise Manager.
4. Tcnicas de Invaso
Vrias tcnicas bsicas de invaso ou de DoS exploram
problemas
gerados pela m configurao de computadores e servidores
em rede, que so
os alvos primrios caso algum hacker se interesse em
invadir uma determinada
rede.
Existem diversas tcnicas de invaso, que poderamos tratar
melhor se
chamssemos de abordagens. Existem diferentes
abordagens para diferentes
ambientes de rede. A abordagem usada na invaso de uma
rede corporativa
ser completamente diferente da abordagem usada em uma
pequena rede que
talvez nem esteja conectada diretamente Internet, como
tambm ser

diferente da abordagem usada para invadir um usurio

apenas.
Desta forma, os seguintes passos podem ser adotados:

Probing

Hackers tentaro investigar sua rede para determinar: que

servios
rodam em qu servidores; quais so as verses destes
servios; quais
so os servidores, e onde esto localizados na rede; um
esboo ou um
mapa da rede; relaes de confiana entre os
servidores; sistemas
operacionais utilizados; possveis estaes de gerncia na
rede; filtragem
de pacotes (se existir); sistema de deteco intruso
IDS (se existir);
honeypots ou potes de mel (se existirem); portscanning
(passivo e com
spoofing se possvel). Se for justificvel, utilizao de war
dialing. Descobrir
qual a relao da rede interna da empresa, com a rede
de gerncia
(entenda-se por rede interna, aquela usada pelos
funcionrios).
Observao importante: dependendo da inteligncia do
suposto
hacker, a fase de probing ser realizada atravs de algum
mtodo que
impossibilite sua identificao, como atravs de provedores
gratuitos ou atravs
de linhas telefnicas roubadas.
www.invasao.com.br

Engenharia Social (Social

Engineering)

O prximo passo, ou realizado em paralelo, ser a utilizao

de tcnicas

de engenharia social. Atravs destas tcnicas,

informaes valiosas
podero ser obtidas. Descobrir informaes pessoais
sobre o(s)
administrador(es) da rede; informaes sobre fornecedores
de suprimentos
e manuteno; descobrir quem tem acesso privilegiado
a qualquer servidor
ou estao; avaliar o grau de conhecimento desta pessoa
(quanto menor,
melhor, se possuir acesso privilegiado); descobrir
nmeros de telefone
importantes (o nmero de telefone do administrador, das
pessoas envolvidas
com a administrao da infra-estrutura, telefones de
departamentos como
comercial); tentar tambm obter uma lista de endereos
de correio
eletrnico importantes. Tentar obter informaes do
suporte telefnico da
empresa, caso possua. Obter acesso ao lixo da vtima, se
possvel (sim, os
filmes que falam de hackers o fazem geralmente de forma
bastante errada:
contudo, nisso eles acertaram: uma das maiores fontes de
informao sobre a
vtima ser seu lixo).
A partir da, o prximo passo ser tentar relacionar as
informaes
coletadas at agora. Baseado nas informaes levantadas no
primeiro passo, o
hacker ir pesquisar na Internet e na sua comunidade sobre
vulnerabilidades
existentes nas verses dos programas, servios e sistemas
operacionais usados
pela rede.
Alm disso, caso a relao da rede interna com a rede de
gerncia seja

direta, uma abordagem baseada em cavalos-de-tria ser

interessante. O
objetivo passar a ser conseguir ter acesso ao trfego da
rede interna. Isto
pode ser feito enviando trojans para departamentos
administrativos,
comerciais, e financeiros. A maioria dos funcionrios destes
departamentos so
leigos e no sabero a diferena entre um documento do
Word e um
executvel anexo ao seu correio eletrnico. bem provvel
que, com alguns
dias de investigao do trfego da rede interna, voc
consiga alguma senha
com direitos de administrao. Como administradores de
rede tem o hbito de
usar a mesma senha para diversas ferramentas, se na
primeira fase alguma
ferramenta de gerncia remota foi achada, ento, mais do
que provvel que
as senhas sero idnticas.
Independente da abordagem adotada, o hacker ter duas
coisas em
mente: objetividade, e mxima dissimulao. Tudo ser feito
sem pressa, para
no levantar suspeitas. Ele poder at tentar fazer amizade
com algum que
tabalhe na empresa (isso mais fcil do que parece: basta
visitar os mesmos
lugares que essa pessoa visita, principalmente se estes
lugares forem escolas,
universidades ou clubes, pois nestes lugares existe um
sentido maior de unio).
Obviamente, tudo isso depender da informao que se
deseja obter: o hacker
avaliar se todo o esforo vale a pena. Contudo, lembre-se
que muitos fazem
pelo desafio, e superaro enormes dificuldades somente
para provar a si

