Universidade Gama Filho

Utilizao de honeypot e estudo comportamental de invasores na administrao da segurana em redes

Braslia

2010

Alan Alves Arajo

Utilizao de honeypot e estudo comportamental de invasores na administrao da segurana em redes

Alan Alves Arajo

Segurana de redes Trabalho de Concluso de Curso

Trabalho de Concluso de Curso apresentado ao Programa de Ensino Distncia Universidade Gama Filho

Utilizao de honeypot e estudo comportamental de invasores na administrao da segurana em redes.

Orientador: Prof. Jlio Noguchi

Braslia 2010

FOLHA DE APROVAO DA MONOGRAFIA

UNIVERSIDADE GAMA FILHO CURSO DE PS-GRADUAO LATO SENSU SEGURANA DE REDES DE COMPUTADORES UTILIZAO DE HONEYPOT E ESTUDO COMPORTAMENTAL DE INVASORES NA ADMINISTRAO DE SEGURANA EM REDES Esta monografia ser examinada e aprovada para a obteno do ttulo de Especializao em Segurana de Redes de Computadores no Programa de Ps-Graduao da Universidade Gama Filho

____________________________________________ Prof. Julio Celso Noguchi Orientador

____________________________________________ Examinador

____________________________________________ Examinador [BRASILIA/DF] [2010]

LISTA DE ILUSTRAES

Figura 2.3.1 Tcnica de Footprint utilizando a INTERNIC para acessar informaes do site www.enom.com Pag. 19 Figura 2.3.2 Varredura utilizando o comando ping. Pag. 21 Figura 2.3.2.2 Varredura utilizando o programa nmap. Pag. 22 Figura 2.3.5 Spoofing utilizando o programa Sterm. Pag. 28 Figura 2.3.5.1 Configurando IP e porta no Sterm para Spoofing. Pag. 29 Figura 2.3.5.2 Resultado do Spoofing usando Sterm. Pag. 30 Figura 4.2.3 Localizao do Hoenypot na rede. Pag. 38

LISTA DE ABREVIATURAS E SIGLAS

DMZ - DeMilitarized Zone ou "zona desmilitarizada" VPN - Virtual Private Network IDS - Intrusion detection system HTTP - Hypertext Transfer Protocol FTP - File Transfer Protocol LAN - Local area network WAN - Wide area network SMPT - Simple Mail Transfer Protocol POP3 - Post Office Protocol IMAP - Internet Message Access Protocol TMRC - Tech Model RailRoad Club INTERNIC - Internet Network Information Center TCP/IP - Transmission Control Protocol/Internet Protocol DNS - Domain Name System MAC - Media Access Control ARP - Address Resolution Protocol IP - Internet Protocol ICMP - Internet Control Message Protocol UDP - User Datagram Protocol SSH - Secure Shell DHCP - Dynamic Host Configuration Protocol

SUMRIO

TEMTICA E PROBLEMA ................................................8 OBJETIVOS .......................................................................9 CAP. I SEGURANA DE REDES ......................................11 CAP. II HACKERS ...............................................................17 CAP. III PROCESSO COGNITIVO .....................................33 CAP. IV UTILIZAO DE HONEYPOT ............................36 CONCLUSO......................................................................43 REFERENCIAL BIBLIOGRFICO.....................................45

Tema:
Segurana de Redes

Delimitao do Tema
Controle social em segurana de redes

Problematizao
Como a utilizao de Honeypot cognitivo pode contribuir para entender e controlar o comportamento hacker na segurana de redes.

Referencial Terico
Sobre o assunto Segurana de redes farei uso da seguinte literatura: -Winters,scott. Northcutt,Stephen.Frederick,Karen.Zeltser,Lenny.Ritchey,Ronald W.Desvendando Segurana de Redes . Ed. Campos . So Paulo - 2002

Sobre o assunto utilizao de Honeypot utilizarei farei uso principalmente da seguinte literatura: -Assuno, Marcos Flvio Arajo. Honeypots e Honeynets-Aprenda a detectar e enganar invasores. Ed. Visual Books. So Paulo-2009.

Para tratar do assunto referente ao processo cognitivo farei uso da seguinte literatura como norteador dos trabalhos: - Foucault, Michel. As palavras e as coisas. Ed Martins. So Paulo. 2007. O livro aborda como o processo cognitivo surge das sucessivas classificaes por similaridade que a sociedade produz ao longo de sua histria.

Para analisarmos o comportamento hacker farei uso de: 8

-Assuno, Marcos Flvio Arajo . Segredos do Hacker tico.Ed. Visual Books So Paulo, 2010, Neste livro o autor expe as tcnicas e comportamento dos Hackers.

Justificativas.
De acordo com as informaes disponibilizadaspelo Honeypot ser possvel ao administrador de segurana conhecer as aes executadas pelo Hacker e implementar medidas que contenham os ataques econtrolem o comportamento daqueles atacantes.

Objetivos

Geral:

Oferecer Segurana de redes uma simulao de servio (honeypot) que possibilite ao administrador, atravs de parmetros cognitivos, entender,antever e controlar o comportamento hacker.

ObjetivosEspecficos

-Mostrar as vantagens da utilizao de Honeypot como tcnica de segurana. -Identificar os principais ataques em redes e o comportamento Hacker. -Apresentar como o processo cognitivo pode oferecer elementos de mudana comportamental de Hackers.

Descrio dos Captulos

1. Segurana de Redes. Neste captulo descreverei os diversas tcnicas existentes na atualidade para a Segurana de redes.

2. Hackers Neste captulo irei expor os principais ataques utilizados pelos Hackers bem como as motivaes deste comportamento.

3. Processo cognitivo Neste captulo irei dissertar sobre como o processo cognitivo pode ser entendido pelos administradores de segurana no sentido de orientar as tcnicas de conteno e controle do comportamento hacker pernicioso.

4. Utilizao de honeypot Neste captulo irei mostrar uma soluo de implementao de um ambiente virtual (honeypot) que possibilite ao administrador, alm de monitorar o comportamento hacker, reconfigurar o sistema direcionando novos ataques uma mudana comportamental.

10

Capitulo 1 Segurana de Redes

O tema segurana de redes por muito tempo discutido nas empresas e no meio tcnico-acadmico por representar uma preocupao de toda a sociedade no que se refere proteo aos ativos e sistemas de informao. A equipe responsvel pela manuteno dos recursos computacionais que ofeream uma segurana de redes efetiva necessita de estar sempre atualizada com as melhores prticas e tcnicas existentes nas organizaes para que os ativos estejam sempre protegidos de ataques. O mercado de informtica e as comunidades livres na internet fornecem ferramentas de controle, anlise e diagnstico de segurana que podem ser de extrema utilidade aos administradores de segurana. Mas necessrio, alm disso, que a equipe tenha um treinamento especfico para algumas ferramentas para que todo o processo de se manter uma rede segura seja otimizado. Profissionais especializados em determinada tcnica de bloqueio de invaso como Firewalls por exemplo possibilitam uma resposta imediata aos ataques nas redes de comunicao. Para entendermos a segurana de redes necessitamos explicitar o conceito de permetro, o permetro, segundo NORTHCUTT:5, a borda fortificada de
nossa rede, que pode incluir o seguinte:

Roteadores Firewalls IDS Dispositivos de VPN Software DMZs e screened subnets

Os Roteadores so os primeiros elementos de um permetro, Segundo IGDUCA os roteadores so os responsveis, entre outras funes, por enviar pacotes de
1dados (mensagens, arquivos etc.) no s pela internet, mas tambm por outras redes, escolhendo o melhor caminho entre os milhes disponveis para interligar dois computadores. Um exemplo para ilustrar: ao apertar o boto Enviar em seu programa de e-mails, como possvel garantir que a

11

mensagem chegar ao destinatrio correto, entre os muitos disponveis? Grande parte deste trabalho feita pelos roteadores. As pequenas redes domsticas so um exemplo de sua utilizao, mas os roteadores esto presentes em empresas de todos os tamanhos (pequenas, mdias e at gigantes) e com mltiplas funes.

Os Firewalls so elementos de segurana em redes utilizados para filtrar e bloquear o trfego indesejado. Antes de entendermos o conceito de roteador precisamos definir o que Proxy - PROXY: O servio de proxy consiste em manter, em uma
rea de acesso rpido, informaes j acessadas por outro usurio, evitando assim a retransmisso destas informaes e deixando-as disponveis ao usurio num tempo bem menor... sempre que h uma requisio de servios HTTP ou FTP, o servidor proxy captura os dados que o servidor web disponibiliza ao cliente (usurio) e os guarda em uma rea em disco. Na prxima vez que este site for acessado, o navegador primeiro far a procura no servidor proxy. Se os dados forem encontrados neste servidor, a transferncia de dados se dar entre ele e o cliente (navegador). Se o servidor proxy no dispuser dos dados requisitados, o acesso ser feito diretamente ao site de destino.

