Ataques Remotos

Os ataques remotos são considerados os de maior risco, visto que o simples acesso ao servidor, via rede de computadores, já constitui uma séria ameaça ao sistema, se o usuário for alguém com objetivos maliciosos.

A dificuldade dos administradores de uma rede de computadores em detectar esse tipo de intrusão dá-se por que normalmente ele utiliza uma porta dos fundos ou

BlackDoor, para instalar os programas com privilégios de Root ou que o farão se passar

por um usuário legítimo. Além de eliminar os rastros deixados pela manipulação de arquivos (apagamento e instalação).

45

Os principais tipos de ataques remotos e ferramentas foram divididos em algumas categorias, são elas:

a) Análise do Alvo

Antes que qualquer ataque possa acontecer é realizada uma análise dos possíveis alvos, para que o atacante possa realizar a sua estratégia de ataque e assim verificar todas as possibilidades que ele (atacante) possui e qual a gravidade do ataque que poderá fazer.

Essa análise é realizada mediante a análise de portas (serviços) em uso, isso poderá ser feito, por exemplo, mediante a engenharia social (ataque local), até mesmo utilizando programas de busca como o Google, Yahoo, Altavista Surf, Cadê, Miner para verificar softwares que contenham correções e quais os problemas de segurança que eles possuem. O passo seguinte é descobrir se esses softwares com problemas estão em funcionamento na instituição alvo.

Isto ocorre pois, a questão da segurança é cada dia um sério problema para os desenvolvedores de software. E a cada dia estão mais comuns notícias de falha em CGI (Common Gateway Interface) e normalmente em conjunto com esta notícia, vem a forma de explorar essa falha. Uma forma bem simples e muitas vezes eficaz de conseguir essas informações é realizar uma busca pelo nome do CGI vulnerável em sites de busca.

Uma das primeiras situações a serem realizadas pelo invasor é justamente o mapeamento da rede para coleta de informações sobre particularidades do ambiente- alvo. Com isso é possível identificar a topologia, por exemplo, quais são os componentes da rede, qual o sistema operacional dos servidores e de máquinas clientes, quais os serviços estão ativos etc.

Uma ferramenta aparentemente simples que pode ser utilizada para realizar essa tarefa inicial é o PING, pois com ela é possível saber os sistemas operacionais utilizados pelo local alvo. Isto é possível por meio do campo TTL (tabela 1). Abaixo algumas especificações para se descobrir o tipo de sistema operacional mediante o uso da ferramenta PING.

Tabela 1 Sistemas Operacionais e seus campos TTL

Sistema Operacional Campo TTL

Free/Net/OpenBSD TTL 255 Linux TTL 255 RedHat TTL 64 Windows(95/98/NT/2000) TTL 128 Roteadores (Bay/Cyclades) TTL 30 Roteadores (Cisco) TTL 255 Switches (3Com) TTL 30

Impressoras HP (JetDirect/Laser Jet/etc) TTL 60

Além da ferramenta PING e seus argumentos, podem ser utilizados outras ferramentas para verificar rotas, identificar serviços disponíveis em um equipamento remoto, bem como outras que mostram informações como tipo de produto, versão do produto etc. Na figura 20 foram utilizados somente o Messenger e o Netstat (no

Windows XP) para descobrir o IP do outro lado da linha da rede de computadores, sendo

que para isso foi solicitado um arquivo em anexo, tempo suficiente para se descobrir o IP.

47

Figura 20 - Amostra de identificação de IP usando o Messenger e Netstat

Abaixo algumas ferramentas para verificar rotas e um breve resumo do que cada uma dessas ferramentas é capaz de realizar.

Traceroute – existem muitas variações deste software, ele basicamente faz a identificação da rota entre dois equipamentos em rede.