mesmos que so capazes.

www.invasao.com.br

Programas Usados para

Obter Informaes

Diversos programas podem ser usados para obter

informaes sobre a
rede ou computadores / servidores remotos. Alguns deles
so:
C A Unicenter TNG FrameWork
(http://www.cai.com)
Este um programa extramamente caro, da Computer
Associates, que
tem por objetivo a gerncia completa da uma infra-estrutura
de TI, desde
mdulos de anti-virus at backup. Porm, o mdulo bsico,
chamado
Framework, gratuito, e pode ser baixado do site da CA
para avaliao.
Porm, apesar de gratuito, o mdulo bsico possui o
mapeamento de rede via
SNMP (Simple Network Management Protocol) incluido. Com
esta aplicao,
usando o protocolo SNMP, que a grande maioria dos
roteadores, switches, e
outros equipamentos de conectividade suportam, inclusive
servidores,
possvel construir o mapa de uma rede com detalhes
impressionantes. Portanto,
primordial numa rede, que o firewall filtre trfego SNMP
(portas 161 e 162).
Existem outros programas que usam o SNMP prara construir
o mapa de
uma rede. Podemos citar o Tivoli, o Lucent NavisAccess, e o
SNMPc. Porm,
qualquer ferramenta SNMP pode ser usada.

Essential Net Tools

Programa fantstico que explora a m configurao de

computadores Windows
conectados a Internet. Atravs dele, possivel, dado um
intervalo de
endereos IP, visualizar quais destes esto com o
compartilhamento de
arquivos e impressoas ativado, e com algo compartilhado.
Voc ficaria surpreso
com a quantidade de computadores que possuem a raiz do
drive C:
compartilhada, permitindo acesso a qualquer arquivo dentro
do disco, inclusive
o .pwl, arquivo que possui a senha salva dos usurios deste
computador. Para
evitar que o EssNetTools seja efetivo, necessrio filtrar no
firewall as portas
usadas pelo NetBIOS (135, 136, 137, 139 e 445, tcp/udp).

CIS (Cerberus Internet

Scanner)

O CIS um pequeno programa de anlise de

vulnerabilidades. Apesar de
pequeno, impressionante. Ele roda sob Windows NT 4 /
2000 e, dado um
endereo IP, ele produzir uma pgina HTML com todos os
testes realizados. O
CIS testa por vulnerabilidades conhecidas, como finger, VRFY
(SMTP), DNS,
Web, entre outras. O mais impressionante quando ele
consegue acessar as
informaes de contas de usurios de uma mquina
Windows NT, m
www.invasao.com.br
configurada. Para evitar a efetividade do CIS, aconselhvel
usar ele prprio,
analisar quais vulnerabilidades foram encontradas, e sanlas uma a uma.

WhatsUp Gold

O WhatsUp um programa desenvolvido pela empresa

IPSwitch, com a
inteno de ser uma ferramenta de monitorao de rede.
Porm, ele possui
internamente uma funo usada para descobrir, dado um
intervalo de
endereos, quais esto ou no ativos, bem como outras
informaes, como o
nome das mquinas. Bastante eficiente em redes Microsoft,
com ele voc
poder ter uma idia de quantas mquinas esto ativas
numa determinada
classe, por exemplo. Para barrar o WhatsUp, basta filtrar as
portas do NetBIOS
e trfego ICMP.

