Metodologias de Ataques Inform´aticos

Na sec¸c˜ao anterior vimos que existem 4 categorias de amea¸cas `a informa¸c˜ao que podem traduzir-se em ataques activos e/ou passivos. Contudo, estes ataques podem ser implementados segundo v´arias metodologias ou t´ecnicas:

Malware

O termo malware, do Inglˆesmalicious software, ´e relativo a um software destinado

a infiltrar-se num sistema computacional, de forma il´ıcita, com intuito de causar algum dano ou roubo de informa¸c˜ao. Alguns exemplos de malware s˜ao:

• V´ırus Inform´atico: Segmento de c´odigo malicioso, normalmente anexo a outros programas, desenvolvido para se copiar a si pr´oprio, de computador em computador, de forma a espalhar-se rapidamente pelos recursos do sistema, propagando a infec¸c˜ao `a medida que circula, tal como um v´ırus biol´ogico.

Os v´ırus inform´aticos, geralmente, atacam programas e o sector de boot6 _do

disco, destroem ficheiros, modificam dados e comprometem sistemas. Por´em, estes necessitam de interac¸c˜ao humana para se espalharem (por exemplo, o utilizador abrir um ficheiro infectado).

No Anexo A poderemos ver o Ranking dos v´ırus inform´aticos mais

perigosos dos ´ultimos 20 anos, divulgado num estudo da Panda Security,

no ˆambito da comemora¸c˜ao do seu 20o _{anivers´ario.}

• Worms: S˜ao uma subclasse de v´ırus inform´atico. Por´em, ao contr´ario deste ´

ultimo, espalham-se sem a interac¸c˜ao do utilizador, distribuindo c´opias de si pr´oprio atrav´es da rede e tomando o controlo de fun¸c˜oes do computador que permitem transportar informa¸c˜ao. Depois de entrar no sistema, um worm movimenta-se sozinho e multiplica-se em grande volume, podendo, para al´em de outros tipos de danos, consumir mem´oria ou largura de banda, fazendo com que o computador fique bloqueado.

6

Boot, em computa¸c˜ao, ´e o termo em inglˆes para o processo de inicializa¸c˜ao do computador que carrega o sistema operativo quando a m´aquina ´e ligada.

• Trojans ou Cavalos de Tr´oia: S˜ao programas disfar¸cados, aparentando

ser software ´util, que executam uma determinada tarefa maligna, com o intuito de comprometer a seguran¸ca do sistema. Acontece com bastante frequˆencia um utilizador executar um jogo adquirido atrav´es da Internet, que secretamente, instala um Trojan que abre uma porta TCP para possibilitar uma invas˜ao ao sistema. Entre os mais populares est˜ao o NetBus e o Back Orifice.

Sabia que:

Esta t´ecnica foi buscar a sua designa¸c˜ao a um epis´odio bastante conhecido da mitologia grega, quando soldados gregos, escondidos dentro do que aparentava ser um cavalo de madeira, saindo do seu interior tomaram a cidade de Tr´oia. Um Trojan usa tamb´em um disfarce para atingir os seus prop´ositos.

• Spyware: Estes programas monitorizam e reportam o uso que fazemos dos programas, especialmente o uso da Internet, transmitindo toda a informa¸c˜ao do utilizador para uma entidade externa sem o conhecimento ou consentimento deste. S˜ao utilizados, sobretudo, como ferramentas de marketing, e muitas vezes est˜ao na origem de mail spam7_.

• Rogueware: S˜ao falsos anti-v´ırus (PcLiveGuard ou GreatDefender ), que se

fazem passar por aplica¸c˜oes de software leg´ıtimas para enganar os utilizadores, levando-os a crer que eliminam as amea¸cas que afirmam ter detectado em troco do pagamento da vers˜ao completa, roubando-lhes no fundo o seu dinheiro. O processo de instala¸c˜ao ´e semelhante ao de qualquer outro antiv´ırus, permitindo que os utilizadores seleccionem o idioma e a localiza¸c˜ao dos ficheiros. Ap´os a instala¸c˜ao, para convencer os utilizadores de que est˜ao protegidos, ´e mostrado um ´ıcone no ambiente de trabalho e na barra de tarefas, tornando-o o mais autˆentico poss´ıvel. No final, os utilizadores tˆem instalada uma aplica¸c˜ao que na realidade nada faz e os seus dados banc´arios ser˜ao provavelmente utilizados sem o seu consentimento noutras ilegalidades.

7

Spam ´e uma mensagem electr´onica n˜ao solicitada enviada em massa. Geralmente, consiste em e-mails com fins publicit´arios, mas que, por vezes, s˜ao aproveitados para difundir links maliciosos.