NORTHCUTT:5 expe que Um firewall um dispositivo que possui um conjunto de regras

especificando que trfego ele permitir ou negar. Um firewall determina onde finaliza o roteador e cria uma passagem muito mais detalhada no trfego de filtragem. Existem vrios tipos de firewall diferentes, incluindo filtros de pacote esttico, firewalls com estado e firewalls Proxy. Voc poderia usar um filtro de pacote esttico, com um roteador Nortel Accellar, para bloquear uma sub-rede, um firewall com estado, como o cisco PIX, para controlar servios permitidos ou um firewall Proxy, como o Sidewinder da Secure Computing, para controlar o contedo. Embora os firewalls no sejam perfeitos, eles bloqueiam aquilo que dizemos para bloquear e permitem o que dizemos para permitir.

Os IDS ( Intrusion Detection System ) so ferramentas de administrao em segurana de redes que possibilitam aos administradores detectar possveis ataques na rede- IDSRNP O sistema de deteco de intruso ou IDS, tem como um dos objetivos
principais detectar se algum est tentando entrar no seu sistema ou se algum usurio legitimo est fazendo mau uso do mesmo. Esta ferramenta roda constantemente em background e somente gera uma notificao quando detecta alguma coisa que seja suspeita ou ilegal.

Dispositivos de VPN (Virtual Private Network), so elementos especficos para comunicao privada entre um acesso externo e a rede interna. NORTHCUTT:5
Uma VPN uma sesso de rede protegida formada atravs de canais desprotegidos, como a Internet. Freqentemente, fazemos referncia a uma VPN em funo do dispositivo no permetro que permite a sesso criptografada, como um Nortel Contivity. O uso pretendido pode ser para parceiros de negcios, policiais rodovirios ou tele comutadores. Uma VPN permite que um usurio externo participe na rede interna como se estivesse conectado diretamente a ela. Muitas organizaes tm um falso senso de segurana em relao ao seu acesso remoto porque possuem uma VPN. Se um

12

atacante comprometer a mquina de um usurio legtimo. Uma VPN pode fornecer a esse atacante um canal criptografado para dentro de sua rede. Voc pode confiar na segurana do seu permetro, mas voc confia na segurana de um de seus tele comutadores em um modem a cabo em casa ou discando em um quarto de hotel ? Mesmo que confie neles e em sua segurana, voc pode confia na segurana, voc pode confiar na segurana dos usurios de acesso remoto do seu parceiro conectado VPN ?.

Ainda sobre VPN, NORTHCUTT : 181 Uma VPN uma conexo que

estabelecida por uma infra-estrutura pblica ou compartilhada existente, usando tecnologias de criptografia ou autenticao para proteger seu payload. Isso cria um segmento virtual entre duas entidades quaisquer que tm acesso. Isso poderia ocorrer pela infra-estrutura compartilhada de uma rede local (LAN), conexes WAN ou internet.

Os softwares so programas de computador que esto presentes na rede. A administrao de segurana em redes deve ter um cuidado especial com esses elementos pois a partir de uma instalao ou adulterao de um cdigo ou arquivo de software um atacante pode ter acesso aos recursos e ativos internos da rede. NORTHCUTT:6 Arquitetura de Software se refere s aplicaes que so hospedadas na rede
da empresa e define como elas so estruturadas. Por exemplo, poderamos estruturar uma aplicao de comrcio eletrnico dividindo-a em trs camadas distintas:

O front-end da Web, que responsvel pela forma como aplicao apresentada ao usurio O cdigo de aplicao, que implementa a lgica comercial da aplicao Os bancos de dados de back-end, que armazenam dados fundamentais para a aplicao A arquitetura de software desempenha um papel importante na anlise de uma infra-estrutura de segurana porque a principal finalidade do permetro da rede proteger os dados e os servios da aplicao. Ao proteger a aplicao, assegure-se de que a arquitetura do software e a rede estejam em harmonia.

As DMZs so redes separadas logicamente ou fisicamente com finalidade de proteger os ativos de rede. DMZREF: a sigla para de DeMilitarized Zone ou zona desmilitarizada, em portugus. DMZ uma pequena rede situada entre uma rede confivel e uma no confivel, geralmente entre a rede local e a Internet.

13

Segundo NORTHCUTT, A funo de uma DMZ manter todos os servios que possuem acesso externo (tais como servidores HTTP, FTP, SMPT, POP3, IMAP e etc.) separados da rede local, limitando assim o potencial dano em caso de comprometimento de algum destes servios por um invasor. Para que esse objetivo seja atingido os computadores presentes em uma DMZ no contem nenhuma forma de acesso rede local. A configurao realizada atravs do uso de equipamentos de Firewall, que vo realizar o controle de acesso entre a rede local, a Internet e a DMZ (ou, em um modelo genrico, entre as duas redes a serem separadas e a DMZ). Os equipamentos na DMZ podem estar em um switch dedicado ou compartilhar um switch da rede, porm neste ltimo caso devem ser configuradas Redes Virtuais distintas dentro do equipamento, tambm chamadas de vlans (Ou seja, redes diferentes que no se enxergam dentro de uma mesma rede - LAN). O mtodo mais simples de criar uma DMZ utilizar um firewall com trs ou mais Interfaces de rede. A cada interface atribudo um papel especfico: 1.Rede interna confivel 2.Rede DMZ 3.No confivel rede externa (Internet) Com uma porta utilizando uma placa Ethernet no seu firewall ir permitir que voc crie uma rede nesta configurao, ou at mesmo permitir que voc crie uma rede com duas distintas da DMZ. Separar o DMZ em mltiplos hosts da DMZ ir ajudar a limitar os danos que pode ser feito se um de seus hospedeiros DMZ est comprometida. Se for utilizar uma DMZ com regras de Firewall, o Firewall ser normalmente configurado para proteger a rede interna da Internet. Para criar uma DMZ, o firewall tambm deve aplicar as regras para proteger o DMZ a partir da Internet e das regras destinadas a proteger a rede interna da DMZ. Isto tornar mais difcil para um atacante para penetrar a rede interna.

14

Devemos pensar a segurana de redes como uma cebola, em camadas

Quando voc descasca a camada mais externa, muitas camadas permanecem por baixo dela. Nenhum conceito transmite mais importncia ao discutirmos segurana de rede do que o da defesa em profundidade. A defesa em profundidade o ajuda a proteger recursos de rede mesmo que uma das camadas de segurana esteja comprometida . Afinal, nenhuma camada de segurana pode garantir que resistir a cada ataque que tenha que enfrentar -

NORTHCUTT: 7 .

As camadas de segurana numa rede de informaes dependem em muito dos valores e riscos envolvidos no ambiente. Uma anlise de riscos deve ser feita pela equipe de segurana para determinar quais ativos devero ser protegidos e quantas camadas de segurana sero necessrias para essa proteo. Assim os ambientes devem ser segurados segundo a classificao dos ativos na rede. Servios externos, por exemplo, devem estar mais prximos ultima camada do permetro de forma a facilitar o acesso dos usurios. Um servidor de pginas web deve estar posicionado em uma camada de segurana que possibilite o acesso externo. As camadas mais externas do permetro devem estar bem protegidas e com trfego de rede bem monitorado e filtrado para no comprometer a segurana das camadas mais internas. Outro conceito importante em segurana de redes so os castelos, os castelos segundo NORTHCUTT:588 ...geralmente possuem um controle de
permetro que inclui um meio de entrar e sair. Os castelos tambm usam pontos de estrangulamento. fcil ver a ao da defesa em profundidade; para resgatar a princesa na torre, voc precisa atravessar o fosso e baixar o grande porto. Depois, voc est em uma rea com portas falsas, semelhantes a uma cmara de compresso, portas de controle externo, uma rea de reunio e um conjunto interior de portas, e somente um conjunto de portas dever abrir de cada vez. Assim, mesmo que voc penetre por um conjunto de portas, ter que entrar na rea de reunio, onde haver portas por onde o pessoal interno poder atirar em voc, e outro conjunto de portas para prosseguir.

Podemos empregar muitos elementos da arquitetura do castelo em nossas redes. Os roteadores de borda e firewalls so usados da mesma forma que os fossos e portas falsas. O castelo no invencvel, mas a arquitetura de defesa em profundidade deve ser cuidadosamente considerada. Os castelos no esto mais em uso militar atualmente, pois tinham vrios problemas que se relacionam a moderna defesa do permetro. Os canhes eram um grande problema. Portas dos fundos e passagens secretas faziam mais do que permitir a entrada no castelo, e como eram fixos e fceis de se encontrar, essa era uma desvantagem significativa. Com nossas redes, temos problemas semelhantes. Pontos de acesso e modems sem fio, especialmente na resposta automtica, so as portas dos fundos e as passagens 15

secretas de nossas redes. Os sites com espaos de endereos pblicos, como os castelos, so expostos, fixos e fceis de se encontrar e atacar. Uma arquitetura de segurana do permetro deve ser implementada de acordo com cada organizao. As prticas e tcnicas em segurana de redes iro variar dependendo dos ativos e dos respectivos riscos envolvidos na administrao. Faz-se necessrio que a organizao formule uma poltica de segurana da informao. NORTHCUTT: 99 - Uma poltica de segurana estabelece o que precisa ser feito para a proteo
das informaes armazenadas nos computadores. Uma poltica bem escrita contm a definio suficiente do 'que' fazer de modo que o 'como' possa ser identificado e medido ou avaliado .

poltica pode ser imposta ou no. A utilizao de um Firewall, por exemplo, uma poltica de imposio. Na poltica sem imposio o administrador utiliza-se de elementos de persuaso, mas sem impor uma regra ou norma.

