A simples atitude de conectar um computador a uma rede de computa- dores ´e o primeiro passo para torn´a-lo vulner´avel a ataques. Mas o que vem a ser um “ataque a um computador”?
No sentido mais geral diz-se que, um ataque a um computador ´e qualquer iniciativa tomada por algu´em, que visa ter acesso a recursos do computador, sem a devida autoriza¸c˜ao. Os recursos visados podem ser de naturezas as mais variadas, tais como dispositivos f´ısicos ligados ao computador, programas, registros em arquivos, linhas de comunica¸c˜ao, por exemplo.
20
ˆambito do espa¸co virtual, apesar de o conceito de ataque apresentado no par´agrafo anterior n˜ao fazer referˆencia `a proximidade entre computador e atacante. Sob este ponto de vista, a express˜ao “localidade remota” difere do conceito geogr´afico habitual. No espa¸co virtual, dois computadores ligados a uma mesma rede s˜ao equipamentos remotos um com respeito ao outro, mesmo que geograficamente estejam em mesas vizinhas.
Existem duas palavras que traduzem o verdadeiro significado geral da seguran¸ca, seja em que ambiente for, e em particular nas redes de computadores. As palavras s˜ao: autentica¸c˜ao e autoriza¸c˜ao. Os ataques remotos s˜ao favorecidos em virtude da ocorrˆencia de falha em algum dos dispositivos da rede que cuidam, seja da autentica¸c˜ao, seja da autoriza¸c˜ao, de uma solicita¸c˜ao de servi¸co. Na subse¸c˜ao a seguir tratam-se dos aspectos que comp˜oem um ataque a uma rede de computadores.
2.2.1
Estrat´egia de um Ataque
Antes de realizar um ataque a uma rede de computadores, o atacante experiente desenvolve um planejamento met´odico, atrav´es do cumprimento de algumas tarefas iniciais, vide [3], p. 522-535. Nenhuma destas tarefas tem a inten¸c˜ao de perturbar o alvo, o que pode coloc´a-lo em estado de alerta, mas apenas de colher dados necess´arios `a execu¸c˜ao do ataque. As tarefas s˜ao descritas a seguir:
• Delinea¸c˜ao da aparˆencia da rede -
O exame dos servidores de nomes da rede ´e um excelente come¸co, visto que exibe a rela¸c˜ao de todos os seus usu´arios, alguns dos quais poderam servir como disfarce para o atacante. Coletar dados referentes ao ad- ministrador de sistemas, tamb´em ´e uma pr´atica que pode ser ´util ao atacante, al´em da identifica¸c˜ao do sistema operacional utilizado pelo alvo.
• Identifica¸c˜ao de pontos vulner´aveis -
A partir dos dados coletados na tarefa anterior, deve-se proceder `a identifica¸c˜ao de pontos fracos do alvo. Dependendo da acuidade com que estes dados tenham sido obtidos, ser´a poss´ıvel a identifica¸c˜ao dos dados pessoais do administrador do sistema, os seus h´abitos e contas alternativas, entre outros aspectos. Tamb´em ´e poss´ıvel identificar qual ´e a topologia da rede, quem s˜ao os servidores de dom´ınio, quais as caracter´ısticas dos equipamentos e dos sistemas de programa¸c˜ao b´asico e aplicativo, bem como poss´ıveis rela¸c˜oes de confian¸ca e as prov´aveis vulnerabilidades, vide [3], p. 522-525.
• Execu¸c˜ao de teste -
Cumpridas as duas tarefas anteriores, o atacante experiente deve sim- ular um ataque `a guisa de teste. Para tanto, deve obter uma m´aquina que funciona como exemplpo de alvo, cuja configura¸c˜ao se assemelha `a do alvo verdadeiro. Esta simula¸c˜ao permite avaliar o ataque, tanto sob o ponto de vista do atacante, quanto da v´ıtima.
2.2.2
Categorias de Ataques
Na literatura especializada os ataques s˜ao divididos em duas categorias gerais, a saber: ataques passivos e ataques ativos.
A categoria dos ataques passivos re´une todos aqueles ataques que tˆem por objetivo capturar dados da v´ıtima, a partir da simples observa¸c˜ao do seu comportamento. Estes ataques s˜ao “silenciosos”, no sentido de que n˜ao interferem no funcionamento normal do equipamento da v´ıtima. Os ataques passivos se apresentam em uma das duas modalidades descritas a seguir.
A primeira modalidade de ataque passivo consiste na espionagem dos conte´udos de mensagens e se trata de um ass´edio direto aos dados que est˜ao trafegando. Os conte´udos espionados podem ser conversa¸c˜oes telefˆonicas, mensagens de correio eletrˆonico, ou registros de arquivos sendo
22
transferidos. Em geral, s´o h´a efetividade na espreita quando os dados est˜ao em texto puro. A observa¸c˜ao de dados criptografados somente tem sentido se o atacante tem a possibilidade de decifr´a-los.
