24/01/2017 CartilhadeSeguranaAtaquesnaInternet

3.AtaquesnaInternet

AtaquescostumamocorrernaInternetcomdiversosobjetivos,visando
diferentesalvoseusandovariadastcnicas.Qualquerservio,computador
ouredequesejaacessvelviaInternetpodeseralvodeumataque,assim
comoqualquercomputadorcomacessoInternetpodeparticipardeum
ataque.

OsmotivosquelevamosatacantesadesferirataquesnaInternetso
bastantediversos,variandodasimplesdiversoatarealizaodeaes
criminosas.Algunsexemplosso:

Demonstraodepoder:mostraraumaempresaqueelapodeser
invadidaouterosserviossuspensose,assim,tentarvenderservios
ouchantagelaparaqueoataquenoocorranovamente.
Prestgio:vangloriarse,peranteoutrosatacantes,porterconseguido
invadircomputadores,tornarserviosinacessveisoudesfigurarsites
consideradosvisadosoudifceisdeserematacadosdisputarcom
outrosatacantesougruposdeatacantespararevelarquemconsegue
realizaromaiornmerodeataquesouseroprimeiroaconseguir
atingirumdeterminadoalvo.
Motivaesfinanceiras:coletareutilizarinformaesconfidenciaisdeusuriosparaaplicargolpes(maisdetalhesnoCaptulo
GolpesnaInternet).
Motivaesideolgicas:tornarinacessvelouinvadirsitesquedivulguemcontedocontrrioopiniodoatacantedivulgar
mensagensdeapoiooucontrriasaumadeterminadaideologia.
Motivaescomerciais:tornarinacessvelouinvadirsitesecomputadoresdeempresasconcorrentes,paratentarimpediro
acessodosclientesoucomprometerareputaodestasempresas.

http://cartilha.cert.br/ataques/ 1/6
24/01/2017 CartilhadeSeguranaAtaquesnaInternet

Paraalcanarestesobjetivososatacantescostumamusartcnicas,comoasdescritasnasprximassees.

3.1.Exploraodevulnerabilidades

Umavulnerabilidadedefinidacomoumacondioque,quandoexploradaporumatacante,poderesultaremumaviolaode
segurana.Exemplosdevulnerabilidadessofalhasnoprojeto,naimplementaoounaconfiguraodeprogramas,serviosou
equipamentosderede.

Umataquedeexploraodevulnerabilidadesocorrequandoumatacante,utilizandosedeumavulnerabilidade,tentaexecutaraes
maliciosas,comoinvadirumsistema,acessarinformaesconfidenciais,dispararataquescontraoutroscomputadoresoutornarum
servioinacessvel.

3.2.Varreduraemredes(Scan)

Varreduraemredes,ouscan1,umatcnicaqueconsisteemefetuarbuscasminuciosasemredes,comoobjetivodeidentificar
computadoresativosecoletarinformaessobreelescomo,porexemplo,serviosdisponibilizadoseprogramasinstalados.Combase
nasinformaescoletadaspossvelassociarpossveisvulnerabilidadesaosserviosdisponibilizadoseaosprogramasinstaladosnos
computadoresativosdetectados.

Avarreduraemredeseaexploraodevulnerabilidadesassociadaspodemserusadasdeforma:

Legtima:porpessoasdevidamenteautorizadas,paraverificaraseguranadecomputadoreseredese,assim,tomarmedidas
corretivasepreventivas.
Maliciosa:poratacantes,paraexplorarasvulnerabilidadesencontradasnosserviosdisponibilizadosenosprogramas
instaladosparaaexecuodeatividadesmaliciosas.Osatacantestambmpodemutilizaroscomputadoresativosdetectados
comopotenciaisalvosnoprocessodepropagaoautomticadecdigosmaliciososeemataquesdeforabruta(maisdetalhes
noCaptuloCdigosMaliciosos(Malware)enaSeo3.5,respectivamente).