TELNET

O prprio telnet do Windows pode ser usado para descobrir

que verso
um determinado servidor est rodando, por exemplo, de
sendmail, servidor
web, POP3 ou FTP. Para isso, basta disparar um TELNET para
a porta do
servio desejado.
Vejamos:
telnet invasao.com.br 25
220 dominus.elogica.com.br ESMTP Sendmail 8.9.3/8.9.3;
Wed, 29 Mar 2000 20:38:40 0300
Agora, sabemos que o servidor um sendmail, versao 8.9.3.
Aliado ao
nmap, descobrimos qual o sistema operacional.

Trojan Horses e Back Doors

Os trojan horses so programas que demonstram um

determinado tipo
de comportamento, ou se propem a uma determinada
tarefa, geralmente a
realizam, prom, sem que o usurio saiba, executam alguma
outra tarefa. Esta

segunda funo na maioria das vezes abre o computador

para invases ou
acesso remoto.
Hoje em dia, existem inmeros programas do tipo trojan
horse, ou
cavalo-de-tria, mas o conceito aplicado a informtica existe
a dcadas. O
primeiro programa usado como trojan horse que ganhou a
comunidade foi o
NetBus. Aps o NetBus (que tido como um software de
gerncia remota, e
no como um trojan horse), surgiram diversos outros, sendo
o mais famoso
deles, o Back Orifice. Este, foi criado por um grupo de
hackers que se entitulam
The Cult of the Dead Cow, ou cDc
www.invasao.com.br
Veja no anexo 7, uma coletnea de telas de trojans
conhecidos. Cada um
destes programas pode ser removido atravs de um bom
programa de antivirus,
como o Norton anti-virus, o AVP, ou o TrendMicro. Todos
estes anti-virus
possuem download para avaliao (30 dias) e podero salvar
sua pele, mesmo
que voc no compre o programa (desisntale em seguida).
http://www.antivirus.com
J os backdoors podem ter mais ou menos a mesma
funcionalidade de
um trojan, mas possuem outras intenes. Quando um
hacker consegue acesso
a um sistema, uma de suas primeiras atitudes ser instalar
backdoors no
sistema. Estas backdoors lhe permitiro voltar a ter acesso a
este sistema se
por acaso o dono / usurio ou administrador descobrir que
sua segurana foi
violada. Uma backdoor pode ser na forma de um programa
(assim como os

trojans), como um script (principalmente em ambiente

UNIX), ou at como uma
srie de procedimentos (criar uma conta com direitos de
administrao , com
um nome comum).

Buffer Overflow

Buffer overflows so consequncia direta de pssimos

hbitos de
programao. Consiste em enviar para um programa que
espera por uma
entrada de dados qualquer, informaes inconsistentes ou
que no esto de
acordo com o padro de entrada de dados. De forma
resumida, seria mais ou
menos tentar encaixar uma bola de basquete em um buraco
de golf.
Em programas que no tratam a consistncia dos dados de
entrada,
pode haver uma desestruturao do cdigo em execuo,
permitindo que
cdigo estranho seja enviado e executado. Imagine um
buffer de entrada de
dados configurado para receber 32 bytes. Imagine agora que
este mesmo
buffer no possui uma checagem da consistncia dos dados.
Agora, tente
enviar mais do que 32 bytes. Isso normalmente estourar o
buffer (buffer
overflow), e normalmente, o que passar de 32 bytes,
invadir outras reas de
memria do sistema. Dependendo de que reas sejam estas,
possvel fazer
com que esta carga extra tambm seja executada.
exatamente a onde
mora o perigo.
No anexo 8, temos um exemplo de buffer overflow no
Windows NT.

