|
|
|
-
UMA
PEQUENA DESCRIÇÃO DA FAMÍLIA DE PROTOCOLOS TCP/ IP
Para entender como os ataques funcionam, é necessário ter uma pequena noção de como trabalha a Internet, ou pelo menos como funciona sua base de protocolos de comunicação. Esta família de protocolos chama- se TCP/ IP. Como sabemos, cada computador ligado à Internet é identificado por um número IP. A maioria das pessoas conectadas não tem um IP fixo; ao contrário, toda vez que se conectam ao seu provedor recebem um novo número. Apesar de um número IP ser utilizado para identificar uma máquina dentre as milhões conectadas à Internet, ele não é suficiente para que esta máquina troque informações com outras. Por exemplo, um mesmo endereço IP 123.456.7.8 pode ser utilizado tanto para conexões via browser (www), FTP e IRC. Como um cliente do serviço www pede uma página para esta máquina? E como a máquina 123.456.7.8 diferencia seus diversos serviços oferecidos à Internet. é aqui que surge um importante conceito, muitas vezes negligenciado pelos usuários, mas que é de vital importância para a compreensão de vários tipos de ataques de crackers, que é o conceito de 'porta'. Agora, além de identificarmos as máquinas da Internet, podemos identificaros serviços que elas prestam, e cada um deles é identificado por um número diferente. Estes números são padronizados, para evitar confusão. Por exemplo, para utilizar o serviço www de nossa máquina 123.456.7.8, basta abrirmos uma conexão com a porta 80. O FTP (File Transfer Protocol) utiliza a porta 21, o ICQ usa portas nas faixas 1000- 2000 e o IRC as portas 6666, 6667 e 6668. Existe um total de 65.535 números disponíveis para serem utilizados em uma única máquina. Quanto mais serviços a máquina oferece, mais portas (e seus números) são disponibilizados. Até mesmo a máquina Windows 95/ 98, que aparentemente não fornece serviço nenhum, tem portas abertas.
Um ataque bem sucedido a um computador é aquele que explora uma vulnerabilidade existente em um programa (ou serviço) rodando na máquina. Como já dissemos antes, a maioria dos serviços é acessada através da camada TCP/ IP, e são identificados por um número de porta. Ataques ao próprio mecanismo de manipulação de protocolo TCP/ IP são cada vez mais freqüentes. Para que um invasor possa explorar as falhas de segurança nos vários sistemas de sua máquina, ele precisa saber antes o que está disponível. Existem dois métodos bastante urilizados para este tipo de coleta de dados: a varredura de portas (port scan) e a impressão digital (fingerprint) do sistema operacional. São eles que vamos ver agora.
Utilizando programas especiais, o invasor lança sondas (pacotes IP especiais) tentando estabelecer uma conexão com cada uma das 65.535 portas de seu computador. Se existe algum serviço associado a uma porta, ele irá responder. Desta maneira, o invasor consegue saber, em poucos segundos, o que está rodando em sua máquina.
IMPRESSÃO DIGITAL (fingerprint) Através do envio de uma seqüência especial de pacotes IP a um site específico, pode- se detectar que sistema operacional está rodando analizando os pacotes que ele envia de volta. Com a posse destas informações, o cracker pode escolher a melhor ferramenta a utilizar para invadir e vandalizar o seu micro. É neste ponto que você deve ter atenção redobrada. A informação é a alma da sua segurança: invasão de sistemas é basicamente uma tarefa de pesquisa e coleta de dados. Quanto mais informado você estiver, menos chances terá sofrer algum tipo de ataque no futuro.
O ping é um comando de protocolo que verifica se um computador está 'vivo' ou não. Um cracker pode varrer centenas de possíveis endereços e saber em pouco tempo quais máquinas estão conectadas à rede.