16

Capitulo 2 Hackers 2.1 O termo Hacker

O termo Hacker MICHAELIS: 95 Pessoa viciada em computadores, com conhecimentos de informtica, que utiliza esse conhecimento para o benefcio de pessoas que usam o sistema, ou contra eles, OXFORD use a computer to gain unauthorized access to data Uso do computador para efetuar um acesso no autorizado aos dados, como podemos perceber, visto pelo pblico em geral como algo similar a contraventor, criminoso. No entanto segundo ARAUJO:7 O termo
hacker foi introduzido a informtica aproximadamente na dcada de 1960, para designar pessoas que conseguiam resolver problemas comuns de formas incomuns. E geralmente esse o conceito central: a criatividade. Isso o que separa um hacker de um profissional da mesma rea, seja ele qual for. Como se fossem dois mecnicos: um acredita que precisa trocar uma pea do carro, outro usa a cabea e pensa em uma maneira alternativa para resolver o problema, usando os recursos que j possui.

A criatividade caracterstica essencial ao se definir o conceito de Hacker. O

processo criativo est intimamente ligado ao processo cognitivo, mais adiante iremos aprofundar esta relao, mas podemos conceituar o termo Hacker como o indivduo criativo, ou vulgarmente conhecido como fuador, aquele que tem a curiosidade e vontade de aprender. O aspecto criminal e contraventor existente no imaginrio popular est mais relacionado ao que a mdia divulga do que efetivamente no comportamento dos hackers. J PEDROSO:95 nos traz a etimologia do termo : Etimologicamente o termo
Hacker est relacionado ao verbo cortar nas lnguas germnicas. O termo desenvolveu-se vindo a ser associado ao ato de modificar ou inventar algo para realizar funcionalidades que no as originais. As atividades criativas e originais de um inventor ou mecnico seriam o equivalente de hacking, "hackear" na lngua portuguesa.

PEDROSO nos diz ainda que o termo ligado como vimos ao fator criativo, mas surgiu dentro da comunidade tcnica, A palavra "hack" nasceu num grupo chamado Tech Model RailRoad Club (TMRC) na dcada de 50. Membros do clube (soldier e ChAoS) chamavam as modificaes inteligentes que faziam nos rels eletrnicos de 'hacks'. Quando as mquinas TX-0 e PDP-1 chegaram ao mercado os membros do TMRC comearam a utilizar o mesmo jargo para descrever o que eles estavam fazendo com a programao de computadores. Isso continuou por anos at mesmo quando novas mquinas como o PDP-6 e depois o PDP-10 apareceram. O 17

termo passou a ser usado com diversos significados: sucessos em determinadas reas, fosse como uma soluo no bvia e particularmente elegante para um problema, ou uma partida inteligente pregada a algum, ou ligar os sistemas informticos e telefnicos para fazer chamadas grtis. Eventualmente, o termo passou a ser utilizado exclusivamente nas reas da programao ou eletrnica, em que passou a ser usado para designar indivduos que demonstravam capacidades excepcionais nestes campos, efetivamente expandindo-os com atividades prticas e artsticas. Esse aspecto tcnico do termo faz surgir no imaginrio coletivo a falsa imagem de que a pessoa que comete crime computacional possui uma formao tcnica de alto nvel. Percebemos que os delinqentes, apesar de serem inteligentes, no possuem formao tcnica na rea de informtica.

2.2 Comportamento Hacker

Porque a maioria dos profissionais de segurana em redes, que quase sempre possuem um conhecimento tcnico mais avanado que o dos Hackers, no conseguem antever os ataques e tcnicas utilizadas pelos Hackers ? A resposta simples, o processo cognitivo do hacker completamente diferente do processo cognitivo acadmico dos tcnicos. A intuio de um hacker extremamente mais aguada se compararmos com a de um tcnico. O fator da criatividade volta a ser o elemento divisor de guas, o Hacker mantm-se em liberdade criativa enquanto o tcnico est preso a normas, procedimentos e padres. Temos um bom exemplo dessa disparidade: ARAUJO:7 - Exemplos
interessantes podem ser notados em tecnologias anti-cpias de Cds de udio. Aps um investimento de centenas de milhares de dlares em um novo sistema seguro, descobriu-se que ele poderia ser burlado apenas com a utilizao de uma fita adesiva colada nas bordas do disco.Outro Caso: conseguiram, atravs de um sistema complexo de certificao, impedir que um programa copiasse as msicas do CD para o disco. Soluo simples: ligue a sada de som do micro system, na entrada de udio do PC.

18

2.3 Ataques 2.3.1 Footprinting

A tcnica de Footprinting utilizada pelos Hackers com o objetivo de obter informaes sobre a rede e os sistemas alvos do ataque. GRUPOCSI
Footprinting a arte de obter informaes sobre um sistema alvo usando tticas seguras, sem perigo de deteco, e que pode dar muitas informaes sobre ele. Tais como visitar o site da empresa em que se quer invadir e ler as sees para ver se encontra algo de interessante. O footprinting o nome dado ao ato de realizar comandos remotos ao alvo, ou sistema remoto, com objetivo de recolher informaes tais como, qual Sistema Operacional usa, quais portas ficam abertas para entrada, qual sistema de defesa usa, entre outros .

Um dos elementos mais

utilizados pelos Hackers para a pesquisa de footprinting a consulta direta na internet, alguns sites como o WWW.registro.br e WWW.INTERNIC.net, por exemplo, fornecem informaes valiosas, tais como o endereo IP do servidor da empresa na internet, para um ataque, abaixo temos um resultado de uma pesquisa no site da INTERNIC que retorna informaes dos servidores DNS do endereo da internet:

Figura 2.3.1 Tcnica de Footprint utilizando a INTERNIC para acessar informaes do site www.enom.com

19

Alm desta forma de pesquisa o atacante pode utilizar de ferramentas de pesquisa automtica. ARAUJO:38 Nesse tipo de pesquisa, utiliza os ferramentas
automticas que possa descobrir informaes teis sobre qualquer alvo. Esses programas podem realizar operaes como: filtrar pesquisas nos websites, descobrir endereos de emails, arquivos da instalao de alguns softwares esquecidos, traar rotas at o alvo,

consultar o seu domnio e diversas outras tarefas que tenha o intuito de lhe ensinar mais sobre o seu alvo.

Outro recurso muito utilizado pelos Hackers para obter

informaes sobre seu alvo a pesquisa em sites especializados como o Google. As pginas de busca podem fornecer recursos de pesquisa de informaes com alto nvel de profundidade e com possibilidade de catalogar as pginas que encontra, exemplo de consulta: +inurl : admin +Indexo f /admin, essa consulta ir retornar uma lista de arquivos dentro do diretrio admin.

2.3.2 Varreduras
A varredura (scanning) uma tcnica utilizada pelos atacantes para descobrir quais sistemas esto ativos na rede e de que maneira eles podem ser acessados. Geralmente, um sistema disponibilizado na rede atravs do protocolo TCP/IP, esse protocolo disponibiliza uma porta de acesso ao sistema, a varredura feita buscando quais portas TCP/IP esto abertas e disponveis para acessar os sistemas. ARAUJO:45 ...varredura feita com o intuito de se descobrir
computadores ativos em uma determinada rede e quais portas esses sistemas esto rodando. Tentaremos descobrir tambm quais os servios que esto vinculados s portas e, se possvel, qual o sistema operacional da mquina.Isso pode ser feito manualmente ou usando ferramentas especficas, chamadas de Scanners.

Uma das tcnicas mais utilizadas para varredura

o ping: Trata-se de um comando executado que testa a comunicao com outra mquina. Assim o Hacker sabe se determinada mquina est ativa ou no. Segue abaixo uma tela de retorno de um comando ping:

20

Figura 2.3.2 Varredura utilizando o comando ping

A linha: Reply from 200.98.249.120: bytes=32 time=657ms TTL=51, indica que a comunicao com o servidor do site www.uol.com.br foi possvel. Aps a descoberta de quais computadores esto ativos o Hacker procura por quais portas TCP/IP esto ativas em determinado computador. Para isso os atacantes utilizam de ferramentas de varredura especficas como o NMAP: ARAUJO-47 Criado por Fyodor, esse programa o scanner mais conhecido de todos, extremamente poderoso e cheio de recursos. Utilizado por dez entre dez hackers como parte de seus ataques. O comando nmap <endreo ip> retorna os nmeros de portas, seu estado(se esto abertas ou filtradas por firewall) e, ainda, uma possvel descrio do servio que est rodando naquela porta:

21

Figura 2.3.2.2 Varredura utilizando o programa nmap.

