SlideShare a Scribd company logo

Botnets

Maria José Rodrigues
Maria José Rodrigues

Este documento discute o que são "Botnets" (redes de bots) e como elas são criadas e usadas para realizar ataques DDoS. Explica que os bots são programas instalados nos computadores de usuários sem seu conhecimento para recrutá-los para uma rede controlada por um atacante. Detalha como os ataques DDoS funcionam usando múltiplas fontes para sobrecarregar alvos, e discute vulnerabilidades comuns e formas de identificar e mitigar esses ataques.

Internet
1 of 14
Segurança e Auditoria Informática (Licenciatura em Contabilidade e Auditoria) Discente Docente Ano Letivo de 2012/2013 Segurança e Auditoria Informática (Licenciatura em Contabilidade e Auditoria) “Botnets” Discente: Maria José Moreira Rato Rodrigues – Docente: Prof. Doutor Sérgio Nunes Barcarena, 21 de Novembro Segurança e Auditoria Informática (Licenciatura em Contabilidade e Auditoria) 20111514. de Novembro de 2012
“BOTNETS” Maria José Rodrigues – 2012 – Universidade Atlântica Página 2 de 14 Resumo “BOTNETS” O objetivo principal deste trabalho é dar a conhecer mais em pormenor o que são “Botnets” (redes de “bots”), como estas redes são criadas, com que finalidades, quais os meios utilizados, as vulnerabilidades a que os computadores estão sujeitos e formas de as evitar e combater. Palavras Chave: Botnets, Bot, Internet, DDoS, Redes Sociais. Abstract “BOTNETS” The main goal of this work is to give an approach to what are Botnets, how they are created, what are the purposes of it, what kind of knowledge is used for it, the vulnerabilities that computers have to this kind of virus and the ways that we have to prevent them or to heal them. Keywords: Botnets, Bot, Internet, DDoS, Social Network.
“BOTNETS” Maria José Rodrigues – 2012 – Universidade Atlântica Página 3 de 14 1. ÍNDICE Resumo..............................................................................................................................2 “BOTNETS” .......................................................................................................................... 2 Abstract .............................................................................................................................2 “BOTNETS” .......................................................................................................................... 2 1. ÍNDICE ....................................................................................................................3 2. Introdução................................................................................................................4 “BOTNETS” .......................................................................................................................... 4 3. As “Botnets” e as redes sociais...............................................................................5 4. Como se fazem os ataques DDos? ..........................................................................5 5. O que são “Bots”? ...................................................................................................7 6. O que são “Botnets”?..............................................................................................8 7. O poder de uma “Botnet”, a sua criação e utilização ..........................................9 8. Vulnerabilidades a estes ataques .........................................................................10 9. Como identificar e mitigar ataques por DDoS? .................................................10 10. Conclusão............................................................................................................13 Bibliografia......................................................................................................................14
“BOTNETS” Maria José Rodrigues – 2012 – Universidade Atlântica Página 4 de 14 2. Introdução “BOTNETS” Sendo o objetivo principal deste trabalho dar a conhecer o que são “Botnets” ou redes de “bots”, como estas redes são criadas e com que finalidades; quais os meios utilizados para as instalar; as vulnerabilidades a que os computadores e outros tipos de equipamentos estão sujeitos; formas de as evitar e combater, não posso deixar de abordar este tema, tendo como pano de fundo as redes sociais e o seu funcionamento, uma vez que elas se tornaram um dos veículos preferenciais para o “recrutamento” de computadores ligados à internet. Após recolha de informação mais técnica sobre o tema, pretendo dar uma explicação que seja de fácil compreensão por forma a ser entendível para quem tenha menos conhecimentos ou aptidões informáticas, uma vez que, hoje em dia, todos nós fazemos uso de computadores ou outros equipamentos ligados à internet que facilmente podem ser recrutados por uma rede deste tipo sem nos apercebermos. Ao longo do trabalho ver-se-á como é fácil termos um “bot” instalado em qualquer um dos nossos equipamentos sem disso termos dado conta. O que é uma “BOTNET”? Uma “Botnet” é um número de computadores ligados à internet, que foram configurados para reenviar vírus para outros computadores igualmente ligados à internet.
