Escolar Documentos
Profissional Documentos
Cultura Documentos
3.AtaquesnaInternet
AtaquescostumamocorrernaInternetcomdiversosobjetivos,visando
diferentesalvoseusandovariadastcnicas.Qualquerservio,computador
ouredequesejaacessvelviaInternetpodeseralvodeumataque,assim
comoqualquercomputadorcomacessoInternetpodeparticipardeum
ataque.
OsmotivosquelevamosatacantesadesferirataquesnaInternetso
bastantediversos,variandodasimplesdiversoatarealizaodeaes
criminosas.Algunsexemplosso:
Demonstraodepoder:mostraraumaempresaqueelapodeser
invadidaouterosserviossuspensose,assim,tentarvenderservios
ouchantagelaparaqueoataquenoocorranovamente.
Prestgio:vangloriarse,peranteoutrosatacantes,porterconseguido
invadircomputadores,tornarserviosinacessveisoudesfigurarsites
consideradosvisadosoudifceisdeserematacadosdisputarcom
outrosatacantesougruposdeatacantespararevelarquemconsegue
realizaromaiornmerodeataquesouseroprimeiroaconseguir
atingirumdeterminadoalvo.
Motivaesfinanceiras:coletareutilizarinformaesconfidenciaisdeusuriosparaaplicargolpes(maisdetalhesnoCaptulo
GolpesnaInternet).
Motivaesideolgicas:tornarinacessvelouinvadirsitesquedivulguemcontedocontrrioopiniodoatacantedivulgar
mensagensdeapoiooucontrriasaumadeterminadaideologia.
Motivaescomerciais:tornarinacessvelouinvadirsitesecomputadoresdeempresasconcorrentes,paratentarimpediro
acessodosclientesoucomprometerareputaodestasempresas.
http://cartilha.cert.br/ataques/ 1/6
24/01/2017 CartilhadeSeguranaAtaquesnaInternet
Paraalcanarestesobjetivososatacantescostumamusartcnicas,comoasdescritasnasprximassees.
3.1.Exploraodevulnerabilidades
Umavulnerabilidadedefinidacomoumacondioque,quandoexploradaporumatacante,poderesultaremumaviolaode
segurana.Exemplosdevulnerabilidadessofalhasnoprojeto,naimplementaoounaconfiguraodeprogramas,serviosou
equipamentosderede.
Umataquedeexploraodevulnerabilidadesocorrequandoumatacante,utilizandosedeumavulnerabilidade,tentaexecutaraes
maliciosas,comoinvadirumsistema,acessarinformaesconfidenciais,dispararataquescontraoutroscomputadoresoutornarum
servioinacessvel.
3.2.Varreduraemredes(Scan)
Varreduraemredes,ouscan1,umatcnicaqueconsisteemefetuarbuscasminuciosasemredes,comoobjetivodeidentificar
computadoresativosecoletarinformaessobreelescomo,porexemplo,serviosdisponibilizadoseprogramasinstalados.Combase
nasinformaescoletadaspossvelassociarpossveisvulnerabilidadesaosserviosdisponibilizadoseaosprogramasinstaladosnos
computadoresativosdetectados.
Avarreduraemredeseaexploraodevulnerabilidadesassociadaspodemserusadasdeforma:
Legtima:porpessoasdevidamenteautorizadas,paraverificaraseguranadecomputadoreseredese,assim,tomarmedidas
corretivasepreventivas.
Maliciosa:poratacantes,paraexplorarasvulnerabilidadesencontradasnosserviosdisponibilizadosenosprogramas
instaladosparaaexecuodeatividadesmaliciosas.Osatacantestambmpodemutilizaroscomputadoresativosdetectados
comopotenciaisalvosnoprocessodepropagaoautomticadecdigosmaliciososeemataquesdeforabruta(maisdetalhes
noCaptuloCdigosMaliciosos(Malware)enaSeo3.5,respectivamente).
