• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Segurança de redes
 

Segurança de redes

on

  • 76 views

 

Statistics

Views

Total Views
76
Views on SlideShare
76
Embed Views
0

Actions

Likes
0
Downloads
0
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Segurança de redes Segurança de redes Document Transcript

    • INTRODUÇÃO À SEGURANÇA EM REDES DE COMPUTADORES A segurança de uma rede é um nível de garantia que o conjunto das máquinas da rede funciona de maneira otimizada, sem vulnerabilidade e que os utilizadores das referidas máquinas possuem apenas os direitos que lhes foram concedidos. Segundo a ISO (International Standardization Organization - Organização Internacional para Padronização), no contexto da computação, vulnerabilidade é qualquer fraqueza que pode ser explorada para se violar um sistema ou as informações que nele contém. Dessa forma, temos várias possíveis violações de segurança em um sistema, ou seja, temos várias ameaças, dentre as quais destacamos: – Destruição de informação – Modificação ou deturpação da informação – Roubo, remoção ou perda de informação / recursos – Interrupção de serviços Por definição, temos ainda o ataque, que é a realização efetiva de uma ameaça de forma intencional. Como exemplos de ataques em computação, temos: – Personificação (masquerade) – DDos – Replay – Modificação – Engenharia social – Recusa ou impedimento de serviço Mediante este ambiente de insegurança onde os dados estão inseridos e fluem nos sistemas e redes de computadores, é que muita empresas adotam políticas de segurança, que são conjuntos de regras, leis e práticas de gestão visando à proteção. Podem ser implementadas com o uso de vários mecanismos, como por exemplo: – Criptografia – Assinatura digital – Autenticação – Controle de acesso – Rótulos de segurança – Detecção, registro e informe de eventos – Enchimento de tráfego – Controle de roteamento.
    • Dessa forma, não sendo suficientes os mecanismos de segurança na rede como um todo, estabeleceu medidas de segurança nas comunicações também, como no correio eletrônico. Este (e-mail) utiliza vários mecanismos para que nossos dados cheguem o mais possível seguro em seu destino. Faz uso de protocolos como SMTP (Simple Mail Transfer Protocol) que é considerado fraco, S/MIME (Secure Multipurpose Internet Mail Extensions) e PGP (Pretty Good Privacy) que é destinado à criptografia de e-mail pessoal. O que está muito em uso são os Firewalls, dispositivos que funcionam como uma barreira de proteção contra invasores. Existem tanto na forma de software como de hardware, ou na combinação de ambos. Portanto não é desperdício de dinheiro investir na segurança da rede da empresa, porque é nela que estão as informações da mesma, e como vimos está cada vez mais fácil atacar uma rede insegura. Exemplos de Problemas de Segurança em Redes Artigo do site Folha.com publicado no dia 22/01/2009 - 08h56 Rede de computadores do governo federal registra 87 ataques virtuais por hora FERNANDA ODILLA da Folha de S.Paulo, em Brasília. As 320 redes de computador do governo federal são alvos diários de milhares de "crackers", ou seja, pessoas dispostas a invadir sistemas para recolher informações sigilosas, fazer chantagem virtual e disseminar vírus. Todos os dias são registrados uma média de 87 ataques virtuais por hora nas máquinas de ministérios, secretarias e estatais. Entre 2007 e 2008, o número de notificações diárias saltou de 1.260 para 2.100, um aumento de 40%, segundo o Centro de Incidência de Redes, órgão subordinado ao GSI (Gabinete de Segurança Institucional) da Presidência da República e responsável por proteger os computadores de todos os órgãos do Poder Executivo. Entre 2007 e 2008, número de notificações diárias de ataques à rede cresceu 40%. O GSI criou, esta semana, um comitê para cuidar da segurança da informação do órgão. Decidiu dar o primeiro passo para motivar outras áreas do governo a se protegerem dos ataques. As milhares de notificações diárias referem-se a invasões e, principalmente, a "spams" (mensagens comerciais não solicitadas) e "phishings" (mensagens com arquivos que "pescam" dados) que as próprias redes não conseguem evitar.