2.3.3 Enumerao
A tcnica de enumerao geralmente utilizada aps as fases de footprinting e varredura. Na enumerao o Hacker ir elencar quais servios esto disponibilizados e em quais portas TCP/IP. A descoberta de qual sistema operacional est rodando no computador alvo, na maioria das vezes, realizada com essa tcnica. ARAUJO:52 A enumerao o passo seguinte varredura. J temos
em nosso poder hosts ativos na rede e as portas que esto abertas nesses sistemas. Mas quais servios essas portas esto rodando? Qual o sistema operacional do alvo? Ser que podemos conseguir extrair nomes de usurios em alguns desses servios? Todas essas perguntas sero respondidas nessa etapa, a de enumerar os recursos para o passo seguinte.

Para se

descobrir o Sistema operacional uma das tcnicas mais usadas na fase de enumerao o Fingerprint. Essa tcnica consiste em descobrir a informao desejada verificando-se os pacotes de comunicao TCP/IP. O OS FingerPrint ( Operation System FingerPrint), como o prprio nome j diz, se refere a impresso digital do sistema operacional.Ele se baseia no fato de que todos os sistemas 22

operacionais, assim como as pessoas, tm caractersticas nicas, que podem ser usadas para identific-los.Assim como os seres humanos podem ser identificados pela ris, pelo polegar ou pela face, os sistemas operacionais podem ser identificados por algumas peculiaridades presentes no cabealho dos pacotes transmitidos por eles. Para detectar essas diferenas, alguns mtodos foram criados, como o Active FingerPrinting, no qual se envia vrios pacotes mal formados e se analisa a resposta fornecida pelo sistema. Geralmente, cada sistema operacional responde de uma maneira diferente a esses pacotes.

2.3.4 Explorando Falhas

Os sistemas digitais e softwares em geral so desenvolvidos de forma a minimizar as falhas de segurana. Uma falha de segurana em um sistema um ponto da rotina do software em que um atacante pode obter vantagens para efetuar um ataque. Muita das vezes essas falhas so descobertas aps o ataque, o desenvolvedor no tem como prever toda a criatividade do Hacker ao produzir o sistema. As falhas podem ser locais ARAUJO:62 Falhas locais um tipo de falha
que s pode ser explorada localmente no sistema, ou seja, um invasor precisaria estar fisicamente usando esse computador ou j possuir acesso local pela internet. Geralmente, as falhas locais so utilizadas para elevao de privilgios.

ou remotas ARAUJO:62 Esse tipo

de falha acontece em servidores que escutam conexes externas. Um daemon/servio do servidor, como FTP,Web,POP3,SMTP,SMB/NetBIOS, Universal Plug and Play, X11 etc. Como esses servios fornecem acesso Internet e, em quase 90% dos casos, eles requerem algum tipo de autenticao, podem vir a ter problemas no caso de alguma falha ser encontrada. Se utilizarmos, por exemplo, uma falhano servidor Web IIS 5.o ou Apache que ainda no tenha sido corrigida, podemos ter acesso total ao sistema. No caso de falha em um servidor FTP, dependendo da sua gravidade, poderia nos levar a ter acesso direto ao shell do sistema.

Buffer Overflow
O Buffer Overflow uma rea de memria temporria que recebeu dados alm da sua capacidade de armazenamento. CICUNB: Um Buffer Overflow resultado do armazenamento em um buffer de uma quantidade maior de dados do que sua capacidade. 23

Os atacantes utilizam a tcnica de preencher o Buffer at que este estoure, em seguida o fluxo normal do processamento de informaes quebrado e o Hacker pode obter privilgios a mais do que tinha. A idia estourar o buffer e sobrescrever parte da pilha, mudando o valor das variveis locais, valores dos parmetros e/ou o endereo de retorno. Altera-se o endereo de retorno da funo para que ele aponte para a rea em que o cdigo que se deseja executar, onde encontra-se armazenado o cdigo malicioso. Pode-se assim executar cdigo arbitrrio com os privilgios do usurio que executa o programa vulnervel ARAUJO:63 Suponhamos que eu esteja fazendo um programa em linguagem C .(poderia ser
qualquer uma) e nele crio um buffer, um espao na memria destinado a receber entrada de dados. Veja o exemplo a seguir: #include <stdio.h> #include <stdlib.h> int main(int argc, char **argv){ char buffer[10]; strcpy(buffer, testandostackoverflow)); return 0; } Nesse pequeno programa, definimos o tamanho do buffer como 10 caracteres e copiamos para ele (atravs da funo strcpy) um texto (string) contendo 21 caracteres. Como a funo strcpy, ao contrrio de strncpy, no faz a checagem do tamanho do espao disponvel, esse programa causar um estouro de buffer, fazendo com que voc possa incluir cdigo personalizado para ser executado pelo programa.

24

Race Condition
Race condition um termo que se refere a uma falha de segurana em sistemas que permite ao atacante elevar seus privilgios de acesso. Ocorre quando mais de um processo tenta acessar informaes ao mesmo tento gerando alguns segundos de espera, nesse perodo o atacante pode executar uma rotina para elevar seu nvel de acesso VIVAOLINUX: O race condition acontece
quando temos vrios processos do sistema acessando e manipulando ao mesmo tempo a mesma informao de maneira concorrente e o resultado da execuo depende da ordem particular em que o acesso ocorre.O race condition muito interessante para invasores que querem elevar seu nvel dentro de um sistema comprometido (obter uid=0(root)).Vamos

ver um pequeno

pedao de cdigo em C que ilustra um race condition: if(access("/tmp/arquivo-info",R_OK)==0) { fd=open("/tmp/arquivo-info"); process(fd); close(fd); } O cdigo acima cria o arquivo temporrio "arquivo-info" e depois abre ele. A vulnerabilidade em potencial ocorre entre as chamadas das funes access() e a chamada open().Se um atacante consegue manipular o contedo do

"arquivo.info" entre as funes access() e open(), ele pode muito bem manipular qual vai ser a ao que o programa que utiliza esse arquivo vai realizar, isso e o que chamamos de "Race". O race condition no um ataque trivial de ser realizado porque necessita de muitas tentativas at que o atacante consiga algum retorno efetivamente til. Porm, se conseguir que o programa suid que utiliza esse arquivo no /tmp execute (access()) em sua instruo, sua chance de obter uid=0 ser grande. O uso inapropriado de funes como access(), chown(), chgrp(), chmod(), mktemp(), tempnam(), tmpfile(), e tmpnam() so as principais causas de races conditions.

25

2.3.5 Burlando Protees

A Prxima fase de um ataque Hacker ao sistema burlar as protees existentes. O principal objetivo do Hacker nesta etapa elencar todas as protees existentes no sistema de forma a evitar que estas possam rastrear seu comportamento. Basicamente existem 3 tipos principais de protees na rede, Antivrus, Firewall e IDS.ARAUJO:90 ...temos que checar as protees que o sistema-alvo
possui e descobrir como burlar todas elas. Assim, passaremos despercebidos dentro do sistema. Vamos nos concentrar em como burlar trs tipos de ferramentas: o antivrus, o firewall e o IDS.

Antivrus
Diferentemente do IDS e Firewall, que so mais utilizados em ambientes coorporativos, o antivrus uma ferramenta existente em praticamente todos os sistemas sejam eles empresariais ou domsticos, mas muitas das tarefas realizadas pelos antivrus so comuns, como a anlise seqencial de caracteres. A maioria dos antivrus implementa a checagem de uma seqncia especfica de caracteres existentes dentro de um arquivo. Um Hacker pode burlar esta proteo alterando a seqncia de caracteres. ARAUJO:90 Atualmente, pela
quantidade de vrus existente e pelo volume cada vez maior de arquivos a serem analisados, o antivrus tem que ter um processo rpido de identificao de infeco. Ele faz isso analisando uma seqncia de caracteres dentro dos arquivos: se encontrar alguma que esteja em seu banco de dados, ele identifica como vrus. Se modificarmos essa seqncia especfica ou simplesmente realizarmos alguma alterao no texto que est dentro do executvel (obviamente estando sempre realizando backups e testando para no correr o risco de corromper e perder o arquivo), o antivrus no mais detectar o software malicioso.

Firewall
Firewall um dispositivo de segurana implementado para proteger toda uma rede interna de uma organizao, ou as conexes internas de um sistema. Geralmente, o firewall usado para bloquear trfego externo deixando passar conexes internas para fora. ARAUJO:98 Geralmente, o firewall configurado para uma
excelente proteo de fora para dentro, deixando passar, muitas vezes, apenas conexes a servidores WEB, de correio e algum tipo de servio remoto que possua autenticao segura, como o SSH.