As formas mais comuns de buffer overflow so encontradas

em
servidores web e de FTP. Ao se submeter uma URL muito
grande (geralmente
acima de 150 caracteres) o servidor para de responder.
Vrios softwares
servidores Web e FTP famosos j foram vtimas de tais
vulnerabilidades, como
o Apache Web Server, o Internet Information Server, o ServU FTP Server, War
FTP d, entre outros. No ambiente UNIX, existem ou existiram
diversas
vulnerabilidades deste tipo nos servidores de SMTP (envio de
correio) e POP3
(recebimento de correio).
www.invasao.com.br

Exploits

Exploits so pequenos scripts ou programas que exploram

uma
vulnerabilidade de segurana. Seria mais ou menos como
encontrar um furo
numa cortina, enfiar os dois dedos, e arrebentar o furo.
Geralmente so
cdigos locais (precisam ser executados no computador que
se deseja
comprometer), apesar de existirem exploits remotos (via
rede). O nome
exploit tambm atribuido as vulnerabilidades
descobertas em softwares
(sistemas operacionais, servidores, programas em geral).
Existem diversos sites
de segurana que falam sobre exploits mais recentes. Os
mais famosos so:
RootShell
Internet Security Systems Xforce
PacketStorm Library
CIAC (Computer Incident Advisory Capability)
CERT (Computer Emergency Response Team)

5. Outros Tipos de Ataques

Existem outros tipos de ataque que, se no permitem uma
quebra de
segurana direta, como o comprometimento das
informaes armazenadas em
um servidor, ajudam nos ataques de invaso, muitas vezes
at tornando-os
possveis.

DoS (Denial of Service)

Como o prprio nome sugere, ataques deste tipo geralmente

no
compromentem a privacidade dos dados. A finalidade de um
ataque DoS tirar
um servio, servidor, computador ou at mesmo uma rede
do ar. Os ataques
do tipo DoS so usados muitas vezes em conjunto com
invases, ou porque
alguns tipos de invases exigem que determinados
computadores no estejam
funcionando (como no caso do spoofing) ou para despistar /
desviar a ateno
da invaso em si. Ataques DoS tambm so usados
simplesmente para
atrapalhar ou desacreditar um servio.
Os ataques DoS na sua grande maioria usam buffer
overflows para
conseguir obter sucesso. Contudo, qualquer forma de tirar
um computador,
ervio ou rede do ar considerado um ataque DoS. Por
exemplo, a maioria dos
www.invasao.com.br
servidores que possuem alguma segurana possuem
tambm logs de acesso
(arquivos de sistema onde so armazenadas informaes
crticas, como acesso,
autenticao e etc). Imagine que o administrador coloque os
logs no mesmo

espao em disco do sistema. Assim, se gerarmos milhares

(talvez milhes) de
entradas no log, o arquivo ir crescer at ocupar todo o
disco. Outro tipo de
ataque DoS comum: vrias redes possuem programadas
uma ao, caso um
login tente por diversas efetuar logon e erre suas
credenciais. Esta ao
geralmente o bloqueio indeterminado da conta (login), que
apenas pode ser
restaurado com a interveno do administrador. Forar o
travamento de uma
conta destas considerado um ataque DoS, principalmente
quando esta conta
a usada por algum servio (se a conta for bloqueada, o
servio sair do ar).
J ataques que visam tirar do ar uma rede, ou um servidor
atravs de
trfego excessivo, ou enviando pacotes de rede invlidos
tambm so
possveis. A cerca de 2 anos atrs, foi lanado na Internet
uma vulnerabilidade
em pilhas TCPIP de computadores Windows. Consistia em
enviar para um
determinado servio, pacotes TCP com uma sinalizao de
urgncia. Contudo,
o contedo do pacote era composto de caracteres invlidos.
Este ataque DoS
ficou conhecido como OOB (Out Of Band data). Hoje em dia,
a grande maioria
das pilhas TCPIP so protegida contra este tipo de ataque, e
variaes. Porm,
como no velho ditado gua mole em pedra dura tanto bate
at que fura, se a
quantidade de informao invlida for realmente muito
grande, ainda existe a
possibilidade de tirar do ar o computador. Para se obter a
quantidade suficiente

de pacotes, o ataque do tipo DoS foi extendido, para o que

conhecemos hoje
como DDoS (Distributed Denial of Service).