Decifragem de Passwords e Falhas de Autentica¸c˜ao

Quando nos queremos conectar a um sistema inform´atico, este pede, na grande maioria das vezes, um identificador (em inglˆes username) e uma palavra-chave

(em inglˆes password) para que possamos aceder aos seus recursos. Este par de

parˆametros forma assim a chave que nos permite obter um acesso ao sistema. O identificador ´e, geralmente, atribu´ıdo automaticamente pelo sistema ou pelo seu administrador, por´em a escolha da password ´e deixada frequentemente `a escolha do utilizador. Assim, a maior parte dos utilizadores, considerando que n˜ao tˆem nada de realmente secreto a proteger, contenta-se em utilizar uma password f´acil de memorizar (o seu nome ou a sua data de nascimento). Este facto tornou-se um atractivo para os Crackers, pois segundo Estrela (1998) “o acesso mais f´acil a

um sistema ´e normalmente a porta da frente, isto ´e, o comando login”. Neste

ˆambito, a password do utilizador ´e normalmente a primeira vulnerabilidade que um

Cracker tenta explorar, existindo para isso v´arias metodologias de ataque:

• Ataque por For¸ca Bruta: ´E um algoritmo trivial, mas de uso geral,

que consiste em enumerar todos os poss´ıveis candidatos de uma solu¸c˜ao e verificar se cada um satisfaz o problema. Em criptografia, envolve cruzar o algoritmo de busca de chaves poss´ıveis at´e a chave correcta ser encontrada. No acesso ao sistema, atrav´es da chave username/password, um ataque

por for¸ca bruta poder´a ser ´util para tentar adivinhar este conjunto atrav´es

do meio tentativa e erro at´e `a exaust˜ao, at´e encontrar o conjunto correcto.

Este ataque ter´a que ser executado atrav´es de um c´odigo automatizado, pois devido `a magnitude de solu¸c˜oes ´e invi´avel execut´a-lo manualmente.

• Ataque por Dicion´ario: Oataque por for¸ca brutapode demorar horas,

dias, ou at´e anos de c´alculo mesmo com m´aquinas equipadas com processadores potentes. Uma alternativa ´e o Ataque por Dicion´ario.

Visto que, na maior parte dos sistemas, as passwords s˜ao armazenadas de maneira codificada, num ficheiro ou numa base de dados, sendo de um universo leg´ıvel, quando um Cracker tem acesso ao sistema e obt´em este tipo de

O ataque por dicion´ario consiste, ent˜ao, na cifragem das palavras de um

dicion´ario atrav´es da fun¸c˜ao crypt(), e na posterior compara¸c˜ao com os ficheiros de passwords de utilizadores. Desta forma, quando uma palavra do dicion´ario cifrada coincide com a password cifrada de um utilizador, o atacante obt´em a password correcta. Com este ataque o Cracker consegue desvendar uma

password fraca em poucos minutos.

Sabia que:

O ataque por dicion´ario foi criado por Robert Morris, coincidˆencia ou n˜ao,

filho de Robert Morris da NSA (National Security Agency) que foi um dos pesquisadores que desenvolveu a fun¸c˜ao crypt(). Ironia do destino, mais tarde o seu filho utilizou-a para prop´ositos menos nobres.

• Key Logger: ´E um software em permanente execu¸c˜ao, embora o utilizador n˜ao consiga visualizar a sua actividade, que captura os dados inseridos no teclado do computador. Esta aplica¸c˜ao tem a capacidade de identificar o preciso momento em que o utilizador acede a um site protegido, gravando a partir da´ı a sequˆencia de teclas pressionadas para envio dissimulado para o atacante, via Internet, para que este possa recolher os dados sigilosos.

• Teclado Virtual Falso: ´E um software malicioso que abre uma janela de teclado virtual clonado exactamente sobre o teclado virtual leg´ıtimo do banco, para que o utilizador coloque l´a os seus dados sem a m´ınima desconfian¸ca. • Mouse Loggers: ´E um software que captura os movimentos e cliques do

rato com o objectivo de contornar os teclados virtuais dos bancos. Os mais recentes capturam, inclusive, uma pequena imagem da ´area onde o clique do rato ocorreu para reconhecer os d´ıgitos seleccionados nos teclados virtuais.