[1]Noconfundascancomscam.Scams,com"m",soesquemasparaenganarumusurio,geralmente,comfinalidadedeobter
vantagensfinanceiras(maisdetalhesnoCaptuloGolpesnaInternet).voltar
3.3.Falsificaodeemail(Emailspoofing)
Falsificaodeemail,ouemailspoofing,umatcnicaqueconsisteemalterarcamposdocabealhodeumemail,deformaa
aparentarqueelefoienviadodeumadeterminadaorigemquando,naverdade,foienviadodeoutra.
http://cartilha.cert.br/ataques/ 2/6
24/01/2017 CartilhadeSeguranaAtaquesnaInternet
EstatcnicapossveldevidoacaractersticasdoprotocoloSMTP(SimpleMailTransferProtocol)quepermitemquecamposdo
cabealho,como"From:"(endereodequemenviouamensagem),"ReplyTo"(endereoderespostadamensagem)e"ReturnPath"
(endereoparaondepossveiserrosnoenviodamensagemsoreportados),sejamfalsificados.
Ataquesdestetiposobastanteusadosparapropagaodecdigosmaliciosos,enviodespameemgolpesdephishing.Atacantes
utilizamsedeendereosdeemailcoletadosdecomputadoresinfectadosparaenviarmensagensetentarfazercomqueosseus
destinatriosacreditemqueelaspartiramdepessoasconhecidas.
Exemplosdeemailscomcamposfalsificadossoaquelesrecebidoscomosendo:
dealgumconhecido,solicitandoquevoccliqueemumlinkouexecuteumarquivoanexo
doseubanco,solicitandoquevocsigaumlinkfornecidonaprpriamensagemeinformedadosdasuacontabancria
doadministradordoserviodeemailquevocutiliza,solicitandoinformaespessoaiseameaandobloquearasuacontacaso
vocnoasenvie.
Voctambmpodejterobservadosituaesondeoseuprprioendereodeemailfoiindevidamenteutilizado.Algunsindciosdisto
so:
vocreceberespostasdeemailsquevocnuncaenviou
vocrecebeemailsaparentementeenviadosporvocmesmo,semquevoctenhafeitoisto
vocrecebemensagensdedevoluodeemailsquevocnuncaenviou,reportandoerroscomousuriodesconhecidoecaixa
deentradalotada(cotaexcedida).
3.4.Interceptaodetrfego(Sniffing)
Interceptaodetrfego,ousniffing,umatcnicaqueconsisteeminspecionarosdadostrafegadosemredesdecomputadores,por
meiodousodeprogramasespecficoschamadosdesniffers.Estatcnicapodeserutilizadadeforma:
Legtima:poradministradoresderedes,paradetectarproblemas,analisardesempenhoemonitoraratividadesmaliciosas
relativasaoscomputadoresouredesporelesadministrados.
Maliciosa:poratacantes,paracapturarinformaessensveis,comosenhas,nmerosdecartodecrditoeocontedode
arquivosconfidenciaisqueestejamtrafegandopormeiodeconexesinseguras,ouseja,semcriptografia.
Notequeasinformaescapturadasporestatcnicasoarmazenadasnaformacomotrafegam,ouseja,informaesquetrafegam
criptografadasapenasseroteisaoatacanteseeleconseguirdecodificlas(maisdetalhesnoCaptuloCriptografia).
3.5.Forabruta(Bruteforce)
http://cartilha.cert.br/ataques/ 3/6
24/01/2017 CartilhadeSeguranaAtaquesnaInternet
Umataquedeforabruta,oubruteforce,consisteemadivinhar,portentativaeerro,umnomedeusurioesenhae,assim,executar
processoseacessarsites,computadoreseserviosemnomeecomosmesmosprivilgiosdesteusurio.
Qualquercomputador,equipamentoderedeouservioquesejaacessvelviaInternet,comumnomedeusurioeumasenha,podeser
alvodeumataquedeforabruta.Dispositivosmveis,queestejamprotegidosporsenha,almdepoderemseratacadospelarede,
tambmpodemseralvodestetipodeataquecasooatacantetenhaacessofsicoaeles.
