Índice
Introdução
Tipos de ataques
Mantendo seu sistema seguro
E-mail e navegação
Criptografia
Proteção contra Javas Malignos
Protegendo- se no IRC
Segrança no ICQ
Implemantando um Firewall
Livro de visitas
 

- UMA PEQUENA DESCRIÇÃO DA FAMÍLIA DE PROTOCOLOS TCP/ IP
-
A COLETA DE DADOS
-
PORT SCANS
-
IMPRESSÃO DIGITAL (fingerprint)
-
PING SWEEP
-
VERIFICAÇÃO DE CONTAS
-
POTES DE MEL
-
SNIFFERS, FAREJADORES DE PACOTES
-
CRASHES E TELAS AZUIS DA MORTE

 

 

Para entender como os ataques funcionam, é necessário ter uma pequena noção de como trabalha a Internet, ou pelo menos como funciona sua base de protocolos de comunicação. Esta família de protocolos chama- se TCP/ IP. Como sabemos, cada computador ligado à Internet é identificado por um número IP. A maioria das pessoas conectadas não tem um IP  fixo; ao contrário, toda vez que se conectam ao seu provedor recebem um novo número.

Apesar de um número IP ser utilizado para identificar uma máquina dentre as milhões conectadas à Internet, ele não é suficiente para que esta máquina troque informações com outras. Por exemplo, um mesmo endereço IP 123.456.7.8 pode ser utilizado tanto para conexões via browser (www), FTP e IRC. Como um cliente do serviço www pede uma página para esta máquina? E como a máquina 123.456.7.8 diferencia seus diversos serviços oferecidos à Internet. é aqui que surge um importante conceito, muitas vezes negligenciado pelos usuários, mas que é de vital importância para a compreensão de vários tipos de ataques de crackers, que é o conceito de 'porta'.

Agora, além de identificarmos as máquinas da Internet, podemos identificaros serviços que elas prestam, e cada um deles é identificado por um número diferente. Estes números são padronizados, para evitar confusão. Por exemplo, para utilizar o serviço www de nossa máquina 123.456.7.8, basta abrirmos uma conexão com a porta 80. O FTP (File Transfer Protocol) utiliza a porta 21, o ICQ usa portas nas faixas 1000- 2000 e o IRC as portas 6666, 6667 e 6668. Existe um total de 65.535 números disponíveis para serem utilizados em uma única máquina. Quanto mais serviços a máquina oferece, mais portas (e seus números) são disponibilizados. Até mesmo a máquina Windows 95/ 98, que aparentemente não fornece serviço nenhum, tem portas abertas.

Voltar ao início

 

A COLETA DE DADOS

Um ataque bem sucedido a um computador é aquele que explora uma vulnerabilidade existente em um programa (ou serviço) rodando na máquina. Como já dissemos antes, a maioria dos serviços é acessada através da camada TCP/ IP, e são identificados por um número de porta. Ataques ao próprio mecanismo de manipulação de protocolo TCP/ IP são cada vez mais freqüentes.

Para que um invasor possa explorar as falhas de segurança nos vários sistemas de sua máquina, ele precisa saber antes o que está disponível. Existem dois métodos bastante urilizados para este tipo de coleta de dados: a varredura de portas (port scan) e a impressão digital (fingerprint) do sistema operacional. São eles que vamos ver agora.

Voltar ao início

 

PORT SCANS

Utilizando programas especiais, o invasor lança sondas (pacotes IP especiais) tentando estabelecer uma conexão com cada uma das 65.535 portas de seu computador. Se existe algum serviço associado a uma porta, ele irá responder. Desta maneira, o invasor consegue saber, em poucos segundos, o que está rodando em sua máquina.

Voltar ao início

 

IMPRESSÃO DIGITAL (fingerprint)

Através do envio de uma seqüência especial de pacotes IP a um site específico, pode- se detectar que sistema operacional está rodando analizando os pacotes que ele envia de volta.

Com a posse destas informações, o cracker pode escolher a melhor ferramenta a utilizar para invadir e vandalizar o seu micro. É neste ponto que você deve ter atenção redobrada. A informação é a alma da sua segurança: invasão de sistemas é basicamente uma tarefa de pesquisa e coleta de dados. Quanto mais informado você estiver, menos chances terá sofrer algum tipo de ataque no futuro.

Voltar ao início

 

PING SWEEP

O ping é um comando de protocolo que verifica se um computador está 'vivo' ou não. Um cracker pode varrer centenas de possíveis endereços e saber em pouco tempo quais máquinas estão conectadas à rede.