    • Segundo o diretor do Departamento de Segurança da Informação e Comunicações do governo, Raphael Mandarino, apenas uma rede do governo, em 2007, sofreu mais de 3 milhões de ataques distintos. As invasões são tratadas sob sigilo pela Presidência da República, que conseguiu identificar mais de 30,6 mil tentativas e ataques no ano passado. A maioria deles são feitos por computadores registrados no Leste europeu e no sudoeste asiático. "O que me preocupa são as que não detectamos", afirma Mandarino. Para se proteger, o governo contrata "white hats", uma espécie de "hackers" do bem. No entanto, eles não conseguiram evitar, em 2007, o sequestro das senhas de um servidor de um importante órgão federal. Mas foram capazes de desvendar o código usado pelo sequestrador e evitar o pagamento do resgate de US$ 250 mil solicitado pelos criminosos. O caso está sendo investigado pela Interpol. Dados do próprio governo revelam que 48% dos órgãos federais não possuem procedimentos de controle de acesso. A análise de risco é feita apenas por 25% das instituições e a grande maioria não é capaz de normalizar a rede após os ataques. O Tribunal de Contas da União já alertou para a fragilidade das redes do governo federal. Conforme portaria publicada no "Diário Oficial" da União, o GSI montou um comitê para reforçar a segurança e padronizar os sistemas usados pelo próprio gabinete bem como os utilizados pela Abin (Agência Brasileira de Inteligência) e pela Secretaria Nacional Antidrogas. "Estamos dando exemplo", diz Mandarino, informando que agora será mais fácil controlar o acesso a informações sigilosas bem como fazer rastreamento em caso de vazamento de dados da agência de inteligência RISCOS E CONSIDERAÇÕES QUANTO À SEGURANÇA EM REDES Diversos aspectos deveram levar em consideração quando uma rede passa a constituir uma parte importante da organização. Alguns dos riscos existentes e algumas considerações a serem feitas são:  A falta de uma classificação das informações quanto ao seu valor e á sua confiabilidade, que serve de base para a definição de uma estratégia de segurança adequada. Isso resulta em um fator de risco para a organização, além de dificultar o dimensionamento das perdas resultantes de um ataque.
    •  A dificuldade de controle do administrador sobre todos os sistema da rede interna faz com que não possam ser considerados confiáveis. Os „bugs‟ nos sistemas operacionais ou nos softwares utilizados por esses equipamentos podem abrir „brechas‟ na rede interna.  As informações que trafegam pela rede estão sujeitas a serem capturadas.  As senhas que trafegam pela rede estão sujeitas a serem capturadas.  Os e-mails podem ser capturados, lidos, modificados e falsificados.  Os telefones podem ser grampeados e as informações que trafegam pela linha, seja por voz ou dados, gravada.  Os firewalls protegem contra acessos explicitamente proibidos, mas e quanto a ataques contra serviços legítimos?  Novas tecnologias significam novas vulnerabilidades.  A segurança envolve aspectos de negócios, tecnológicos, humanos, processuais e jurídicos.  A interação entre diferentes ambientes resulta na multiplicação dos pontos vulneráveis. HISTÓRICO DE KEVIN MITNICK Seu nome é Kevin Mitnick estava preso na Casa de Detenção de Los Angeles, Califórnia, Estados Unidos. Não faz muito tempo, todos os seus pertences pessoais, incluindo livros e roupas, foram confiscados e ele foi jogado numa solitária, onde vive algemado. Mitnick não matou, não seqüestrou nem estuprou ninguém. Também não se trata de nenhum alucinado terrorista. Mas que crime então ele cometeu, que mereceria um castigo tão rigoroso? Um pouco de sua História Em 1981, quando Kevin Mitnick tinha 17 anos, começou a se interessar por informática entrando assim em um grupo hacker de Los angeles. Sua primeira Figura 1- Kevin Mitnick