Espionagem: Por vezes, basta observar os pap´eis em redor do ecr˜a do utilizador ou dar uma simples espreitadela aquando da introdu¸c˜ao da password para conseguir

Engenharia Social

Por vezes, para que o Cracker possa chegar `a abordagem directa de um ataque,

necessita obter informa¸c˜oes de modo indirecto. Para isso, recorre muitas vezes `a chamada Engenharia Social que consiste, no fundo, em enganar pessoas para

conseguir vantagens, como no caso do indiv´ıduo que liga para um servi¸co e pergunta “Por favor, perdi a minha password de Internet. Poderia consultar o sistema e relembrar-me os meus dados de acesso?”. Alguns t´ecnicos pedem alguns dados pessoais para comprovar a identidade da pessoa, outros, como t´ecnicos insatisfeitos ou ing´enuos, ignoram o assunto e fornecem todos os dados que lhe pedirem.

Se o leitor tiver curiosidade, desloque-se a uma companhia telef´onica e pe¸ca a segunda via de um cart˜ao qualquer. Muito provavelmente nem sequer lhe pedem nenhum documento de identifica¸c˜ao.

Contudo, a eficiˆencia desta metodologia depende muito das habilidades pessoais do

Cracker, podendo ser realizada atrav´es de telefonemas, e-mails, iMessenger, e at´e

mesmo pessoalmente. Embora n˜ao seja propriamente um tipo de ataque a redes de computadores, permite ao Cracker obter informa¸c˜oes important´ıssimas para

poder realizar um ataque eficaz. Algumas das t´ecnicas utilizadas s˜ao:

• Phishing: ´E uma t´ecnica cibercriminosa, atrav´es da qual o atacante utiliza e-mails fraudulentos, enviados em massa, a solicitar informa¸c˜oes confidenciais, sobretudo financeiras, constituindo uma s´eria amea¸ca, tanto para utilizadores dom´esticos, como para empresas. Recentemente tˆem surgido v´arias variantes desta t´ecnica, que envolvem o envio de um e-mail que ao inv´es de conter links que direccionam para um formul´ario onde ´e requerida informa¸c˜ao confidencial, direccionam para p´aginas que contˆem programas maliciosos, dos mais variados tipos, que se auto-instalam no computador do utilizador.

• Pharming ou DNS poisoning: ´E uma variante sofisticada de Phishing,

que consiste em corromper o DNS de uma rede de computadores, fazendo com que o URL de um site passe a apontar para um servidor diferente do original. O processo ´e simples: Como um endere¸co IP ´e dif´ıcil de memorizar, existe um

Sempre que ´e introduzido um nome de dom´ınio no browser, este ´e traduzido para o endere¸co IP correspondente, permitindo assim aceder ao site pretendido. Um ataque de Pharming manipula esta tradu¸c˜ao, alterando-a de acordo com os desejos do atacante. Deste modo, o endere¸co IP associado a um dom´ınio poder´a apontar para uma p´agina fict´ıcia, geralmente uma c´opia fiel da p´agina original e com nome de dom´ınio muito semelhante, hospedada noutro servidor com outro endere¸co IP, que est´a sobre o controlo do Cracker (figura 3.5).

Desta forma, embora o utilizador introduza oNome de Dom´ıniocorrecto, ´e

dirigido para um servidor diferente do pretendido, sem que se aperceba que est´a a ser atacado, criando a falsa impress˜ao que est´a no site desejado, induzindo-o a fornecer os seus dados pessoais, que ser˜ao armazenados pelo servidor falso.

Figura 3.5 – T´ecnicaDNS Poisoning

• Scamming: T´ecnica que visa roubar passwords e n´umeros de contas de

clientes banc´arios enviando um e-mail falso oferecendo um servi¸co na p´agina do banco. A maioria dos bancos n˜ao enviam e-mails a oferecer seja o que for, por raz˜oes de seguran¸ca, logo qualquer e-mail desta esp´ecie ´e falso.

Nega¸c˜ao de Servi¸co

Este ataque, ilustrado na figura3.6, consiste, na sua generalidade, em sobrecarregar um servidor com uma quantidade excessiva de solicita¸c˜oes de servi¸cos, fazendo com que este fique impedido de processar os pedidos normais, bloqueado-o.

Figura 3.6 – T´ecnica Nega¸c˜ao de Servi¸co

Dando um exemplo de um ataque deste tipo, ´e do conhecimento de todos que a maior parte dos sistemas s˜ao configurados de maneira a bloquear temporariamente a conta de um utilizador ap´os diversas tentativas de login infrut´ıferas. Desta forma, os

sistemas conseguem escapar a ataques por for¸ca bruta, pois apenas permitem

duas ou trˆes tentativas de autentica¸c˜ao, sem que a conta seja bloqueada. Assim, um

Cracker dificilmente conseguir´a infiltrar-se no sistema, por esse m´etodo.