26

Existem vrias formas de se burlar um Firewall, dependendo do tipo de acesso que se deseja realizar. Uma das maneiras mais utilizadas pelos Hackers o Spoofing . Nessa tcnica o atacante altera as configuraes padres de uma mquina fazendo que esta se passe por outra na rede. ARAUJO:102 Spoofing a
arte de criar informaes de rede falsas e utiliz-los para diversos propsitos: evitar ser capturado nos logs do sistema fazendo o que no devia, realizar scanneamentos estando totalmente ocultado ou ganhar acesso a mquinas que so protegidas por configuraes de firewall. Um dos tipos de Spoofing, o IP Spoofing. Exemplo: Uma mquina da rede interna s aceita comunicarse com o endreo IP 192.168.0.1 e o seu 192.168.0.110. Voc no poderia mudar o seu endereo, isso criaria um conflito na rede. Mas voc poderia utilizar o IP Spoofing, uma das tcnicas mais usadas para personificar quem voc no . Para simplificar, pense da seguinte maneira: como voc chegar em algum local que te peam um documento e voc mostrar uma identidade falsa. Essa identidade no tem foto, somente um nome. A pessoa que est fazendo a segurana checa o nome, v que est na sua lista e deixa entrar.Apesar de ser tecnicamente um pouco complexo, o conceito de spoofing bem simples. Temos vrios tipos: ARP Spoofing ( spoofing de endereos MAC de rede atravs do protocolo ARP), DNS Spoofing e, claro, IP Spoofing.

Existem dois tipos de IP Spoofing, cego e no-cego, no primeiro caso o atacante no consegue ver a resposta do alvo. No segundo caso, o no-cego, o Hacker obtm a resposta do alvo. ARAUJO:102 ...Geralmente, quando realizamos IP
Spoofing, modificamos o pacote a ser enviado, colocando outro endereo que no seja o nosso. Esse pacote ir at o seu destino e ser processado por ele de alguma maneira, seja enviando uma resposta ou simplesmente recusando-o. Agora como faremos para ver essa resposta, j que o endereo que est na informao enviada no o nosso ? A resposta simples: se estamos em uma rede local, podemos sniffar ( farejar a rede), como visto no captulo sobre sniffers. Isso seria o spoofing no-cego, pois voc pode ver a resposta do alvo, mesmo que ela seja endereada a um endereo falso e inexistente.

Um dos programas mais usados para o IP Spoofing o Sterm, este programa um tipo de cliente Telnet que forja o endreo IP de um sistema. ARAUJO:104
consegue realizar um Spoof full-duplex ( ele consegue receber os dados tambm, sem voc precisar ficar utilizando um sniffer parte para fazer isso). Quando realizar uma conexo, ser como se tivesse em uma sesso de Telnet comum, o que facilita muito o trabalho de entrar de modo oculto em algum local.Para conseguir essa faanha, o sterm se vale do ARP poisoning/spoofing. O pedido ARP est essencialmente perguntando: Qual o endereo de hardware correspondente ao endereo IP que tenho aqui ?. Normalmente, somente o host com o IP correspondente envia uma resposta ARP e o resto dos computadores ignora o pedido ARP.

27

Ele envenena ento o cach ARP dos computadores que mantm a lista dos endereos MAC e seus respectivos endereos IPs, respondendo com o endereo IP que voc quiser.

Figura 2.3.5 Spoofing utilizando o programa Sterm.

Aps decidir o adaptador de rede, o endereo IP falso e, ainda, ter a possibilidade de escolher se vai realizar um MAC real ou spoofado (Mesmo sendo o MAC falso, o programa consegue receber as informaes de volta ? Por Qu ? Ele cria entradas duplas no ARP.), j estamos

28

prontos para nos conectarmos onde for. A opo a seguir aparecer para escrevermos o endereo IP e a porta que iremos nos conectar.

Figura 2.3.5.1 Configurando IP e porta no Sterm para Spoofing.

Clicando em Ok estaremos realizando um spoofing de endereo IP, estando annimo na conexo e, como podemos ver, pareceremos estar utilizando uma sesso de Telnet comum, como qualquer outra. Deixemos as opes ARPReply Timeout e TCP Timeout nos nmeros padres. Se a conexo estiver um pouco lenta, diminu-los um pouco at estarmos satisfeitos. O resultado, observamos na seqncia:

29

Figura 2.3.5.2 Resultado do Spoofing usando Sterm.

Observe a barra inferior do programa: Conectado a 10.125.0.1 impersonando 10.125.0.66. Significa que o spoofing foi um sucesso. Outra linha interessante o Poisoning Targets ARP Cache, que significa: Envenenando o cach ARP do alvo. O nico problema do STERM que, apesar de fantstico, ele s consegue realizar spoofing no-cego.

IDS
O IDS um Sistema de Deteco de Intruso, sua funo detectar possveis invases na rede. LAUFER: analogamente a um sistema do mesmo nome
empregado na segurana domiciliar, composto por sensores capazes de disparar um alarme caso algum evento determinado ou no esperado venha a acontecer. Deteco de intruso uma tentativa de monitorar estaes ou fluxos de rede com o intuito de descobrir aes de intrusos. Mais especificamente, um SDI tenta detectar ataques ou usos imprprios e alerta o responsvel pela rede do acontecimento. O funcionamento anlogo ao de um sistema de deteco de ladres, usado em casas para se proteger de eventuais incidentes. O sistema domiciliar inicialmente precisa ser configurado e ter especificado o que monitorar (janelas, portas, movimento) e para quem alertar ou chamar em caso de uma invaso (polcia, donos da casa). No sistema computacional, tambm precisamos determinar se queremos monitorar fluxos de rede,

30

processos internos de uma estao ou servidor, ou ainda um sistema de arquivos, por exemplo. E devemos deixar claro para quem enviar os alarmes ou relatrios e como estes devem ser enviados, tendo como alternativas o e-mail, pager, ou ainda um pacote SNMP. Teoricamente, esse tipo de sistema seria somente passivo, observando pacotes na rede ou processos em uma estao de trabalho e alertando os responsveis. Porm, alguns sistemas possuem a habilidade de reagir s invases, deixando de ser um sistema exclusivamente de deteco e pode ser definido como um sistema de reao a intruso. Exemplos de reao podem ser um fechamento de conexo, um bloqueio no firewall, execuo de algum arquivo, ou ainda a desabilitao de uma conta.

Para Burlar um IDS a tcnica mais utilizada pelos invasores enviar pacotes de forma que a assinatura do IDS no coincida.ARAUJO: 119 A assinatura
geralmente considerada uma condio ou string(pedao de texto) que est presente nos pacotes que atravessam a rede. Na maioria das vezes, funciona assim: o IDS procura uma assinatura (como, por exemplo, a string /CGI-bin/phf) no trfego da rede e, se encontrar, o sistema de deteco ir anunciar como se fosse um ataque

. Uma forma muito comum alterar o

mtodo GET por HEAD, a maioria dos sistemas de IDS usam filtros para o GET e no para o HEAD. ARAUJO:119: GET /CGI-bin/some.cgi O truque aqui usar o HEAD... HEAD /CGI-bin/some.cgi . Outra tcnica bastante utilizada para burlar os IDSs codificar o cabealho da URL em caracteres hexadecimais. Os endereos de URL podem ser escritos na notao %xx, onde xx o valor em hexadecimal do caractere.O sistema IDS no conseguir identificar um ataque codificado em hexadecimal uma vez que a assinatura CGI-bin no corresponde a string %xx. Outra forma de burlar as assinaturas utilizar barras duplas ou triplas na URL. Exemplo: /teste/ndex.php ficaria //teste//ndex.php ou

///teste///ndex.php.

2.3.6 Engenharia Social

Engenharia Social uma tcnica de sondagem, espionagem utilizada pelos Hackers. geralmente utilizada quando as tcnicas informatizadas no so suficientes para a execuo de um ataque. Trata-se de um componente humano, o atacante, geralmente uma pessoa com bom poder de comunicao, ir tentar obter informaes privilegiadas e sigilosas dos funcionrios da empresa atravs da persuaso. A engenharia social, de maneira simples, caracteriza-se por explorar essa fragilidade. Em outras palavras, consiste na habilidade de obter informaes ou acesso indevido a determinado ambiente ou sistema, utilizando tcnicas de 31

persuaso. Podemos perceber que um ataque muita das vezes mobiliza vrios Hackers e que a interdisciplinaridade dos atacantes requerida quando se pretende realizar uma engenharia social, o nvel cultural do engenheiro social deve ser elevado de forma a obter a informao desejada. ARAUJO:125 Os engenheiros sociais
so pessoa cultas, de um papo agradvel e que conseguem fazer com que voc caia em suas armadilhas. Utilizando meios digitais, telefnicos e at pessoalmente, observam e estudam voc sem que sejam percebidos. E isso no algo novo que surgiu com a informtica, h dcadas esses engenheiros vm agindo. Por aqui, normalmente conhecemos essas pessoas por estelionatrios.