    • demonstração de habilidade foi quando entrou no computador da Monroe High School alterando assim as notas dos cursos. Mas Mitnick começou a se encrencar, depois que entrou nos computadores da defesa aérea do Colorado. Logo depois Kevin Mitnick ingressou no phreaking, para obter mais informações sobre telefonia ele conseguiu manuais e programas de vários sistemas, entre eles COSMOS e Micro Port. Passados assim algum tempo Mitnick se escondeu das autoridades durante o ano de 1989, mesmo ano em que o FBI estava reunindo de que Kevin Mitnick e outro hacker chamado DiCicco haviam roubado softwares e pesquisas secretas da Digital Equipment Corp. Devido a todas essas suspeitas a corte de Los Angeles ordenou que Mitnick fosse preso sem a possibilidade de fiança. - A vingança de Mitnick Kevin D. Mitnick foi sentenciado a um ano de prisão pela juíza Mariana R. Pfaelzer. E obrigado a assistir a sessões de reabilitação, devido ao seu "vício" em computador. Cumprida a pena, começaram a ocorrer coisas estranhas, o telefone da sua liberdade condicional foi desconectado e o registro de crédito na TRW inc. de um juiz foi inexplicavelmente alterado. Desrespeitando a ordem da sua pena, não poder sair dos EUA, Mitnick foi a Israel, ver alguns amigos hackers. Mais uma vez ocorreram fatos estranhos, o hackeamento em registros dos computadores do FBI e do departamento de Veículos dos EUA. Sendo procurado, Mitnick desaparece mais uma vez, isso no ano de 1992. Enquanto desaparecido, outros rastros de Kevin Mitnick foram achados dessa vez nos computadores da Motorolla e de Dan Farmer, criador do famoso programa SATAN, e as características de invasão eram as mesmas de Kevin. - Kevin Mitnick e o IP Spoofing Mitnick então entrou nos computadores da rede pessoal de Tsutomu Shimomura, "especialista" em segurança de redes, mas como Shimomura tinha permanente contato com a situação de sua rede (era na noite de natal), conseguiu descobrir que alguém havia passado por ele. Shimomura então conseguiu refazer os últimos comandos executados em seu sistema, podendo assim ver o que Kevin Mitnick tinha feito. O arquivo que mais o chamou a atenção de Tsutomu era chamado de oki.tar.z possivelmente um software do telefone celular Oki.
    • Para surpresa geral, Mitnick tinha entrado nos computadores de Tsutomu Shimomura através de uma falha chamada de IP Spoofing, antes apenas conhecidas por especialistas em segurança (Não se sabia que os hackers já dominavam esta técnica). O ataque IP Spoofing consiste em simular uma conexão local, mas fazendo uma remota, ou seja, o computador atacado pensa que o outro computador da conexão local e então libera acesso de root a ele. O comando usado por Kevin Mitnick foi o SYN, que sincroniza dois computadores "amigos". Esse então foi o método usado por Kevin Mitnick em seus ataques. Shimomura passou então a scanear o IP da máquina invasora, e descobriu que o ataque provinha da Universidade de Berne, possivelmente uma das bases de operação de Kevin. - Tsutomu Shimomura vs Kevin Mitnick Num trabalho de localização Tsutomu descobriu que Mitnick tinha várias outras bases, em vários locais dos EUA, em provedores grandes dos Estados Unidos, como a Netcom, WELL e Algumas universidades. Então Shimomura entrou em contato com os provedores para alertá-los das possíveis invasões e tentando conseguir uma permissão para ele pessoalmente monitorar os ataques de Kevin Mitnick. Shimomura conseguiu permissão no WELL, mas eles não tinham equipamentos para uma monitoração mais detalhada, então ele tentou contato com a Netcom, que deu total permissão para Shimomura "caçar" Kevin Mitnick. Shimomura conseguiu interceptar várias invasões e conversas de IRC que Kevin fazia. Também obtendo o número do telefone de conexão que Mitnick usava, Tsutomu Shimomura pediu para rastreá-lo e depois de várias tentativas, descobriu que as ligações vinham do estado de Raleigh, então ele viajou até lá pra pegar o Mitnick, conseguiu uma ajuda do FBI e um mandato de prisão para Mitnick. - A prisão do Hacker O FBI trouxe um rastreador de chamadas telefônicas e um Trigger Fish, que seria usado para ouvir as conversas de Mitnick. Depois de dois dias de monitoramento, o FBI conseguiu rastrear as conversas de Kevin Mitnick e de outro celular também ligado num modem. Diante desses fatos os agentes do FBI resolveram invadir o apartamento de Kevin Mitnick. Lá dentro encontraram Mitnick, bem diferente do que se