No entanto, oCrackerpode servir-se desse mecanismo de controlo de acesso para

bloquear constantemente todas as contas, atrav´es de um ataque por for¸ca bruta,

acabando por impedir o acesso ao sistema a qualquer utilizador. Isto causa uma indisponibilidade do sistema, isto ´e, uma Nega¸c˜ao de Servi¸co.

A principal fun¸c˜ao desta metodologia ´e, no fundo, impedir que os utilizadores fa¸cam uso de um determinado servi¸co ou sistema.

Geralmente, ´e feito atrav´es do derrube de conex˜oes e/ou servi¸cos pelo excesso de dados enviados simultaneamente a uma determinada m´aquina ou rede.

As variantes mais conhecidas desta metodologia s˜ao:

• DDoS (Distributed Denial of Service): ´E um m´etodo de ataque conjunto e coordenado entre v´arias m´aquinas a um servidor v´ıtima (figura 3.7).

Figura 3.7 – Ataque Nega¸c˜ao de Servi¸co Distribu´ıda

Nesta variante, o agressor invade v´arios computadores, que podem chegar aos milhares, onde instala software silencioso, denominado por alguns autores

comozombies. Quando ´e dada a ordem para iniciar o ataque, cada software

malicioso, instalado em cada m´aquina, come¸ca abombardearo servidor alvo

com solicita¸c˜oes. As solicita¸c˜oes atingem um n´umero de tal forma grande que o servidor acaba por sair de servi¸co.

Com esta t´ecnica alguns Crackers conseguiram paralisar sites como o da

CNN, Yahoo!, entre muitos outros.

• Mail Bomb: ´E a t´ecnica de inundar um computador com mensagens

electr´onicas. Em geral, o agressor usa um script para gerar um fluxo cont´ınuo de mensagens e abarrotar a caixa de correio electr´onico de um utilizador. A sobrecarga tende a provocar nega¸c˜ao de servi¸co no servidor de e-mail. Existem diversos programas que automatizam o mail bombing.

• Ping of death: Consiste em enviar um pacote IP com tamanho maior que o m´aximo permitido (65535 bytes), para a m´aquina v´ıtima. O pacote ´e enviado em fragmentos, pois nenhum tipo de rede permite o tr´afego de pacotes com este tamanho. Quando a m´aquina tenta montar os fragmentos, in´umeras coisas podem ocorrer: a maioria das m´aquinas bloqueiam, algumas reiniciam, outras abortam e mostram mensagens na consola, etc. Este ataque chama-se Ping

of Deathpois as suas primeiras ocorrˆencias foram a partir do comando ping.

• Smurf: Nesta metodologia, o agressor, numa primeira fase (figura3.8), envia uma r´apida sequˆencia de solicita¸c˜oes Ping (comando b´asico para testar a disponibilidade de uma m´aquina) para um endere¸co de broadcast fazendo-se passar por outra m´aquina (T´ecnica IP Spoofing (figura 3.11)).

Numa segunda fase (figura 3.9), o Cracker faz com que o servidor de

broadcast encaminhe as respostas n˜ao para o seu endere¸co, mas para o da v´ıtima. Assim, o computador alvo ´e inundado pelo Ping. Esta t´ecnica pode utilizar v´arias m´aquinas, tal como ilustrado na figura 3.8 e figura 3.9.

Figura 3.9 – Ataque Smurf, respostas para a v´ıtima

• Syn Flood: Esta metodologia de ataque (figura3.10) consiste no envio de um grande n´umero de pacotes de abertura de conex˜ao (SYN), com um endere¸co de origem forjado (IP Spoofing, figura 3.11), para um determinado servidor. O servidor ao receber os pacotes, coloca uma entrada na fila de conex˜oes em andamento e envia um pacote de resposta (SYN-ACK), ficando a aguardar uma confirma¸c˜ao da m´aquina cliente.

Como o endere¸co de origem dos pacotes ´e falso, a confirma¸c˜ao nunca chega ao servidor. Deste modo, a fila de conex˜oes do servidor fica lotada e, a partir da´ı, todos os pedidos de abertura de conex˜ao s˜ao descartados e o servi¸co fica paralisado. Esta paralisa¸c˜ao persiste at´e que o servidor identifique a demora e remova a conex˜ao em andamento da lista.

Figura 3.10 – AtaqueSyn Flood

• Buffer Overflow: ´E a t´ecnica de tentar armazenar mais dados do que

a mem´oria do sistema suporta, causando erros e possibilitando a entrada do invasor. Geralmente, neste tipo de ataque, o Cracker consegue o dom´ınio

do programa atacado e privil´egios de administrador na m´aquina hospedeira.