DDoS (Distributed Denial of

Service)

Os ataques do tipo DDoS consistem geralmente em enviar

para uma
nica mquina ou rede, milhes de pacotes de rede ou
requisies de servio,
em um dado momento. Obviamente, no existe maneira de
gerar este trfego
todo de um nico ponto. Da surgiu a idia do DDoS: vrias
mquinas
espalhadas por toda a Internet, enviando trfego
simultaneamente, para um
mesmo servidor, estao ou rede.
Os ataques do tipo DDoS ficaram conhecidos a partir dos
ataques
recentes realizados contra sites na Internet populares, como
yahoo.com,
amazon.com, zdnet.com, entre outros. Contudo, utilitrios
que exploram ou
criam ataques DDoS, apesar de difceis de obter, j existiam
desde meados de
1999.
A lgica de um ataque DDoS bem simples. Imagine um
servidor de
pginas web, que normalmente recebe 100.000 acessos por
dia. Agora,
imagine que 200 ou 300 computadores espalhados pela
Internet, ao mesmo
tempo, e continuamente, enviem requisies de acesso
pgina. Dependendo
do nmero de requisies, o servidor poder deixar de
responder simplesmente
porque chegou ao seu limite de conexes.
www.invasao.com.br

Existem outros tipos de pacotes ou requisies de conexo

que tem uma
eficcia muito maior do que uma simples requisio de
acesso web. Contudo, o
segredo est em como gerar este trfego ou requisies, de
vrias mquinas
espalhadas pela Internet. Isto feito atravs de 2
componentes de software: o
agente ou server (software, programa ou daemon que
executado nas
mquinas espalhadas pela Internet), e o cliente
(componente que controla a
ao dos agentes).
Os agentes ou servers so colocados para rodar em
servidores
espalhados pela Internet por hackers, que invadem os
sistemas. Existe uma
ferramenta de ataque DDoS chamada trin00 onde o agente
um vrus para a
plataforma Windows ( colocado em execuo em
computadores como um
trojan ou cavalo-de-tria). Uma vez disseminados os
agentes, o hacker
atravs do cliente, envia um comando de ataque para os
agentes, ao mesmo
tempo, atacarem uma determinada rede ou mquina.

Trin00, TFN (Tribe Flood

Network, Schaft)

Estes so 3 exemplos clssicos de ferramentas de ataque

DDoS. O trin00
j foi portado para a plataforma Windows, enquanto o TFN
o mais usado. J
o Schaft, apesar de relativamente antigo, bem mais raro
de ser achado.
Atualmente, existe uma forma do agente do trin00 que
infecta computadores
como um cavalo-de-tria. J o TFN possui uma verso
chamada TFN2K, com

vrias melhorias, incluindo at criptografia da conversao

entre o cliente e os
agentes, de forma a burlar a deteco destas ferramentas.
Em ambientes corporativos ligados Intenret, a forma mais
comum de
deteco atravs da quantidade de trfego. Na maioria das
redes que
possuem monitorao de trfego, a caracterstica ser uma
srie de tentativas
de conexo, ou trfego, gerado de diversas mquinas da
rede interna, paraum
nico endereo na Internet.
A regra bsica impedir trfego no autorizado, no s
entrando na
rede, mas tambm, a partir dela.
No anexo 9, existem 2 documentos bastante interessantes
sobre ataques
DDoS.

IP Spoofing

A tcnica de spoofing possui uma lgica bastante simples.

Muitos
servios antigos que so executados em hosts UNIX
dependem de uma relao
de confiana, baseada no endereo de rede de um
determinado host. Digamos
www.invasao.com.br
que um servio determinado, s aceite comandos ou
conexes de um
computador que esteja em um determinado endereo IP pr
configurado. A
tcnica de spoofing consiste em personificar este
computador na qual a vtima
confia. Basicamente, precisa-se ter o endereo IP da vtima,
o endereo IP do
computador confiado, ter algum modo de tirar o
computador confiado do
ar, saber como quebrar o nmero de sequncia TCP da
vtima. Teoricamente,

quaquer servio que tenha sua segurana dependente

apenas da confirmao
de um endereo origem de rede, vulnervel a este tipo de
ataque. uma
tcnica bastante apurada, e que requer geralmente uma
certa dedicao. No
anexo 10, a tcnica e descrita em detalhes em um timo
whitepaper.
6. Seu Computador Foi Invadido ?
A primeira reao natural desligar o computador
imediatamente.
Contudo, apesar de parecer ser algo lgico para um usurio
final, em uma
empresa definitivamente no a melhor abordagem.
O Que Fazer ?