[1]Noconfundascancomscam.Scams,com"m",soesquemasparaenganarumusurio,geralmente,comfinalidadedeobter
vantagensfinanceiras(maisdetalhesnoCaptuloGolpesnaInternet).voltar

3.3.Falsificaodeemail(Emailspoofing)

Falsificaodeemail,ouemailspoofing,umatcnicaqueconsisteemalterarcamposdocabealhodeumemail,deformaa
aparentarqueelefoienviadodeumadeterminadaorigemquando,naverdade,foienviadodeoutra.

http://cartilha.cert.br/ataques/ 2/6
24/01/2017 CartilhadeSeguranaAtaquesnaInternet

EstatcnicapossveldevidoacaractersticasdoprotocoloSMTP(SimpleMailTransferProtocol)quepermitemquecamposdo
cabealho,como"From:"(endereodequemenviouamensagem),"ReplyTo"(endereoderespostadamensagem)e"ReturnPath"
(endereoparaondepossveiserrosnoenviodamensagemsoreportados),sejamfalsificados.

Ataquesdestetiposobastanteusadosparapropagaodecdigosmaliciosos,enviodespameemgolpesdephishing.Atacantes
utilizamsedeendereosdeemailcoletadosdecomputadoresinfectadosparaenviarmensagensetentarfazercomqueosseus
destinatriosacreditemqueelaspartiramdepessoasconhecidas.

Exemplosdeemailscomcamposfalsificadossoaquelesrecebidoscomosendo:

dealgumconhecido,solicitandoquevoccliqueemumlinkouexecuteumarquivoanexo
doseubanco,solicitandoquevocsigaumlinkfornecidonaprpriamensagemeinformedadosdasuacontabancria
doadministradordoserviodeemailquevocutiliza,solicitandoinformaespessoaiseameaandobloquearasuacontacaso
vocnoasenvie.

Voctambmpodejterobservadosituaesondeoseuprprioendereodeemailfoiindevidamenteutilizado.Algunsindciosdisto
so:

vocreceberespostasdeemailsquevocnuncaenviou
vocrecebeemailsaparentementeenviadosporvocmesmo,semquevoctenhafeitoisto
vocrecebemensagensdedevoluodeemailsquevocnuncaenviou,reportandoerroscomousuriodesconhecidoecaixa
deentradalotada(cotaexcedida).

3.4.Interceptaodetrfego(Sniffing)

Interceptaodetrfego,ousniffing,umatcnicaqueconsisteeminspecionarosdadostrafegadosemredesdecomputadores,por
meiodousodeprogramasespecficoschamadosdesniffers.Estatcnicapodeserutilizadadeforma:

Legtima:poradministradoresderedes,paradetectarproblemas,analisardesempenhoemonitoraratividadesmaliciosas
relativasaoscomputadoresouredesporelesadministrados.
Maliciosa:poratacantes,paracapturarinformaessensveis,comosenhas,nmerosdecartodecrditoeocontedode
arquivosconfidenciaisqueestejamtrafegandopormeiodeconexesinseguras,ouseja,semcriptografia.

Notequeasinformaescapturadasporestatcnicasoarmazenadasnaformacomotrafegam,ouseja,informaesquetrafegam
criptografadasapenasseroteisaoatacanteseeleconseguirdecodificlas(maisdetalhesnoCaptuloCriptografia).

3.5.Forabruta(Bruteforce)
http://cartilha.cert.br/ataques/ 3/6
24/01/2017 CartilhadeSeguranaAtaquesnaInternet

Umataquedeforabruta,oubruteforce,consisteemadivinhar,portentativaeerro,umnomedeusurioesenhae,assim,executar
processoseacessarsites,computadoreseserviosemnomeecomosmesmosprivilgiosdesteusurio.

Qualquercomputador,equipamentoderedeouservioquesejaacessvelviaInternet,comumnomedeusurioeumasenha,podeser
alvodeumataquedeforabruta.Dispositivosmveis,queestejamprotegidosporsenha,almdepoderemseratacadospelarede,
tambmpodemseralvodestetipodeataquecasooatacantetenhaacessofsicoaeles.