Voltar ao início

 

VERIFICAÇÃO DE CONTAS

Sistemas operacionais voltados para rede, tipo Windows NT, Linux e variantes do BSD vêm com contas predefinidas (Administrador, root, bin, games, etc...). Muitas vezes, a instalação destes sistemas operacionais não segue algumas regras básicas de segurança, como a não colocação de senhas para estas contas 'default', ou a colocação de senhas de fácil identificação - iniciais, datas de nascimento, nome da namorada... - Um cracker paciente pode tentar por várias horas até encontrar uma máquina com este tipo de problema, utilizando um pequeno programa que checa estas vulnerabilidades automaticamente.

Voltar ao início

 

POTES DE MEL

Muito usados no meio de segurança, os programas chamados 'pote de mel' (honey- pots) e 'doce' (candy- bar), são programas que fingem ter uma certa vulnerabilidade de forma a atrair o invasor, nos permitindo identificá- lo antes que ele explore a uma nossa vulnerabilidade (aí sim, prá valer) no sistema. Por exemplo, o NoBO,  disponível no endereço http://web.cip.com.br/nobo/, é um programa que simula a presença de um BackOffice, um conhecido cavalo- de- tróia, e informa ao usuário quem está tentando invadir sua máquina. Outro programa deste tipo, para o NetBus é o NetBuster, disponível em http://softwaresolutions.net/netbuster.htm.

Voltar ao início

 

SNIFFERS, FAREJADORES DE PACOTES

Uma maneira muito simples de se obterem senhas através da técnica conhecida como 'sniffing' é a utilização de Sniffers. Sniffers são programas que capturam todos os pacotes que passam pela rede, sejam eles destinados à sua máquina ou não (diz- se que sua interface está operando de modo promíscuo - aceitando todos os pacotes que enxergar). Esta técnica é mais comum em ambientes corporativos ou em laboratórios de computadores, onde exista uma rede local (LAN) Ethernet, e aí, o perigo é real e imediato. CUIDADO!!! Qualquer lugar onde você é obrigado a enviar sua senha pela rede PODE SER capturada.

Alguns casos em que a senha é enviada em aberto:

- Servidores FTP;
- Autenticação de usuários NT (utilizanddo a opção menos segura);
- Servidores TELNET;
- Servidores de E-mail.

Outra maneira de lidar com farejadores é utilizando programas que detectam este tipo de atividade. Através de técnicas especiais, você pode descobrir quem em sua rede está operando em modo suspeito. Um excelente programa é o AntiSniffer, disponível para download no endereço www.lopht.com/antsniff.

 

Voltar ao início

 

CRASHES E TELAS AZUIS DA MORTE

Estaé uma categoria conhecida, na área de segurança, como ataques DoS. O termo vem de "Denial os Service", ou negação de serviço. São formas e técnicas de fazer com que um determinado serviço, ou a máquina inteira, fique inoperante. Muitos dos ataques que iremos descrever abaixo têm soluções disponíveis, bastando para isso utilizar as últimas atualizações de segurança do seu sistema operacional.

* ICMP DoS: um pacote construído maliciosamente pode causar um 'crash'  em máquinas Windows 95. Para corrigir este problema, baixe o arquivo ftp://ftp.microsoft.com.Softlib/MSLFILES/vipupd.exe e atualize o seu sistema. Máquinas Windows 98 não são afetadas.

SYN Flood: ou Inundação de SYNs. SYNs são pacotes IP especiais que abrem uma conexão. Enviando uma chuva desses pacotes em um curto espaço de tempo, o sistema abre muitas conexões com a máquina alvo e não fecha nenhuma. Conseqüentemente, o sistema não consegue mais utilizar a rede.

Land, Latierra, WinNUKE, OOB, Teardrop: formas de construção de pacotes com a intensão de travar uma máquina alvo. Não afetam máquinas Windows 98. Para usuários do Windows 95, o seguinte arquivo deve ser instalado: ftp://ftp.microsoft.com/softlib/mslfiles/msdun13.exe.

Smurf: Este tipo de ataque não tem remédio. Sua rede é inundada por pacotes, deixando a sua conexão lenta e até mesmo inoperante. É um ataque m,uito sério, mas mais direcionado a sites. Raramente, usuários de provedores sofrem com ele. Se você acha que está sob um ataque Smurf, ou seja, se você está notando que sua conexão com a Internet está muito mais lenta, apenas reconecte- se ao seu provedor.

Voltar ao início

 

Todos os textos foram baseados em livros e revistas especializadas em segurança de rede. Quaisquer críticas ou sugestões, escreva para albocatios@hotmail.com, ou assine o nosso livro de visitas. Sua mensagem será lida, e com a maior brevidade, respondida.