    • esperava como o próprio Shimomura descreveu Mitnick era jovem, tinha cabelos castanhos compridos até o ombro e não era nem magro nem gordo. Kevin Mitnick estava sob algum tratamento médico, pois no quarto haviam também vários remédios vendidos apenas por receita médica, além do computador, do celular e de uma pasta com alguns papéis, que Kevin trancou logo após da chegada do FBI. POTENCIAIS ATACANTES Script Kiddies: são os atacantes iniciantes, na maioria das vezes são inexperientes, utilizam ferramentas que conseguem na internet e as usam sem saber ao certo o que estão fazendo, aprendem alguma técnica e já saem por ai tentando invadir alguma coisa. Cyberpunks: estes possuem um alto grau de conhecimento e conseguem encontrar diversos meios de prejudicar os sistemas, serviços, protocolos, com a finalidade de sabotar redes de computadores, causando prejuízos econômicos. Os cyberpunks, geralmente são hachers paranóicos, que acreditam em teorias da conspiração. Insiders: são atacantes originados a partir da rede interna, geralmente são funcionários, ex-funcionários ou pessoas que conseguem infiltrar-se nas organizações. Na maioria das vezes, usam o tempo e a liberdade para procurar algo de seu interesse nas mesas das pessoas, ou abusam da amizade das pessoas, copiando base de dados, memorandos, que podem gerar um grande prejuízo caso caiam nas mãos dos concorrentes. Coders: são os hachers que compartilham seus conhecimentos escrevendo livros, artigos, realizando palestras, seminários e cursos de segurança ou sobre seus ataques. White Hat: são pessoas que trabalham de maneira profissional e legal dentro das organizações, a fim de utilizar seus conhecimentos para descobrir meios de ataques nos sistemas e corrigi-las. Realizam atividades como testes de invasão, simulação de
    • ataques e análises de segurança para tentar descobrir alguma vulnerabilidade no sistema. São conhecidos como „hachers do bem‟. Black Hat: são os verdadeiros crackers, utilizam seus conhecimentos para invadir sistemas, roubar dados ou informações secretas. Após ter o acesso às informações eles praticam um tipo de chantagem, chamada de blackmail, já em posse dos arquivos roubados, tentam vender para a própria vítima, ameaçando tornar públicas as informações ou vender os dados aos seus concorrentes. O maior alvo desses ataques são empresas que possuem grande quantidade de número de cartões de crédito dos clientes. Gray Hat: são idênticos aos Black Hat, se diferem por um único motivo, ao invés de extorquir as vítimas tentando vender, eles invadem com o propósito de vender seus serviços ou a fim de conseguir um trabalho na área de segurança. TERMINOLOGIA DE SEGURANÇA Carding O termo Carding indica a pratica ilegal de ações envolvendo números de cartões de crédito, utilizadas por hackers para roubar e fazer compras em benefício próprio e para amigos. Esse tipo de ataque tem se tornado bastante comum com o surgimento de transações on-line (negócios através da web), e tem estimulado o desenvolvimento de novas tecnologias e protocolos (SET) para compras através da INTERNET. Easter egg O easter egg consiste na utilização de mensagens, imagens ou sons que os programadores escondem nos softwares que desenvolvem como brincadeira. Para ativar as partes escondidas, normalmente é necessário digitar uma série de sequências de comandos preestabelecidos. O easter egg é muito utilizado em jogos de vídeo game, onde digitamos uma série de comandos para ativar novas pistas, novos carros, fases secretas e etc.