Seumatacantetiverconhecimentodoseunomedeusurioedasuasenhaelepodeefetuaraesmaliciosasemseunomecomo,por
exemplo:
trocarasuasenha,dificultandoquevocacessenovamenteositeoucomputadorinvadido
invadiroserviodeemailquevocutilizaeteracessoaocontedodassuasmensagensesualistadecontatos,almde
poderenviarmensagensemseunome
acessarasuaredesocialeenviarmensagensaosseusseguidorescontendocdigosmaliciososoualterarassuasopesde
privacidade
invadiroseucomputadore,deacordocomaspermissesdoseuusurio,executaraes,comoapagararquivos,obter
informaesconfidenciaiseinstalarcdigosmaliciosos.
Mesmoqueoatacantenoconsigadescobrirasuasenha,vocpodeterproblemasaoacessarasuacontacasoelatenhasofridoum
ataquedeforabruta,poismuitossistemasbloqueiamascontasquandovriastentativasdeacessosemsucessosorealizadas.
Apesardosataquesdeforabrutapoderemserrealizadosmanualmente,nagrandemaioriadoscasos,elessorealizadoscomouso
deferramentasautomatizadasfacilmenteobtidasnaInternetequepermitemtornaroataquebemmaisefetivo.
Astentativasdeadivinhaocostumamserbaseadasem:
dicionriosdediferentesidiomasequepodemserfacilmenteobtidosnaInternet
listasdepalavrascomumenteusadas,comopersonagensdefilmesenomesdetimesdefutebol
substituiesbviasdecaracteres,comotrocar"a"por"@"e"o"por"0"'
sequnciasnumricasedeteclado,como"123456","qwert"e"1qaz2wsx"
informaespessoais,deconhecimentoprviodoatacanteoucoletadasnaInternetemredessociaiseblogs,comonome,
sobrenome,datasenmerosdedocumentos.
Umataquedeforabruta,dependendodecomorealizado,poderesultaremumataquedenegaodeservio,devidosobrecarga
produzidapelagrandequantidadedetentativasrealizadasemumpequenoperododetempo(maisdetalhesnoCaptuloContase
senhas).
3.6.Desfiguraodepgina(Defacement)
http://cartilha.cert.br/ataques/ 4/6
24/01/2017 CartilhadeSeguranaAtaquesnaInternet
Desfiguraodepgina,defacementoupichao,umatcnicaqueconsisteemalterarocontedodapginaWebdeumsite.
Asprincipaisformasqueumatacante,nestecasotambmchamadodedefacer,podeutilizarparadesfigurarumapginaWebso:
explorarerrosdaaplicaoWeb
explorarvulnerabilidadesdoservidordeaplicaoWeb
explorarvulnerabilidadesdalinguagemdeprogramaooudospacotesutilizadosnodesenvolvimentodaaplicaoWeb
invadiroservidorondeaaplicaoWebesthospedadaealterardiretamenteosarquivosquecompemosite
furtarsenhasdeacessointerfaceWebusadaparaadministraoremota.
Paraganharmaisvisibilidade,chamarmaisatenoeatingirmaiornmerodevisitantes,geralmente,osatacantesalteramapgina
principaldosite,pormpginasinternastambmpodemseralteradas.
3.7.Negaodeservio(DoSeDDoS)
Negaodeservio,ouDoS(DenialofService),umatcnicapelaqualumatacanteutilizaumcomputadorparatirardeoperao
umservio,umcomputadorouumaredeconectadaInternet.Quandoutilizadadeformacoordenadaedistribuda,ouseja,quandoum
conjuntodecomputadoresutilizadonoataque,recebeonomedenegaodeserviodistribudo,ouDDoS(DistributedDenialof
Service).
Oobjetivodestesataquesnoinvadirenemcoletarinformaes,massimexaurirrecursosecausarindisponibilidadesaoalvo.