A outra modalidade de ataque passivo ´e a an´alise de tr´afego de mensagens, que consiste na observa¸c˜ao de alguns aspectos das mensagens chegando na v´ıtima, ou dela se originando. Os aspectos de interesse s˜ao a quantidade de mensagens chegando ou saindo, os tamanhos de pacotes, as origens e os destinos. O dados resultantes destas observa¸c˜oes se tornam ´
uteis na determina¸c˜ao da localiza¸c˜ao e da identifica¸c˜ao de servidores de co- munica¸c˜ao, al´em de permitir que seja esbo¸cado o padr˜ao de comportamento dos usu´arios que utilizam o equipamento sendo espionado. Enfim, as in- forma¸c˜oes obtidas destas observa¸c˜oes podem ser ´uteis nas suposi¸c˜oes sobre a natureza da comunica¸c˜ao em curso, vide [54], p. 8. Conv´em notar que este tipo de ataque produz resultados ´uteis, mesmo quando as mensagens est˜ao criptografadas.
Diferente da anterior, a categoria dos ataques ativos reune os ataques que causam algum tipo de preju´ızo `a v´ıtima. Estes ataques s˜ao divididos em quatro tipos distintos, a saber: disfarce, retransmiss˜ao, modifica¸c˜ao de men- sagens e Nega¸c˜ao-de-Servi¸co.
Um ataque do tipo disfarce ocorre quando o atacante finge ter outra identidade diferente da sua pr´opria. A execu¸c˜ao deste ataque, em geral, ´e realizada em conjunto com algum outro tipo de ataque ativo. `A guisa de ex- emplo, suponha-se que um atacante A foi autenticado e obteve autoriza¸c˜ao para entrar em um ambiente, com um certo grau de privil´egios. Esse ata- cante pode capturar uma seq¨uˆencia de autoriza¸c˜ao de um outro usu´ario B mais privilegiado do que ele, transmitir essa seq¨uˆencia ao servidor de acesso e obter uma autentica¸c˜ao com maior privil´egio, fingindo ser justamente o us´ario B. Observe-se que foi utilizado o ataque da retransmiss˜ao, descrito logo a seguir, para completar o disfarce.
O ataque ativo da retransmiss˜ao ´e, em geral, utilizado como comple- mento a algum outro com inten¸c˜oes bem mais ambiciosas. A sua opera¸c˜ao
consiste em capturar, atrav´es de um ataque passivo, uma seq¨uˆencia de dados e em seguida retransmiti-la para obter algum efeito n˜ao autorizado, vide [54], p. 9.
Existem diversas manifesta¸c˜oes do tipo de ataque conhecido como modi- fica¸c˜ao de mensagensque se podem relacionar. Se uma mensagem original, “Enviar o relat´orio para o usu´ario A”, ´e transformada em “Enviar o relat´orio para o usu´ario B ”, tem-se um claro exemplo de altera¸c˜ao de conte´udo, visto que uma parte da mesma est´a alterada. Por outro lado, se a mensagem “En- viar relat´orio primeiro para A e depois para B ” for modificada para “Enviar relat´orio primeiro para B e depois para A”, ocorre uma modifica¸c˜ao que se refere `a reordena¸c˜ao de conte´udo. Enfim, se a mensagem “Disparar processo `as 15:00hs” for enviada somente `as 16:00hs, ocorre a modifica¸c˜ao por atraso da mensagem. Em qualquer das situa¸c˜oes pode ser originado um efeito n˜ao autorizado, vide [54], p. 9.
Dentre todos os tipos de ataques, passivos ou ativos, descritos anterior- mente, o de nega¸c˜ao-de-servi¸co´e certamente o que tem efeito dos mais no- civos. A finalidade deste ataque ´e a de inibir a utiliza¸c˜ao ou o gerenciamento de recursos de comunica¸c˜ao sem, contudo, danificar os referidos recursos. Como se pode ver, o ataque por nega¸c˜ao-de-servi¸co atinge a base da expec- tativa de todo usu´ario de computadores, que ´e exatamente a disponibilidade de recursos. Incluem-se neste tipo os ataques que provocam a interrup¸c˜ao de conex˜ao entre dois computadores, impedindo o acesso a um servi¸co. Uma outra modalidade de manifesta¸c˜ao da nega¸c˜ao-de-servi¸co ´e por meio da “in- unda¸c˜ao” de uma rede com uma grande quantidade de mensagens in´uteis, de modo que o tr´afego de mensagens leg´ıtimas seja interrompido, vide [14] e [54], p. 9.
De acordo com o que foi apresentado deve-se ter em mente que, tanto ataques passivos, quanto ataques ativos, s˜ao igualmente prejudiciais. A diferen¸ca entre os dois tipos se encontra no modo de detec¸c˜ao e de pre- ven¸c˜ao. Enquanto os ataques passivos s˜ao dif´ıceis de serem detectados, exis- tem mecanismos dispon´ıveis para prevenir o seu sucesso. Por outro lado, os
24
ataques ativos s˜ao f´aceis de serem detectados, por meio da observa¸c˜ao dos seus efeitos. Contudo, a preven¸c˜ao contra os efeitos de ataques ativos pode se constituir em uma tarefa dif´ıcil.
A pr´oxima se¸c˜ao tratar´a do ataque ativo da Nega¸c˜ao-de-Servi¸co, mostrando algumas particularidades do mesmo, visto se tratar do ponto cen- tral de estudo neste trabalho.