    • Media whore No mundo underground (hacker), o termo media whore é utilizado para classificar os hackers que deixam o anonimato para atrair a atenção da mídia, atrás de fama e glória pessoal. Esse tipo de atitude é classificado como traição pelos hackers. Phreaking O phreaking é a pratica de fraude envolvendo o sistema telefônico, normalmente com o objetivo de escutar ligações alheias ou fazer ligações gratuitas. Suit Na cultura dos hackers, suit são “os outros”, este termo é utilizado normalmente para indicar a presença de oficiais do governo ou de funcionários da alta gerência de uma organização que anda bem arrumado. Tentacles Identidades utilizadas pelos hackers para não serem identificados preservando a verdadeira identidade, uma forma de manterem certo anonimato. Cavalos de Tróia Os cavalos de tróia são chamados assim pela semelhança com a História do Cavalo de Tróia, pois na primeira impressão, parece ser um presente, mas na verdade trazem escondidos códigos mal intencionados que geram danos ao sistema onde foi introduzido. Na maioria das vezes, parecem ser aplicativos úteis ou fotos, geralmente recebidos em mensagens de e-mails, disfarçados com mensagens falsas de amigos, de promoção, de atualizações de segurança, de informações sobre vírus destrutivos, sites pornográficos ou algo que pareça inofensivo, atraindo os usuários a abrirem os anexos, para infectar os computadores. Vírus Vírus são códigos maliciosos destinados a se espalharem, com a finalidade de causar danos aos computadores, interferindo na operação, registro, corrupção ou exclusão de dados, sempre tentando se replicar de computador para computador. Os vírus possuem níveis de gravidades diferentes, alguns apenas perturbam os usuários, outros conseguem ser muito destrutivos, trazendo grandes prejuízos.
    • Worms São muito parecidos com os vírus, se diferem apenas pelo fato de se espalharem sozinhos. Os worms são difíceis de serem detectados pelos anti-vírus, porque não criam arquivos que possam ser vistos, são descobertos quando começam a consumir muito recurso do sistema, deixando-o lento, ou até mesmo paralisando programas e travando os computadores. Uma de suas características é conseguir se manifestar sozinho, ao contrário dos vírus que esperam ser executados. Alguns worms também podem ser incluídos em softwares gratuitos, baixados de sites duvidosos. War Dialer War dialers são programas que varrem números telefônicos em busca de modens ou aparelhos de fax, que são posteriormente utilizados como pontos de ataque. Warez São softwares piratas distribuídos ilegalmente pela internet. ATAQUES PARA OBTENÇÃO DE INFORMAÇÕES Dumpster diving ou trashing Basicamente consiste em revirar o lixo das empresas à procura de informações pessoais e confidenciais. Geralmente em documentos de bancos, por exemplo, diversas informações preciosas podem ser obtidas em papéis que vão para o lixo, como a matrícula de um funcionário, números de contas-correntes de clientes, suas informações pessoais como endereços e telefones, que podem vir a ser utilizados em outro tipo de técnica: a engenharia social. Portanto, um fragmentador de papel deve fazer parte da política de segurança destas organizações. Engenharia social Esta técnica tem por objetivo enganar e ludibriar pessoas, atacando o elo mais fraco da segurança: o usuário. Estes atacantes se fazem passar por funcionários da empresa ou por responsáveis técnicos do sistema, a fim de obter senhas ou outras informações que comprometam a segurança da organização.