Quandoistoocorre,todasaspessoasquedependemdosrecursosafetadossoprejudicadas,poisficamimpossibilitadasdeacessar
ourealizarasoperaesdesejadas.
Noscasosjregistradosdeataques,osalvosficaramimpedidosdeoferecerserviosduranteoperodoemqueelesocorreram,mas,
aofinal,voltaramaoperarnormalmente,semquetivessehavidovazamentodeinformaesoucomprometimentodesistemasou
computadores.
Umapessoapodevoluntariamenteusarferramentasefazercomqueseucomputadorsejautilizadoemataques.Agrandemaioriados
computadores,porm,participadosataquessemoconhecimentodeseudono,porestarinfectadoefazendopartedebotnets(mais
detalhesnaSeo4.3doCaptuloCdigosMaliciosos(Malware)).
Ataquesdenegaodeserviopodemserrealizadospordiversosmeios,como:
peloenviodegrandequantidadederequisiesparaumservio,consumindoosrecursosnecessriosaoseufuncionamento
(processamento,nmerodeconexessimultneas,memriaeespaoemdisco,porexemplo)eimpedindoqueasrequisies
dosdemaisusuriossejamatendidas
http://cartilha.cert.br/ataques/ 5/6
24/01/2017 CartilhadeSeguranaAtaquesnaInternet
pelageraodegrandetrfegodedadosparaumarede,ocupandotodaabandadisponveletornandoindisponvelqualquer
acessoacomputadoresouserviosdestarede
pelaexploraodevulnerabilidadesexistentesemprogramas,quepodemfazercomqueumdeterminadoserviofique
inacessvel.
Nassituaesondehsaturaoderecursos,casoumservionotenhasidobemdimensionado,elepodeficarinoperanteaotentar
atenderasprpriassolicitaeslegtimas.Porexemplo,umsitedetransmissodosjogosdaCopadeMundopodenosuportaruma
grandequantidadedeusuriosquequeiramassistiraosjogosfinaiseparardefuncionar.
3.8.Preveno
OquedefineaschancesdeumataquenaInternetserounobemsucedidooconjuntodemedidaspreventivastomadaspelos
usurios,desenvolvedoresdeaplicaeseadministradoresdoscomputadores,servioseequipamentosenvolvidos.
Secadaumfizerasuaparte,muitosdosataquesrealizadosviaInternetpodemserevitadosou,aomenos,minimizados.
Apartequecabeavoc,comousuriodaInternet,protegerosseusdados,fazerusodosmecanismosdeproteodisponveise
manteroseucomputadoratualizadoelivredecdigosmaliciosos.Aofazeristo,vocestarcontribuindoparaaseguranageralda
Internet,pois:
quantomenoraquantidadedecomputadoresvulnerveiseinfectados,menorserapotnciadasbotnetsemenoseficazessero
osataquesdenegaodeservio(maisdetalhesnaSeo4.3,doCaptuloCdigosMaliciosos(Malware))
quantomaisconscientedosmecanismosdeseguranavocestiver,menoresseroaschancesdesucessodosatacantes(mais
detalhesnoCaptuloMecanismosdesegurana)
quantomelhoresforemassuassenhas,menoresseroaschancesdesucessodeataquesdeforabrutae,consequentemente,
desuascontassereminvadidas(maisdetalhesnoCaptuloContasesenhas)
quantomaisosusuriosusaremcriptografiaparaprotegerosdadosarmazenadosnoscomputadoresouaquelestransmitidos
pelaInternet,menoresseroaschancesdetrfegoemtextoclaroserinterceptadoporatacantes(maisdetalhesnoCaptulo
Criptografia)
quantomenoraquantidadedevulnerabilidadesexistentesemseucomputador,menoresseroaschancesdeeleserinvadidoou
infectado(maisdetalhesnoCaptuloSeguranadecomputadores).
FaasuaparteecontribuaparaaseguranadaInternet,incluindoasuaprpria!
CartilhadeSeguranaparaInternetCERT.br$Date:2012/06/0301:41:42$
http://cartilha.cert.br/ataques/ 6/6