Seumatacantetiverconhecimentodoseunomedeusurioedasuasenhaelepodeefetuaraesmaliciosasemseunomecomo,por
exemplo:

trocarasuasenha,dificultandoquevocacessenovamenteositeoucomputadorinvadido
invadiroserviodeemailquevocutilizaeteracessoaocontedodassuasmensagensesualistadecontatos,almde
poderenviarmensagensemseunome
acessarasuaredesocialeenviarmensagensaosseusseguidorescontendocdigosmaliciososoualterarassuasopesde
privacidade
invadiroseucomputadore,deacordocomaspermissesdoseuusurio,executaraes,comoapagararquivos,obter
informaesconfidenciaiseinstalarcdigosmaliciosos.

Mesmoqueoatacantenoconsigadescobrirasuasenha,vocpodeterproblemasaoacessarasuacontacasoelatenhasofridoum
ataquedeforabruta,poismuitossistemasbloqueiamascontasquandovriastentativasdeacessosemsucessosorealizadas.

Apesardosataquesdeforabrutapoderemserrealizadosmanualmente,nagrandemaioriadoscasos,elessorealizadoscomouso
deferramentasautomatizadasfacilmenteobtidasnaInternetequepermitemtornaroataquebemmaisefetivo.

Astentativasdeadivinhaocostumamserbaseadasem:

dicionriosdediferentesidiomasequepodemserfacilmenteobtidosnaInternet
listasdepalavrascomumenteusadas,comopersonagensdefilmesenomesdetimesdefutebol
substituiesbviasdecaracteres,comotrocar"a"por"@"e"o"por"0"'
sequnciasnumricasedeteclado,como"123456","qwert"e"1qaz2wsx"
informaespessoais,deconhecimentoprviodoatacanteoucoletadasnaInternetemredessociaiseblogs,comonome,
sobrenome,datasenmerosdedocumentos.

Umataquedeforabruta,dependendodecomorealizado,poderesultaremumataquedenegaodeservio,devidosobrecarga
produzidapelagrandequantidadedetentativasrealizadasemumpequenoperododetempo(maisdetalhesnoCaptuloContase
senhas).

3.6.Desfiguraodepgina(Defacement)
http://cartilha.cert.br/ataques/ 4/6
24/01/2017 CartilhadeSeguranaAtaquesnaInternet

Desfiguraodepgina,defacementoupichao,umatcnicaqueconsisteemalterarocontedodapginaWebdeumsite.

Asprincipaisformasqueumatacante,nestecasotambmchamadodedefacer,podeutilizarparadesfigurarumapginaWebso:

explorarerrosdaaplicaoWeb
explorarvulnerabilidadesdoservidordeaplicaoWeb
explorarvulnerabilidadesdalinguagemdeprogramaooudospacotesutilizadosnodesenvolvimentodaaplicaoWeb
invadiroservidorondeaaplicaoWebesthospedadaealterardiretamenteosarquivosquecompemosite
furtarsenhasdeacessointerfaceWebusadaparaadministraoremota.

Paraganharmaisvisibilidade,chamarmaisatenoeatingirmaiornmerodevisitantes,geralmente,osatacantesalteramapgina
principaldosite,pormpginasinternastambmpodemseralteradas.

3.7.Negaodeservio(DoSeDDoS)

Negaodeservio,ouDoS(DenialofService),umatcnicapelaqualumatacanteutilizaumcomputadorparatirardeoperao
umservio,umcomputadorouumaredeconectadaInternet.Quandoutilizadadeformacoordenadaedistribuda,ouseja,quandoum
conjuntodecomputadoresutilizadonoataque,recebeonomedenegaodeserviodistribudo,ouDDoS(DistributedDenialof
Service).

Oobjetivodestesataquesnoinvadirenemcoletarinformaes,massimexaurirrecursosecausarindisponibilidadesaoalvo.
Quandoistoocorre,todasaspessoasquedependemdosrecursosafetadossoprejudicadas,poisficamimpossibilitadasdeacessar
ourealizarasoperaesdesejadas.