Usurio final

O usurio ter muita dificuldade de detectar que foi

invadido. A no ser
que o hacker wannabe deixe sua assinatura dentro do
computador, o tpico
usurio na grande maioria das vezes sequer saber que
algum mexeu em seus
arquivos, a no ser qe possua algum utilitrio para detectar
uma invaso. Em
todo caso, se isto for verdade, o usurio acabou de provar
que o programa no
funciona (...).
A primeira coisa que deve ser feita instalar um bom antivirus e
execut-lo fazendo uma varredura em todo o sistema. Isso
eliminar a
possibilidade de cavalos-de-tria. Caso no ache nada, ento
muito provvel
que, se o seu computador Windows, ele foi invadido pelo
compartilhamento
de arquivos e impressoras para redes Microsoft, ou por
algum servio que
esteja sendo executado, como FTP ou HTTP.

Usurio Corporativo

Neste caso, o administrador da rede deve ser notificado

IMEDIATAMENTE. NO DESLIGUE, ou desconecte o
computador! Parte da
www.invasao.com.br
anlise que ser feita depende inteiramente do fato de que o
hacker ainda no
sabe que foi descoberto. Simplesmente chame o
administrador. Ele tomar
alguma abordagem.
Precaues
Jamais fale com estranhos na rua, ou aceite qualquer
coisa de um estranho.
Mais uma vez, lembre-se que segurana um hbito. Se
seguir os
procedimentos relacionados aqui, dificilmente algum
invadir seu computador.
Contudo, mesmo que voc siga estes procedimentos,
lembre-se tambm da
segurana local. No adianta tomar nenhuma precauo e
deixar algum mexer
no seu computador inadvertidamente, ou sem
acompanhamento. Da mesma
forma, jamais use um computador compartilhado para
digitar senhas ou
informaes sensveis, MESMO QUE lhe dem todas as
seguranas possveis e
imaginveis.

Anlise Forense

Assim como em qualquer estudo criminalstico, o estudo

srio da
criminalidade envolvendo informtica tambm tem seu ramo
de anlise forense.
Contudo, pela prpria informalidade do ambiente de
informtica nas empresas,
e pela ausncia de um corpo de estudo criminalstico na
polcia, o assunto
tratado como conto de fadas.

Grandes empresas que possuam uma infra-estrutura de TI

proporcional,
tero provavelmente sua prpria equipe de TI, de segurana,
e,
consequentemente, de anlise forense. Estudos mostram
que a maioria dos
ataques partem de dentro da empresa. Levando isso em
considerao, faz-se
necessria a presena de uma equipe que estude casos
como por exemplo,
proliferao de vrus. Porm, o objetivo principal da anlise
a investigao de
uma falha, com a inteno de colher evidncias, que ajudem
no processo de
responsabilizao, bem como no reparo dos danos e da
prpria falha.
O trabalho do investigador forense baseado em provas
digitais, dados
armazenados em sistemas de informtica. A caracterstica
destes dados sua
fcil volatibilidade. Dados podem ser alterados com muita
facilidade,
estragando uma prova crucial, ou incriminando quem no
tem nada a ver com
a histria.
O especialista em segurana deve:
www.invasao.com.br
Colocar na mesma rede do computador / sistema
comprometido um
outro computador, geralmente um notebook, e analisar o
trfego
Desconectar o computador da rede
Analisar cada processo que o computador possui no ar
Tentar recuperar cada log possvel, retir-lo do computador
e guard-lo
em um local seguro
S ento o computador poder ser desligado.