Strobe - utilizada para identificar quais serviços estão disponíveis em um equipamento remoto. Este tipo de ataque é chamado de “ataque remoto”, pois não utiliza nenhuma espécie de técnica evasiva, sendo fácil de ser detectado por ferramentas de Detecção de Intrusão.

Glabb – visa obter informações dos servidores, isso é facilitado quando coloca nos servidores banners (informações) sobre o produto nele utilizado, a versão etc.

Nmap – é uma ferramenta para mapeamento remoto, com o objetivo de identificar o sistema operacional e a verificação de portas ativas com opções de técnicas tradicionais e evasivas, sendo que na maioria dessas ações são exigidos os privilégios de super usuário ou root.

Cprobe – esta ferramenta permite identificar remotamente determinado equipamento baseado somente em pacotes ICMP e um pacote UDP.

SATAN – desenvolvido em 1995, foi uma das primeiras ferramentas desenvolvidas para explorar as vulnerabilidades de uma rede.

Nessus – é uma ferramenta gratuita que realiza uma verificação remota de vulnerabilidades de concepção modular e com a filosofia cliente-servidor, pois mantém constantemente atualizado seu banco de dados de vulnerabilidades e ataques.

Existem também outras ferramentas bem interessantes como a NetCat e a

Nêmesis, que não serão destacadas neste trabalho. Essas ferramentas também são

capazes de trazer muita preocupação aos administradores de redes de computadores, pela sua capacidade de procurar falhas e portas ativas com muita facilidade.

b) Ataques em camadas

Este tipo de ataque visa despistar e dificultar a origem do ataque. Nesse tipo de ataque o invasor utiliza vários servidores (normalmente em até 3 camadas) para se esconder de uma futura busca pela rota do invasor. Nestes casos o local do possível invasor também é vítima, e isto pode conter uma lista de locais que foram manipulados, dificultando o trabalho de verdadeira origem do ataque, incapacidade em muitos casos encontrar o verdadeiro local do invasor.

O principal engano dos administradores é pensar que por sua rede não conter informações importantes que possam servir de atrativos para um invasor, negligenciam a segurança de sua rede.

No entanto, apesar dos obstáculos, qualquer ataque pode ser rastreado até a sua origem, sendo que o invasor ganha tempo devido à dificuldade de mobilização dos administradores de rede em encontrar a verdadeira origem do ataque.

49

Com este ataque assim como outros tipos o invasor poderá instalar cavalos de tróia e portas dos fundos, para analisar o comportamento da rede de computadores a ser invadida, como também obter acesso remoto a um equipamento (servidor, estação de trabalho, roteador, servidor de terminal etc.).

Além do ataque em camadas existem os ataques a serviços, como ataques a servidores na web, ataques à segurança em CGI (Common Gateway Interface). A aplicação de métodos PUT e POST, aplicação de negação de serviços, seqüestros de sessão e estouro de pilha (buffer overflow).

c) Fraudes e Falsificações

Muitas fraudes são possíveis com a atual tecnologia, desde a falsificação de e- mails, sites e até mesmo a falsificação do endereço IP de outro equipamento. Por exemplo, em termos de falsificação de e-mail pode-se falsificar sem muitas dificuldades um e-mail, destacando o remetente (From) do e-mail e o destinatário (To) e o assunto desse e-mail. O trabalho se resume a falsificar o cabeçalho do e-mail, esta técnica é muito utilizada por SPAM por meio de relay. O relay utiliza-se de uma má configuração em servidores de correio eletrônico, que permitem o envio de mensagens para domínios não locais, fazendo no entanto parecer que a mensagem foi enviada pelo domínio do servidor que permitiu o relay.

Mas por mais que se queira dificultar a identificação da origem do e-mail, grande parte das informações sobre a origem é descrita no cabeçalho. Em alguns casos é necessária uma investigação mais minuciosa, mas quase sempre é possível identificar a origem, algumas vezes dificultada pelo uso de Middle on the Man (homen no meio) ou seqüestro de sessão.