Noscasosjregistradosdeataques,osalvosficaramimpedidosdeoferecerserviosduranteoperodoemqueelesocorreram,mas,
aofinal,voltaramaoperarnormalmente,semquetivessehavidovazamentodeinformaesoucomprometimentodesistemasou
computadores.

Umapessoapodevoluntariamenteusarferramentasefazercomqueseucomputadorsejautilizadoemataques.Agrandemaioriados
computadores,porm,participadosataquessemoconhecimentodeseudono,porestarinfectadoefazendopartedebotnets(mais
detalhesnaSeo4.3doCaptuloCdigosMaliciosos(Malware)).

Ataquesdenegaodeserviopodemserrealizadospordiversosmeios,como:

peloenviodegrandequantidadederequisiesparaumservio,consumindoosrecursosnecessriosaoseufuncionamento
(processamento,nmerodeconexessimultneas,memriaeespaoemdisco,porexemplo)eimpedindoqueasrequisies
dosdemaisusuriossejamatendidas

http://cartilha.cert.br/ataques/ 5/6
24/01/2017 CartilhadeSeguranaAtaquesnaInternet

pelageraodegrandetrfegodedadosparaumarede,ocupandotodaabandadisponveletornandoindisponvelqualquer
acessoacomputadoresouserviosdestarede
pelaexploraodevulnerabilidadesexistentesemprogramas,quepodemfazercomqueumdeterminadoserviofique
inacessvel.

Nassituaesondehsaturaoderecursos,casoumservionotenhasidobemdimensionado,elepodeficarinoperanteaotentar
atenderasprpriassolicitaeslegtimas.Porexemplo,umsitedetransmissodosjogosdaCopadeMundopodenosuportaruma
grandequantidadedeusuriosquequeiramassistiraosjogosfinaiseparardefuncionar.

3.8.Preveno

OquedefineaschancesdeumataquenaInternetserounobemsucedidooconjuntodemedidaspreventivastomadaspelos
usurios,desenvolvedoresdeaplicaeseadministradoresdoscomputadores,servioseequipamentosenvolvidos.

Secadaumfizerasuaparte,muitosdosataquesrealizadosviaInternetpodemserevitadosou,aomenos,minimizados.

Apartequecabeavoc,comousuriodaInternet,protegerosseusdados,fazerusodosmecanismosdeproteodisponveise
manteroseucomputadoratualizadoelivredecdigosmaliciosos.Aofazeristo,vocestarcontribuindoparaaseguranageralda
Internet,pois:

quantomenoraquantidadedecomputadoresvulnerveiseinfectados,menorserapotnciadasbotnetsemenoseficazessero
osataquesdenegaodeservio(maisdetalhesnaSeo4.3,doCaptuloCdigosMaliciosos(Malware))
quantomaisconscientedosmecanismosdeseguranavocestiver,menoresseroaschancesdesucessodosatacantes(mais
detalhesnoCaptuloMecanismosdesegurana)
quantomelhoresforemassuassenhas,menoresseroaschancesdesucessodeataquesdeforabrutae,consequentemente,
desuascontassereminvadidas(maisdetalhesnoCaptuloContasesenhas)
quantomaisosusuriosusaremcriptografiaparaprotegerosdadosarmazenadosnoscomputadoresouaquelestransmitidos
pelaInternet,menoresseroaschancesdetrfegoemtextoclaroserinterceptadoporatacantes(maisdetalhesnoCaptulo
Criptografia)
quantomenoraquantidadedevulnerabilidadesexistentesemseucomputador,menoresseroaschancesdeeleserinvadidoou
infectado(maisdetalhesnoCaptuloSeguranadecomputadores).

FaasuaparteecontribuaparaaseguranadaInternet,incluindoasuaprpria!

CartilhadeSeguranaparaInternetCERT.br$Date:2012/06/0301:41:42$

http://cartilha.cert.br/ataques/ 6/6