Firewall (Incluindo Personal

Firewall)

Como o nome sugere (do ingls, parede ou porta corta

fogo), os
firewalls so esquemas de hardware, software, ou os dois
juntos, capazes de,
baseados em caractersticas do trfego, permitir ou no a
passagem deste
trfego. Basicamente, o firewall analisa informaes como
endereo de origem,
endereo de destino, transporte, protocolo, e servio ou
porta. Para cada
pacote que passar pelo firewall, ele consultar uma ACL
(Access Control List, ou
lista de controle de acessos), que uma espcie de tabela
de regras, que
contm informaes sobre que tipo de pacote pode ou no
passar. Baseado
nesta informao, rejeita ou repassa o dado. Contudo, ao
contrrio do que
muitos pensam, um firewall no apenas UM produto, seja
hardware ou
software. O firewall um CONJUNTO de componentes,
geralmente compostos
por hardware e software.
Para que um esquema de firewall seja eficiente, algumas
regras devem
ser observadas:
1. todo trfego entre as redes PRECISA passar pelo firewall
ou filtragem
2. deve existir alguma forma de reporting ou log, para se ter
uma idia de
que tipo de trfego est sendo rejeitado
3. O firewall em si deve ser imune penetrao / invaso
(deve rodar o
cdigo mais simples possvel, e a menor quantidade de
cdigo possvel)
www.invasao.com.br

A seguir, vemos um esquema simples de firewall:

Existem outros modelos para uso com firewalls. O modelo
mais eficiente
o de zona desmilitarizada. Nele, servidores e
computadores crticos so
protegidos tanto da rede interna quanto da rede externa.
Veja:
Existem alguns produtos, ou solues de software bastante
interessantes, que tentam implementar o mesmo princpio
de um firewall em
seu computador. Estes programas so chamados de Personal
Firewalls, e so
bem baratos, ou de graa. Alguns deles:

ZoneAlarm

Muito bom produto, um dos melhores, e gratuito. Ainda est

em beta,
mas bem estvel. No recomendo a sua instalao em um
computador
Windows 2000 com mais de um processador.

Norton Internet Security

2000

http://www.symantec.com/sabu/nis/
Fantstico produto da Symantec, aclamado por diversas
revistas e
publicaes especializadas. O ncleo do componente de
filtragem veio de outro
produto, o atGuard, da WRQ, que era vendido at o final do
ano passado. A
Symantec licenciou o produto e construiu essa suite de
proteo. Inclui at
anti-virus.
Para quem usa Linux, por padro, o ncleo do sistema possui
filtragem
de pacotes. Atualmente, a ferramenta usada (no caso do
RedHat) o IPChains.
Firewalls: Filtragem
Internet

Rede Segura
Firewall Firewall
Invasor Invasor
Invasor Invasor
Permitido Permitido
www.invasao.com.br

IDS (Intrusion Detection

Systems)

Os IDS so sistemas avanados capazes de detectar, em

tempo real,
quando um ataque est sendo realizado e, baseado nas
caractersticas do
ataque, alterar sua configurao ou remodel-la de acordo
com as
necessidades, e at avisar o administrador do ambiente
sobre o ataque.
Sistemas de IDS so geralmente caros, e exigem certas
modificaes na rede.
Na maioria das vezes est acoplado a um sistema de
firewall, ou possui este
embutido.
Os IDS so sistemas descentralizados, com a filosofia de
agentes e
servidores. Componentes instalados nos equipamentos,
estaes de trabalho e
/ ou servidores, monitoram as atividades da rede, e reportam
a um servidor.
Este servidor, obedecendo a uma srie de regras de
comportamento, toma a
atitude designada para cada tipo de ocorrncia.
Existem tambm computadores ou agentes autnomos, que
possuem a
nica funo de analisar todo o trfego da rede e submeter
os resultados para
o servidor central. Estes agentes funcionam porque numa
rede ethernet
(apdro usado em 98% das redes locais) todo o trfeog
compartilhado.

Portanto, este agente ter sua interface de rede em modo

promscuo, apenas
para capturar todo o trfego, ou sniffar a rede, a procura
de algum padro
suspeito.
Para maiores informaes, existe um timo documento sobre
IDS que
pode ser acessado em:
http://www.sans.org/newlook/resources/IDFAQ/ID_FAQ.htm
-- x -Trust no one. Be afraid, be very afraid.
(81) 3221-9116 / 3221-9124
www.invasao.com.br
www.fuctura.com.br