    • Ataque Físico Abrange as informações que são obtidas principalmente da internet, através da consulta a Servidores de Nome de Domínio (DNS), análise de cabeçalhos de e-mail e busca de informações em listas de discussão. Por meio delas, detalhes sobre sistemas, topologia e usuários podem ser obtidos facilmente. Packet Sniffing Também conhecida como “passive eavesdropping”, esta técnica consiste na captura de informações valiosas diretamente pelo fluxo de pacotes na rede. Estes pacotes são exibidos na tela ou armazenados em disco para análise posterior. Esta ferramenta, por ser transparente aos dispositivos de rede e quase impossível de ser detectada, tornou-se uma das principais utilizadas por invasores para fins não éticos, embora tenha sido criada com o objetivo de ajudar na administração de rede. Um programa de sniffing altera o funcionamento do adaptador. Este alterado passa a funcionar em “modo promíscuo”, isto é, independente do endereço de destino do frame ser igual ou não ao endereço da placa, ele é lido como se fosse dele. Post Scanning São ferramentas que fazem a varredura de portas TCP (Transmission Control Protocol) e UDP (User Datagram Protocol), podendo identificar quais estão abertas, os serviços que estão rodando nelas, permitindo assim sua exploração e o aproveitamento de suas vulnerabilidades. Vulnerability Sanning Após a utilização do port scanning, que identifica os sistemas que podem ser atacados e os serviços que são executados, as vulnerabilidades de cada um destes serviços serão procuradas por meio da “varredura” de vulnerabilidades. Os scanners de vulnerabilidades realizam diversos tipos de testes na rede à procura de falhas de segurança, seja em protocolos, serviços, aplicativos ou sistemas operacionais. Esta varredura é executada tanto para a infra-estrutura como para os processos. Na infra- estrutura geralmente a varredura é executada de forma automática.
    • Firewalking É uma técnica utilizada para a obtenção de informações sobre uma rede protegida por um Firewall, analisando respostas a pacotes IP, empregando técnicas parecidas com a do traceroute. Essa ferramenta permite mapear roteadores encontrados antes do firewall, consegue criar um mapa da topologia da rede e também descobre regras de filtragem nos dispositivos de segurança que a rede possui. IP Spoofing É uma técnica na qual o atacante utiliza-se de um IP falso, disfarçado como um IP autêntico da rede, para mandar pacotes para outros computadores, pois os pacotes aparentemente estão vindos de um computador da rede local, assim eles passam pela segurança do firewall (se a vítima tiver é claro) e serão aceitos no seu destino. Esse ataque também dificulta a identificação do hacker. O IP Spoofing é muito utilizado principalmente em ataques DoS (negação de Serviços), nos quais os pacotes de resposta não são reportados ao endereço do atacante e sim a computadores da rede, pois os pacotes são enviados para o endereço do IP forjado, nessa técnica de ataque, esse tipo de ataque é de difícil a detecção e exige técnicas de monitoramento dos pacotes da rede interna, através de filtros. ATAQUES DE NEGAÇÃO DE SERVIÇOS Bugs em serviços, aplicativos e sistemas operacionais Bugs são falhas na programação dos softwares encontradas em quase todos os programas. Estas falhas são exploradas por hackers em tentativas de invasão. A concorrência do mercado é a responsável por estas falhas, pois a qualidade do software não é mais prioridade e sim a velocidade com que é lançado no mercado. Desta forma, estes softwares são comercializados sem o tempo necessário de exposição a testes, sendo liberado com muitos erros que, futuramente, serão explorados por hackers em tentativas de invasão. SYN flooding A característica dos pacotes de Syn Flooding é a geração de um grande número de requisições de conexões (pacotes SYN) enviadas a um sistema, de tal maneira que o servidor não é capaz de responder a todas estas requisições. A pilha de memória sofre