• SQL Injection: Trata-se da manipula¸c˜ao de uma instru¸c˜ao SQL atrav´es das vari´aveis que comp˜oem os parˆametros recebidos por um script, tal como PHP, ASP, etc. Esta t´ecnica consiste em passar parˆametros a mais, via barra de navega¸c˜ao do browser, inserindo instru¸c˜oes n˜ao esperadas pela base de dados. Geralmente o atacante utiliza esta metodologia para roubar dados ou danificar a base de dados que est´a no servidor, provocando uma Nega¸c˜ao de Servi¸co.

Bugs & Backdoors

Estes m´etodos de ataque tˆem como principal objectivo obter acesso n˜ao autorizado a um determinado sistema, explorando bugs e criando Backdoors.

• Spoofing ou Acesso por imita¸c˜ao: ´E a t´ecnica de um determinado

activo se fazer passar por outro computador da rede para conseguir acesso ou permiss˜oes root num determinado sistema. H´a muitas variantes desta t´ecnica. Uma delas ´e o IP Spoofing (Figura 3.11).

Figura 3.11 – AtaqueIP Spoofing

Em primeiro lugar, analisando a figura, vemos que existe uma conex˜ao confi´avel entre a m´aquina X e Y, logo qualquer fluxo de informa¸c˜ao entre estas duas m´aquinas ser´a considerado v´alido e seguro.

Come¸cando o seu ataque, o Cracker, atrav´es de um pacote leg´ıtimo e com

o endere¸co de origem verdadeiro, envia v´arios pedidos de conex˜ao a X. Este responde com um n´umero de sequˆencia para que o invasor o repita e efectue a conex˜ao, mas este n˜ao tem previl´egios e n˜ao lhe interessa fechar a conex˜ao. Logo, apenas guarda os pacotes de X para verificar o seu n´umero de sequˆencia.

Ap´os v´arios pedidos de conex˜ao com X, o Cracker pode decifrar o modo

como X gera os seus n´umeros de sequˆencia. Quando isso acontece, o atacante envia um pedido de conex˜ao, desta vez com o endere¸co de origem forjado, fazendo-se passar por Y (computador confi´avel). Isto ´e poss´ıvel devido `as caracter´ısticas do protocolo IP, que tˆem como base uma premissa simples: cada pacote dever´a ir para o endere¸co de destino e n˜ao h´a verifica¸c˜ao do endere¸co de origem. Logo, nada impede que umCrackeraltere o endere¸co de origem

de um pacote para que ele pare¸ca ter vindo de outro lugar.

Obviamente, o invasor n˜ao vai receber os pacotes de X com os n´umeros de sequˆencia, pois estes ir˜ao para o endere¸co de origem (computador Y), que nesse momento dever´a estar sobrecarregado pelo Cracker, de modo a n˜ao

conseguir responder a X. Contudo, com base nos c´alculos anteriores, o invasor prevˆe o n´umero de sequˆencia de X e envia-o correctamente para este, fechando a conex˜ao. A partir desse momento, Xpensa que est´a a comunicar com Y,

e o invasor, estando sob esse disfarce ganha as permiss˜oes da m´aquina Y. Sabia que:

O IP Spoofing ficou famoso ap´os ter sido a atrac¸c˜ao principal do ataque

`a rede de Tsutomu Shimomura, um dos maiores especialistas de seguran¸ca do EUA, quando atrav´es dele, o mais famoso Cracker americano, Kevin

Mitnick, invadiu a sua rede particular roubando alguns dos seus programas. • Rootkits: UmCracker, ao realizar uma invas˜ao, pode utilizar mecanismos

para esconder e assegurar a sua presen¸ca no computador comprometido, de modo a n˜ao deixar pistas e a criar portas de fundo (Backdoors) para futuras invas˜oes. Estes mecanismos s˜ao conhecidos como rootkits.

• Exploits: S˜ao programas que exploram vulnerabilidades conhecidas. Estes programas atraem o p´ublico pois, de forma geral, s˜ao muito pequenos e f´aceis de usar e os benef´ıcios que eles proporcionam s˜ao imediatos e satisfat´orios. • Scanning de Portas: Consiste no uso de programas que identificam as portas

Acesso `a Informa¸c˜ao

Esta categoria engloba algumas metodologias de ataque com o prop´osito directo de aceder `a informa¸c˜ao. Algumas dessas t´ecnicas s˜ao:

• Sniffing: ´E a t´ecnica de capturar informa¸c˜ao de uma determinada m´aquina ou o tr´afego de uma determinada rede, sem autoriza¸c˜ao. Os Sniffers s˜ao