Os engenheiros sociais agem basicamente de trs formas, a saber:

Por e-mail ou carta: Por esse meio o atacante solicita informaes ou documentos se fazendo passar por uma pessoa importante ou integrante de algum projeto ou trabalho. Geralmente utilizado por no expor muito o atacante. Essa tcnica utilizada na maioria das vezes com a tcnica de seqestro de e-mail, onde o atacante j roubou o e-mail de uma pessoa da equipe da empresa atacada.

Pessoalmente: Nesse ataque a pessoa se faz passar por algum importante, muito bem trajado, com notebook e maleta o atacante tenta adentrar na empresa e em reas restritas apenas ao pessoal autorizado.Outra maneira de se obter informaes pessoalmente na empresa fazer-se passar por um faxineiro e revirar o lixo em busca de informaes sigilosas.

Por telefone: Muitas vezes o engenheiro procura aflorar os sentimentos do atacado via telefone. Tenta se passar por um cliente ou usurio e finge precisar de ajuda, ao convencer o ouvinte solicita alguma informao privilegiada ou sigilosa como senhas, cdigos, etc... Alguns casos curiosos os engenheiros no precisam utilizar de tcnicas de persuaso, bastando ter apenas o acesso fsico ao local ARAUJO:126 ...Vestiu-se
com um belo terno e se apresentou segurana como um investidor internacional da empresa, citando nomes de vrias pessoas que trabalhavam l dentro. Claro, ele pesquisou as pessoas que estariam de frias na ocasio e as citou. Aps ter a entrada liberada, ele dirigiu-se para o

32

elevador mais movimentado da empresa. Subiu com ele para o ltimo andar. Depois de todos deixarem o elevador, Daniel tirou cuidadosamente um CD de seu bolso e colocou no piso do elevador. Na capa do CD estava escrito Fotos comprometedoras.Despistadamente, ento, ele deixou o prdio e foi checar o seu notebook com conexo rdio. Meia hora depois, ele conseguiu um acesso para dentro da empresa. Isso porque algum no agentou de curiosidade e abriu o contedo do CD no seu computador da empresa.

Capitulo 3 Processo cognitivo

3.1 A formao do Saber humano

Para entendermos como o processo cognitivo se forma devemos buscar na histria da humanidade o entendimento de como a epistm moderna define o saber humano.( FOUCAULT,1999, p.479): o campo da epistm moderna no se ordena conforme
o ideal de uma matematizao perfeita e no desenrola, a partir da pureza formal, uma longa seqncia de conhecimentos descendentes, cada vez mais carregados de empiricidade. Antes, devese representar o domnio da epistm moderna com um espao volumoso e aberto segundo trs dimenses. Numa delas, situar-se-iam as cincias matemticas e fsicas, para as quais a ordem sempre um encadeamento dedutivo e linear de proposies evidentes ou verificadas;haveria, em outra dimenso, cincias ( como as da linguagem, da vida, da produo e da distribuio das riquezas) que procedem ao estabelecimento de relaes entre elementos descontnuos mas anlogos, de sorte que elas pudessem estabelecer entre eles relaes causais e constantes de estrutura. Essas duas primeiras dimenses definem entre si um plano comum: aquele que pode aparecer, conforme o sentido em que percorrido, como campo de aplicao das matemticas a essas cincias empricas, ou domnio do matematizvel na lingstica, na biologia e na economia. Quanto terceira dimenso, seria a da reflexo filosfica, que se desenvolve como pensamento do mesmo; com a dimenso da lingstica, da biologia e da economia, ela delineia um plano comum: l podem aparecer, e efetivamente apareceram, as diversas filosofias da vida... mas, l tambm apareceram, se interrogar-se de um ponto de vista radicalmente filosfico o fundamento dessas empiricidades..., a dimenso filosfica define como a das disciplinas matemticas um plano comum: o da formalizao do pensamento.

33

3.2 Motivao
Ao falarmos de motivao humana devemos considerar dentro do exposto sobre as trs dimenses da formao do saber humano como elas influenciam uma determinada conduta ou comportamento. Nossa perspectiva de anlise o comportamento hacker, e como tal verificamos que a criatividade e a intuio so as caractersticas principais desse fenmeno. Abordemos o conceito de criatividade: O termo origina-se do sculo XVIII, do romantismo ARTECRIATIVA: O conceito de
criatividade, remontando Antigidade, estava tambm associado loucura, pela sua natureza de irracionalidade, principalmente relacionado ao gnio na criao artstica. A concepo de que o artista cria em estado de loucura, real ou potencial, permanece ao longo do tempo. Durante o sculo XIX a ligao entre o gnio e a loucura torna-se foco de estudo da Psicologia, que estabelecia uma estreita associao entre a criao artstica e o estado psictico.Uma outra concepo que encontra sua origem no pensamento do sculo XVIII, consiste na de associar a capacidade criativa imaginao. Esta seria a livre associao de idias obtida por inspirao e dom, que favorecia os "gnios", indivduos de mente criativa,capazes de criar numa condio diferenciada dos demais indivduos.

Dentro dessa livre associao de idias que culmina na imaginao percebemos uma forte tendncia utilizao da relativizao foulcautiana. Uma primeira definio de imaginao, restringida sua referencialidade, pode dizer respeito capacidade mental para relacionar, criar, inventar ou construir imagens.O termo derivado do latim imaginatio, que por sua vez substitui o grego phantasa. Aristteles, em De Anima (428a 1-4), deu-nos uma primeira reflexo terica sobre o conceito de imaginao (phantasa) que se refere apenas ao processo mental atravs do qual concebemos uma imagem (phantasma). A imaginao uma forma de representao do que sentimos no existir no nosso mundo prximo. Esta origem grega do conceito mantm-se em alemo (Phantasie), sendo esta a forma que os primeiros grandes tericos do inconsciente, Freud e Jung, sempre utilizaram. No que se refere motivao de um comportamento hacker, por exemplo, invaso de um sistema contbil, devemos considerar que o atacante inicialmente ir utilizar-se da primeira dimenso faucoultiana, a saber, a matematizao ou classificao. FOUCAULT,1999,p. 479) ...as cincias matemticas e fsicas, para as quais a ordem sempre um encadeamento dedutivo e linear de proposies evidentes ou verificadas. Isso porque o Hacker primeiramente dever ter um 34

conhecimento prvio sobre o sistema contbil, ele dever ter uma idia ou classificada de como um sistema contbil e quais as suas regras de negcio e conseqentes elementos de segurana implementados. Mas o que motivaria o ataque estaria relacionado ao desejo do Hacker por aguar, aumentar cada vez mais a sua capacidade criativa e imaginativa em contraste ao apreendido, classificado pela matematizao. Essa motivao aproxima-se da relativizao de Foucault : (FOUCAULT,1999,p. 479) ... cincias ( como as da linguagem, da vida, da produo e da
distribuio das riquezas) que procedem ao estabelecimento de relaes entre elementos descontnuos mas anlogos, de sorte que elas pudessem estabelecer entre eles relaes causais e constantes de estrutura.

A insatisfao do atacante est no no fato de se conseguir ou

no atacar um sistema, ou de busca de desafio como muitos imaginam, mas est mais relacionada ao processo cognitivo como um todo.Ter a liberdade de saber como as coisas funcionam o principal motivo de fazer o que fazem. Uma frase muito comum no mundo hacker define a conduta geral de um White Hat: "Hack to learn, not learn to hack" (em traduo livre, Invadir para aprender, e no aprender para invadir).

3.3 Elementos Observveis

Considerando que j mapeamos o processo cognitivo, o processo criativo e a motivao dos atacantes podemos intuir alguns elementos dentro do comportamento Hacker que podem contribuir para a construo de uma soluo que simule uma realidade de sistema de informao que possibilite aos gestores de segurana em redes obterem dados importantes do perfil dos seus atacantes. Os elementos sero observados e relacionados ao processo criativo do atacante enquanto negao de uma realidade. Segundo VYGOTSKY (1982,p.31-32), a imaginao criadora motivada pela capacidade de fantasiar a realidade: "A imaginao criadora resultante da
capacidade de fantasiar situaes. O indivduo ir criar segundo a sua capacidade de imaginar e fantasiar com base numa srie de fatores, entre eles, a experincia acumulada, enquanto um produto de sua poca e seu ambiente."

Nesse ponto criamos o sistema simulado com simulaes

intercaladas, ora documentos da rea financeira, ora da rea administrativa, por exemplo. Obteremos assim dados referentes realidade que o atacante deseja fantasiar. O administrador poder implementar um banco de dados estatstico classificando cada invaso de acordo com as principais motivaes. Uma mudana nos valores de salrios em uma planilha simulada do setor de recursos humanos, 35

por exemplo, pode ser classificada como um ataque motivado a alterar uma realidade de desigualdade social. Cada ataque sucessivo mas com motivao diferente deve ser um novo elemento observvel.