    • um overflow, e as requisições de conexões de usuários legítimos acabam sendo desprezadas, ocasionando negação de serviços. A identificação do invasor é difícil de ser detectada, pois os ataques são realizados forjando o endereço IP de origem, com endereços IP's de hosts que não estão online. Fragmentação de pacotes de IP Este tipo de ataque explora um erro na implementação do protocolo TCP/IP que trata da fragmentação de pacotes. Quando os pacotes são divididos − por possuírem tamanho maior que o permitido pela rede − quando chegam ao seu destino estes devem ser reagrupados. Neste momento o sistema operacional trava, somente voltando a funcionar após ser reinicializado. Os sistemas operacionais (SO) mais vulneráveis a este tipo de ataque são o Windows e o Linux. Smurf e Fraggle São ataques em nível de camada de rede e de transporte, no qual um grande tráfego de pacotes ping (ICMP echo) é enviado para o endereço IP de broadcast da rede, tendo como origem o endereço IP de uma vítima (IP Spoofing). Assim o host, atacado, acaba recebendo uma sobrecarga de pacotes, acarretando DoS (Denial of Service). O Fraggle é semelhante ao Smurf, a diferença é que utiliza pacotes UDP e o Smurf TCP. As redes são afetadas, pois todos respondem às solicitações. Isto acaba prejudicando as funções normais que deveriam ser executadas, pois estão ocupadas com o broadcast amplificado. Teardrop and land O teardrop é uma ferramenta utilizada para explorar os problemas de fragmentação IP nas implementações do TCP/IP. O Land é um ataque que tem como objetivo travar o computador da vítima. O ataque é efetuado enviando-se um pacote TCP para qualquer porta do computador destino com a flag SYN habilitada. O pacote é montado de tal forma que os endereços de origem e de destino são os mesmos (spoofing). Alguns sistemas operacionais não conseguem processar este tipo de pacote, fazendo com que o computador pare de funcionar. Geralmente este ataque é direcionado à porta 139 (NetBios) de computadores com sistema operacional Windows.
    • ATAQUE ATIVO CONTRA O TCP Sequestro de conexões Uma conexão de TCP entre dois pontos é realizada de modo full-duplex, sendo definida por quatro informações: endereço IP do cliente, porta de TCP do cliente, endereço IP do servidor, porta de TCP do servidor. Todo o byte enviado por um host é identificado com um número de seqüência de 32 bits, que é reconhecido pelo receptor utilizando esse número de seqüência. O número de seqüência do primeiro byte é computado durante a abertura da conexão e é diferente para cada uma delas, de acordo com regras designadas para evitar sua reutilização em várias conexões. O ataque tem como base a exploração do estado de dessincronização nos dois lados da conexão de TCP, que assim não podem trocar dados entre si, pois, embora ambos os hosts mantenham uma conexão estabelecida, os pacotes não são aceitos devido a números de seqüência inválidos. Desse modo, um terceiro host, o do atacante, cria os pacotes com números de seqüência válidos, colocando-se entre os dois hosts. Prognóstico de número de seqüência do TCP Por apresentarem em alguns sistemas comportamento-padrão, como incremento de 128 ou 125 mil a cada segundo, é relativamente fácil descobrir os números de seqüência dos pacotes TCP em cada pacote. Isto possibilita que o hacker utilize esta informação para se inserir em uma conexão. Atualmente, alguns sistemas implementam padrões de incremento do número de seqüência mais eficientes, que dificultem seu diagnóstico e os ataques. Ataque de Mitnick Um dos incidentes de segurança mais famosos que já ocorreram é, sem dúvida, o bem sucedido ataque de Kevin Mitnick ao sistema do pesquisador Tsutomu Shimomura, em 1994. Para tanto, Mitnick explorou vulnerabilidades bem conhecidas do protocolo TCP, ainda presentes em muitas implementações. O ataque usou duas técnicas: SYN flooding e o seqüestro de conexões TCP. Enquanto a primeira técnica causa uma negação de serviço no sistema alvo, silenciando sua atividade de rede pela incapacidade de tratar tantos pedidos de novas conexões, a segunda passa a agir no seu lugar através do seqüestro de conexões TCP, explorando relações de confiança existentes entre a máquina alvo e outros computadores da rede interna (arquivo hosts).L