Sistemas operacionais voltados para rede, tipo Windows NT, Linux e variantes do BSD vêm com contas predefinidas (Administrador, root, bin, games, etc...). Muitas vezes, a instalação destes sistemas operacionais não segue algumas regras básicas de segurança, como a não colocação de senhas para estas contas 'default', ou a colocação de senhas de fácil identificação - iniciais, datas de nascimento, nome da namorada... - Um cracker paciente pode tentar por várias horas até encontrar uma máquina com este tipo de problema, utilizando um pequeno programa que checa estas vulnerabilidades automaticamente.
Muito usados no meio de segurança, os programas chamados 'pote de mel' (honey- pots) e 'doce' (candy- bar), são programas que fingem ter uma certa vulnerabilidade de forma a atrair o invasor, nos permitindo identificá- lo antes que ele explore a uma nossa vulnerabilidade (aí sim, prá valer) no sistema. Por exemplo, o NoBO, disponível no endereço http://web.cip.com.br/nobo/, é um programa que simula a presença de um BackOffice, um conhecido cavalo- de- tróia, e informa ao usuário quem está tentando invadir sua máquina. Outro programa deste tipo, para o NetBus é o NetBuster, disponível em http://softwaresolutions.net/netbuster.htm.
SNIFFERS, FAREJADORES DE PACOTES Uma maneira muito simples de se obterem senhas através da técnica conhecida como 'sniffing' é a utilização de Sniffers. Sniffers são programas que capturam todos os pacotes que passam pela rede, sejam eles destinados à sua máquina ou não (diz- se que sua interface está operando de modo promíscuo - aceitando todos os pacotes que enxergar). Esta técnica é mais comum em ambientes corporativos ou em laboratórios de computadores, onde exista uma rede local (LAN) Ethernet, e aí, o perigo é real e imediato. CUIDADO!!! Qualquer lugar onde você é obrigado a enviar sua senha pela rede PODE SER capturada. Alguns casos em que a senha é enviada em aberto: -
Servidores FTP; Outra maneira de lidar com farejadores é utilizando programas que detectam este tipo de atividade. Através de técnicas especiais, você pode descobrir quem em sua rede está operando em modo suspeito. Um excelente programa é o AntiSniffer, disponível para download no endereço www.lopht.com/antsniff.
CRASHES E TELAS AZUIS DA MORTE Estaé uma categoria conhecida, na área de segurança, como ataques DoS. O termo vem de "Denial os Service", ou negação de serviço. São formas e técnicas de fazer com que um determinado serviço, ou a máquina inteira, fique inoperante. Muitos dos ataques que iremos descrever abaixo têm soluções disponíveis, bastando para isso utilizar as últimas atualizações de segurança do seu sistema operacional. * ICMP DoS: um pacote construído maliciosamente pode causar um 'crash' em máquinas Windows 95. Para corrigir este problema, baixe o arquivo ftp://ftp.microsoft.com.Softlib/MSLFILES/vipupd.exe e atualize o seu sistema. Máquinas Windows 98 não são afetadas. SYN Flood: ou Inundação de SYNs. SYNs são pacotes IP especiais que abrem uma conexão. Enviando uma chuva desses pacotes em um curto espaço de tempo, o sistema abre muitas conexões com a máquina alvo e não fecha nenhuma. Conseqüentemente, o sistema não consegue mais utilizar a rede. Land, Latierra, WinNUKE, OOB, Teardrop: formas de construção de pacotes com a intensão de travar uma máquina alvo. Não afetam máquinas Windows 98. Para usuários do Windows 95, o seguinte arquivo deve ser instalado: ftp://ftp.microsoft.com/softlib/mslfiles/msdun13.exe. Smurf: Este tipo de ataque não tem remédio. Sua rede é inundada por pacotes, deixando a sua conexão lenta e até mesmo inoperante. É um ataque m,uito sério, mas mais direcionado a sites. Raramente, usuários de provedores sofrem com ele. Se você acha que está sob um ataque Smurf, ou seja, se você está notando que sua conexão com a Internet está muito mais lenta, apenas reconecte- se ao seu provedor.
|
|