Capitulo 4 Utilizao de Honeypot 4.1 Conceito de Honeypot

Inicialmente para entendermos o conceito de Honeypot devemos elucidar a sua origem. Os honeypots surgiram como continuidade ou desmembramento dos sistemas de deteco de intruso IDS ( Intrusion Detection System ), o IDS uma ferramenta que monitora as atividades dos acessos na rede alertando os administradores quando um acesso indevido identificado. Os alertas podem ser classificados como falso-positivo ou falso-negativo: ASSUNO(2009), 17: a
prefeitura de Salvador instalou cmeras de segurana nas principais avenidas durante o carnaval. O objetivo seria detectar furtos e pequenos incidentes com os turistas. Mas o trafego de pessoas to grande, que podem acontecer dois problemas:

Primeiro, o falso-positivo Um folio se anima e comea a flertar com uma moa, mas quem esta analisando os dados das cmeras acredita ser um assalto e toma as medidas necessrias.

Segundo, o falso-negativo Um ladro passa perto de uma vitima e delicadamente furta o celular de dentro do bolso dela sem que a pessoa e as cmeras percebam o delito, por causa do movimento excessivo.

Honeypot uma armadilha feita para detectar, pegar, desviar ou em algum modo contrariar as tentativas de conexo no autorizadas.Trata-se de uma simulao de ambiente em que o administrador pode monitorar as atividades de um invasor : ASSUNO(2009),18: como se voc comprasse uma casa e a mobiliasse
parcialmente, com alguns poucos moveis. A casa teria normalmente duas portas e duas janelas que servem como entrada e sada ( o que seriam os servios no honeypot de computador). Acontece que voc no disse a ningum que adquiriu o imvel . Ento, a no ser voc, qualquer pessoa que entrar ou sair da casa um invasor, com cem por cento de certeza.

36

4.2 Implementao de um Honeypot

O primeiro passo para implementar um Honeypot definir quais ambientes e servios sero simulados para os invasores de forma a atra-los. ASSUNO(2009),30: importante que estes servios sejam atrativos aos atacantes. Podem ser programas que funcionem como servidores de correio ou de transferncia de arquivos. importante fornecer servios com funcionalidade real, onde toda a interface de sistema operacional, banco de dados, servios web estejam integrados e padronizados. Existem basicamente dois tipos de Honeypots:

4.2.1 Honeypot de Produo

So os sistemas simulados onde o foco do administrador de segurana detectar uma invaso sem se preocupar com o comportamento do Hacker. ASSUNO(2009),31: Sua inteno praticamente apenas detectar intrusos na rede e tomar as providncias contra esses invasores o mais rpido possvel. o que normalmente seria utilizado em alguma empresa ou instituio que deseja proteger a sua rede..No caso do honeypot de produo deve se implementar uma simulao com requisitos de segurana especficos para no comprometer os ativos de rede.O principal objetivo de um honeypot de produo identificar o ataque e desvi-lo ou cont-lo o mais rpido. Outro ponto importante o fato de o atacante descobrir ou no a existncia do Honeypot. No caso do honeypot de produo o atacante pode conhecer sobre o ambiente simulado uma vez que seu ataque j foi contingenciado.

4.2.2 Honeypot de Pesquisa

Neste tipo de simulao o administrador de segurana est interessado em saber sobre o comportamento do invasor. Nessa implementao as funcionalidades de deteco de intruso no necessitam estar habilitadas. O ambiente deve ser 37

cuidadosamente montado para que o atacante no perceba que est em um sistema simulado ASSUNO(2009),30: Um honeypot de pesquisa no tem como objetivo primrio ser utilizado como uma ferramenta de IDS. O que ele pretende realmente ser atacado vrias vezes e, com isso, estudar todos os detalhes de cada ataque. Cada arquivo que o invasor acessar, cada senha que ele digitar, cada comando, absolutamente tudo ser salvo e estudado. Os Honeypots de pesquisa sero utilizados para se estudar os ataques realizados pelo hacker, assim primordial que o ambiente possua uma grande interatividade com servios. ASSUNO(2009),30: ...devem ser utilizados apenas com servios de alta interao.

4.2.3 Localizao do Honeypot

Idealmente o Honeypot dever ser localizado entre as conexes externas e o Primeiro Firewall. Isso porque nossa implementao ser um Honeypot de Pesquisa e quanto mais exposto e acessvel pelos atacantes melhor. Os riscos inerentes a esta exposio devero ser analisados e aceitos pela equipe de segurana. ASSUNO(2009),28: Neste caso o honeypot vai ficar propositalmente exposto
ao mximo sem ter nenhum tipo de proteo. uma situao em que provavelmente o invasor conseguir causar mais danos, mas justamente por isso, o mais interessante do ponto de vista de capturar aes maliciosas, que o objetivo de um honeypot de pesquisa

Figura 4.2.3 Localizao do Hoenypot na rede.

38

4.2.4 Honeyd
Para implementarmos o honeypot sugerimos o uso do software honeyd em virtude de sua flexibilidade de configurao. De acordo com HONEYDREF, Atravs de scripts, o honeyd capaz de simular diversos sistemas operacionais e so

suportados os protocolos UDP, TCP e ICMP . O desenvolvimento do honeyd trouxe novos conceitos para as tecnologias associadas a Honeypots como por exemplo ele no responde apenas a ataques direcionados ao prprio IP pois pode assumir diversas identidades. conceitualmente a aplicao de Honeypots para toda a rede. Alm disso, pode simular diversos Sistemas Operacionais ao mesmo tempo. Por fim outro novo conceito a capacidade do honeyd em emular alm das aplicaes a pilha TCP, fazendo com que estes servios emulados se comportem como verdadeiros Sistemas Operacionais. Funcionamento Pela incapacidade do honeyd em direcionar para si todos os ataques ele deve identificar os endereos IP que no esto ativos na rede. Ele realiza isso em duas situaes de configuraes diferentes de ambiente de rede. A primeira corresponde a situao onde no existem sistemas ativos e sim apenas o honeyd. Para tanto, ele utiliza o mtodo blackholing. O funcionamento anlogo ao buraco negro, pois como sabemos que no existe servio ativo, ento certamente um ataque e por conseqncia direcionamos todo o trfego para o Honeypot. A segunda situao corresponde a uma topologia onde temos alm do Honeypot, um ambiente de produo real. Nesse ambiente o honeyd utiliza uma forma mais complexa de direcionar este trfego, atravs de outro programa ARPD utilizando o mtodo de ARP spoofing ou ARP proxy. Esta ferramenta atuando juntamente com o honeyd atende as requisies ARP atravs da monitorao dos endereos IP que no esto ativos. Agora com as requisies ARP sendo todas atendidas, ou seja, mesmo quando um endereo IP no existente atacado o Honeyd assume a identidade de vtima e interage com o atacante (18). Aps essa conexo, a porta selecionada pelo atacante identificada e inicia-se a interao. De acordo com as diversas possibilidades de configurao, a porta requisitada pode ou no estar sendo atendida por algum servio emulado. Se estiver, o atacante pode receber como resposta, por exemplo, uma seqncia de login ou ento uma emulao de um servidor WEB, caso contrrio pode-se simplesmente bloquear a porta informando esta situao ou simplesmente no haver qualquer retorno. A possibilidade de emulao de diversos sistemas operacionais 39

atravs da criao de hosts virtuais permite a criao de topologia de redes inteiras, formadas por roteadores, servidores, clientes todos com caractersticas

especficas.Dentre os arquivos de configurao do honeyd, est o nmap.prints, que contm a mesma tabela de assinaturas que o Nmap, uma das ferramentas mais comumente usadas para remotamente identificar o tipo de sistema operacional, utilizada para comparar o padro de resposta, permitindo aos Honeypots virtuais responder exatamente como o sistema operacional que ele emula, quando testado pelo Nmap.Outro arquivo, usualmente nomeado como honeyd.conf contm os templates que definem as caractersticas dos Honeypots. Existem inmeras possibilidades de criao e cabe ao usurio definir ao seu critrio, dando a Baseado nas prticas de Software Livre, todo o cdigo do honeyd disponibilizado o que nos permite customizar para fins especficos.

4.3 Instalao e Configurao do Honeypot (honeyd)

Para hospedar nosso honeypot usaremos uma mquina rodando Linux e usaremos os procedimentos abaixo para instalar o Honeyd - HONEYDREF Acessar o site do Honeyd e baixar os sources mais recentes:

http://www.citi.umich.edu/u/provos/honeyd/honeyd-1.5b.tar.gz O Honeyd precisa de algumas bibliotecas para ser compilado com sucesso. necessrio o Python, o Perl, a libevent (http://www.monkey.org/~provos/libevent/), a libdnet (http://libdnet.sourceforge.net/) e a libpcap (http://www.tcpdump.org/). A instalao dessas dependncias extremamente simples (em quase todas se resumindo a ./configure, make, make install). Instalar o arpd (http://www.citi.umich.edu/u/provos/honeyd/arpd-0.2.tar.gz) Iremos configurar o Honeypot com um servidor Linux de kernel 2.4 simulado disponibilizando um servio de correio eletrnico usando os comandos abaixo:
create linux set linux personality "Linux 2.4.16 - 2.4.18" set linux default tcp action reset set linux default udp action reset set linux uptime 3284460

40

add linux tcp port 110 "sh scripts/pop3.sh" add linux tcp port 25 "sh scripts/smtp.sh" add linux tcp port 22 "sh scripts/test.sh $ipsrc $dport" bind 192.168.0.2 linux

Para emular os servios de correio eletrnico utilizaremos os seguintes scripts:

pop3.sh: emula um servio POP3 na porta 110 smtp.sh: emula um servio de SMTP na porta 25 teste.sh $ipsrc $dport: emula o SSH, logando o IP de origem (de quem se conectou ao script) e em qual porta.