    • Source routingG Source routing é a habilidade de lidar com um pacote de modo que este seja direcionado a certos roteadores sem que passe pelos roteadores convencionais. Tipicamente, utiliza-se source routing quando um roteador executa o bloqueio de algum tipo de tráfego que o invasor deseja explorar, onde o roteamento é alterado na tentativa de burlar o dispositivo de conectividade. ATAQUES NO NÍVEL DA APLICAÇÃO Buffer Overflow O Buffer Overflow é decorrente de uma falha de programação advinda da não validação dos dados de entrada recebidos por uma variável, isto é, quando não há a verificação do limite máximo de bytes que a variável em questão pode comportar. Entre as conseqüências da exploração deste tipo de falha de implementação, estão o fato de poderem acarretar inoperância do sistema e servirem para causar Denial of Service. Também podem ser usadas para executar códigos arbitrários nos sistemas sendo, portanto, de grande risco. Ataques na Web Bugs em servidores web, navegadores de internet, scripts Common Gateway Interface (CGI) e scripts Active Server Pages (ASP), são as vulnerabilidades mais exploradas, mais simples e mais comuns de serem vistas. Pesquisas demonstram que os ataques à Internet na América Latina aumentaram mais de 20% de julho a outubro em relação ao mesmo período de 2003. Os ataques mais comuns foram os de vários vírus, como Sasser e Korgo, destinados a explorar a vulnerabilidade dentro do LSASS, um componente de segurança do sistema operacional Windows. Estes ataques têm como característica principal a busca por pontos fracos no software do servidor web (por exemplo, Microsoft IIS, Apache HTTP Server e Netscape iPlanet). Problemas com o SNMP O protocolo SNMP (Simple Network Management Protocol) é muito usado pelos administradores de rede para monitorar e administrar todos os tipos de equipamentos conectados à rede, desde roteadores e impressoras, até servidores e estações de trabalho. O tráfego SNMP, quando interceptado ("sniffed"), pode revelar
    • muitas informações sobre a estrutura de sua rede, bem como dos sistemas e os equipamentos conectados a ela. Os invasores usam tais informações para escolher alvos e planejar os ataques. Algumas falhas deste protocolo é que ele não possui travamento de senhas, permitindo ataques de força bruta e sua configuração padrão pode anular alguns esforços de segurança pretendidos com a utilização de certas ferramentas para tal fim, como, por exemplo, o RestrictAnonimusKey para o SNMP do Windows NT, que bloqueia informações como os nomes de usuários, os serviços que estão sendo executados e os compartilhamentos dos sistemas. (MCCLURE, 1999). Vírus, Worms e Cavalos de Tróia Os vírus são pequenos programas desenvolvidos com o intuito de se espalharem, infectando diversas máquinas. Atacam geralmente programas ou o setor de boot do disco rígido. Necessitam de outro código executável para serem acionados. Possuem um mecanismo de ativação (evento ou data) e uma missão (apagar arquivos, enviar dados, etc.) que se propagam (anexando-se a arquivos e programas). Normalmente são encontrados em microcomputadores. Os worms são programas que trafegam através da rede e podem rodar independentemente. Geralmente não modificam outros programas, embora possam carregar outros códigos que o façam (vírus, por exemplo). O cavalo de tróia é um programa que parece ter uma função, quando na realidade, executa outras funções. Normalmente se parecem com programas comuns, amplamente utilizados (como um editor de textos), mas por trás da interface adulterada estão executando operações menos nobres, como apagando arquivos, reformatando discos ou alterando dados. São utilizados como veículo para vírus, worms e outras ameaças programadas. War dialing Método utilizado por hackers e crackers para encontrar redes desprovidas de proteção contra invasão. Baseia-se no uso de um modem, que disca seqüencialmente para diversos números de telefone, numa determinada região, armazenando informações sempre que outro modem for identificado na ponta oposta da linha.