Para a verificao de quais sistemas operacionais podemos emular usando o Honeyd, s executar o seguinte comando:
# grep "^Fingerprint" nmap.prints | less

Aps as configuraes do Servidor de correio eletrnico simulado faz-se necessrio redirecionar o trfego de endereos no utilizados na rede para o honeypot.Para isso usaremos o ARPD para fazer com que o honeypot responda na rede para qualquer endereo que no esteja sendo utilizado( no utilizar DHCP na rede em que o honeypot estiver respondendo):
arpd 192.168.0.0/24

Por fim, aps estas configuraes, podemos iniciar nosso honeypot que ir simular um servidor de correio eletrnico utilizando o seguinte comando:
# honeyd -p nmap.prints -f /etc/honeyd.conf 192.168.0.0/24

41

4.4 Redesenhando um Honeypot de acordo com o comportamento Hacker

Neste ponto utilizaremos a terceira dimenso foulcautiana como elemento de estudo do comportamento hacker, a saber a capacidade filosfica e reflexiva do ser humano, para estimular a completa compreenso do Administrador de segurana sobre os invasores e seus ataques, seus comportamentos enquanto invasor. Segundo Foucault, (FOUCAULT,1999, p.479), a terceira dimenso corresponde ao processo reflexivo e filosfico que temos sobre nossas experincias cognitivas.De acordo com os elementos observados pelo Honeypot redirecionamos o ataque para uma nova simulao em que desta vez o atacante no ir se deparar com uma realidade a ser fantasiada, a ser explorada de forma criativa, mas com uma realidade que ele j experimentou e que o faa no repetir o mesmo ataque utilizando a terceira dimenso foulcautiana do pensamento. Essa reflexo sobre as experincias vividas pelo invasor no ambiente simulado ir coibir novos ataques por inibir a motivao. O administrador utilizando-se dos elementos observveis sobre o comportamento hacker poder coibir o impulso criativo, motivador do atacante fornecendo uma nova simulao j vivenciada aps algumas invases. A idia intercalar as realidades, a cada 5 ou 10 simulaes, repetir uma realidade afim de que o atacante reflita sobre seu potencial criativo.Aps um trabalho exaustivo de invadir o sistema algumas vezes, e ao perceber que seus ataques no surtem mais efeitos no ambiente o atacante refletir sobre seu comportamento e tcnicas utilizadas e no ir mais atacar o sistema.

42

Concluso

A utilizao de tcnicas de segurana em redes valendo-se sempre de padres, normas e principalmente de elementos de monitorao de redes, na maioria das vezes, modelada numa viso tcnica e monodisciplinar, negligenciando a vertente psquica envolvida nos incidentes de segurana. Devido ao alto custo de se estudar de forma efetiva o comportamentos dos Hackers as equipes de segurana da informao preferem investir os recursos e o tempo em medidas meramente tcnicas e proibitivas que no fornecem informaes sobre o comportamento dos atacantes.O trabalho aqui apresentado procurou disponibilizar uma soluo em segurana da informao que pudesse fornecer informaes no apenas sobre a possibilidade de simular uma realidade afim de monitorar acessos indevidos a rede, mas sobre o comportamento dos invasores no que diz respeito ao seu perfil intelectual e motivacional, a saber uma pessoa que busca estimular seu potencial criativo. A interdisciplinaridade aqui apresentada foi de vital importncia para se traar uma estratgia de estimulo ao processo reflexivo utilizando uma das tcnicas mais modernas em segurana da informao. Importante tambm salientar que este trabalho vem complementar a fraca bibliografia existente hoje no mundo acadmico e mercadolgico no que concerne utilizao dos Honeypots. Ao contrrio do que possa parecer, a tcnica de responder aos ataques e acessos maliciosos estimulando a reflexo dos invasores sobre seu comportamento no representa uma invaso da intimidade na medida em que apenas sugere novas variveis ao invasor, sem coibir fisicamente ou repreensivamente qualquer atitude. Nossa soluo fornece uma nova abordagem para os administradores de segurana da informao por tratar as invases como iniciativas criadoras e no como ameaa. Ficamos aqui desejosos de que possam existir mais realidades simuladas que possam no apenas redirecionar os ataques a fim de preservar os ativos das organizaes, mas que possibilitem o estudo do comportamento invasor como um todo.

43

Objetivo 1: Mostrar as vantagens da utilizao de Honeypot como tcnica de segurana. No sub-capitulo 4.1 mostramos que o Honeypot permite alm de detectar e documentar as tentativas de invaso ele permite redirecionar estes ataques para um ambiente que no seja o de produo. No sub-captulo 4.2.4 explanamos que a utilizao do Honeyd permite simular vrios sistemas operacionais e protocolos, o que uma grande vantagem para o administrador na medida em que ele dispe de vrias opes de simulao de ambiente para atrair diversos tipos de invasores. Objetivo 2 - Identificar os principais ataques em redes e o comportamento Hacker. Nos sub-captulos 2.1 e 2.2 identificamos o comportamento hacker como uma atitude que busca explorar o potencial criativo.Conforme explanado diferentemente de um tcnico acadmico os Hackers utilizam-se mais da intuio do que de normas e procedimentos. No que se refere aos principais ataques em redes elencamos no sub-capitulo 2.3 vrios destas atividades tais como footprint, varreduras e enumerao. Objetivo 3 - Apresentar como o processo cognitivo pode oferecer elementos de mudana comportamental de Hackers. Para conseguirmos este objetivo definimos o processo cognitivo em trs dimenses conforme o sub-capitulo 3.1 e mostramos que a terceira dimenso foucaultiana em pode mudar o comportamento hacker ao ser implementada em um honeypot de simulaes sucessivas com repeties intercaladas, definido no sub-captlulo 4.4. Como a utilizao de Honeypot cognitivo pode contribuir para entender e controlar o comportamento hacker na segurana de redes. O entendimento e o controle do comportamento hacker pelos administradores de segurana pode ser adquirido com a utilizao das simulaes possveis de se implementar atravs do honeyd coletando informaes sobre o atacante conforme descrito nos sub-captulos 4.3 e 4.4.

44

REFERENCIAL BIBLIOGRFICO

CAPITULO I
NORTHCUTTWinters,scott,northcutt,Stephen.Frederick,Karen.Zeltser,Lenny.Ritchey,Ronald Desvendando Segurana de Redes . Ed. Campos . So Paulo - 2002 IGDUCA http://www.igeduca.com.br/artigos/nunca-e-tarde-para-aprender/o-que-saoW.-

roteadores.html PROXY - http://proxy.furg.br/proxy/ IDSRNP - http://www.rnp.br/newsgen/9909/ids.html#ng-o DMZREF - http://jeancarloscunha.wordpress.com/2008/11/14/o-que-e-dmzconceito/

CAPITULO II

MICHAELIS Dicionrio on-line: http://michaelis.uol.com.br/ ARAUJO - Assuno, Marcos Flvio Arajo . Segredos do Hacker tico.Ed. Visual Books So Paulo, 2010 PEDROSO http://www.oficinadanet.com.br/artigo/1476/termo_hacker_qual_seu_significado OXFORD -

http://www.askoxford.com/results/?view=dict&freesearch=hacker&branch=13842570&texts earchtype=exact GRUPOCSI - http://grupocsi.blogspot.com/2008/06/footprinting.html CICUNB: http://www.cic.unb.br/~pedro/trabs/buffer_overflow.htm 45

VIVAOLINUX: suids/

http://www.vivaolinux.com.br/artigo/Race-condition-vulnerabilidades-em-

LAUFER: http://www.gta.ufrj.br/grad/03_1/sdi/index.htm

CAPITULO III

ARTECRIATIVA: http://www.webartigos.com/articles/16790/1/UMA-REFLEXAO-SOBREO-CONCEITO-DE-CRIATIVIDADE-E-O-ENSINO-DA-ARTE-NO-AMBIENTEESCOLAR/pagina1.html VYGOTSKY, L.S. Imaginacin y el arte en la infancia. Madri: Hispanicas, 1982. FOUCAULT(1999), Michel, As palavras e as coisas

CAPITULO IV

HONEYDREF presentation

http://www.slideshare.net/UlissesCosta/uso-de-honeypots-com-honeyd-

ASSUNO(2009): Assuno, Marcos Flvio Arajo. Honeypots e Honeynets .Ed. Visual Books So Paulo, 2009.

46