“BOTNETS” Maria José Rodrigues – 2012 – Universidade Atlântica Página 5 de 14 3. As “Botnets” e as redes sociais Através das redes sociais são muitos e variados os ataques maliciosos a que os utilizadores se expõem. É por isso que vou incidir o tema do meu trabalho por esta via, uma vez que as “Botnets”, não sendo um ataque apenas possível através das redes sociais é, talvez, usando os exemplos que se lhes possam aplicar que se tornará mais claro perceber como estes ataques são perpetrados e como podem, ou não, ser evitados ou corrigidos, pois as redes sociais são, atualmente, porventura, uma das ferramentas da internet mais usadas pela maioria dos internautas. Vou tentar abordar este tema tanto pela perspetiva da vítima como do atacante, possibilitando, assim, uma melhor compreensão do que são “Botnets”. 4. Como se fazem os ataques DDos? Embora neste trabalho dê mais enfoque sobre o ataque do tipo DDoS1 , fica a informação de que as “Botnets” foram utilizadas para lançar muitos outros ataques, incluindo, roubo de identidade, extorsões, etc. Vou escalpelizar um pouco mais este tipo de ataque informático que é deveras bastante assustador, como vão ter oportunidade de verificar. Para começar os DDoS são fáceis de executar e é difícil de detetar o atacante. Basicamente qualquer pessoa que tenha um computador e saiba um pouco de informática pode lançar um ataque DDoS. De início os ataques DDoS podiam ser lançados apenas porque, simplesmente, alguém não gostava de uma pessoa ou empresa. A seguir essa pessoa, vestindo já a pele de atacante, determinava o tipo de DDoS que queria lançar, tendo à sua disposição uma vasta lista de tipos de ataques DDoS mais comuns, por exemplo: “Ping of Death” em que o atacante envia um pacote de pedido-eco de ICMP2 (Protocolo de Mensagens da Internet) que é maior do que o tamanho máximo do
“BOTNETS” Maria José Rodrigues – 2012 – Universidade Atlântica Página 6 de 14 pacote IP3 da vítima e, quando a vítima recebe esse pacote, o IP vai tentar montá-lo mas, como o pacote é grande demais não o vai conseguir, causando na vítima um “crash” ou até um “reboot”. Chegando a esta fase os atacantes só tinham de escolher a data e a hora para o ataque, mandavam um pacote aos seus cúmplices, contendo a indicação do ataque, data e hora e as instruções para a realização do ataque. Depois era só esperar para ver. Mas esta forma de atacar ainda não tinha atingido uma boa performance, se assim lhe podemos chamar, pois, estando o atacante dependente de cúmplices, acabava por ficar também à sua mercê, daí que, quanto menos pessoas envolvidas no processo melhor seria para o atacante, ficando assim mais protegida a sua identidade. Com a evolução os atacantes começaram a enviar vírus que instalavam aplicações nos computadores de utilizadores que não fossem suspeitos, ficando esses computadores “escravos” dos atacantes e obedecendo cegamente aos seus “mestres”, para lançarem ataques sem que os seus utilizadores sequer sonhassem com o que se estava a passar. Foi nesta altura que este tipo de ataques DDoS em rede ficaram conhecidos como “Botnets”. (wikinoticia, 2011)
“BOTNETS” Maria José Rodrigues – 2012 – Universidade Atlântica Página 7 de 14 5. O que são “Bots”? A palavra “bot” teve origem na palavra “robot”, existindo diversas espécies de “bots”, dos quais ficam aqui alguns exemplos: “GTbot” – consiste num conjunto de scripts de mIRC4 , usados para controlar a atividade do sistema remoto. Depois o “bot” ativa o cliente com os scripts de controlo, lançando também outra aplicação que esconde o mIRC do utilizador. “Agobot” – este tipo de “bot” é uma multiameaça e tenta esconder-se do utilizador, usando “NTFS Alternate Data Stream5 ” (permite que mais do que uma string de dados seja associada ao nome de um ficheiro), mata o antivírus (evitando que ele dê pela sua presença) e um motor de encriptação polimórfica (permite ao vírus transmutar-se a cada infeção). Este “bot” permite, por exemplo, o “sniffing”6 de tráfego. “Dataspy Network X” (DSNX)7 – é um Trojan que é instalado no sistema da vítima. O dono da “Botnet” pode, então, comunicar com o DSNX através de um canal de IRC, usando um código forte. O DSNX pode, inclusivamente, fornecer informação acerca de vários aspetos do sistema da vítima, tornando-o completamente vulnerável. “SDBot” – este “bot” é semelhante aos “Agobot” e “DSNX”, contudo o seu código não é claro e é limitado em termos de funcionalidades. Um “bot” pode ser criado de raiz ou pode usar-se um que já tenha sido criado e adaptá-lo. Se se souber usar um “bot” que já tenha sido criado é fácil fazer-se uma “Botnet” (rede de “bots”). Depois de se ter o “bot”, equipamo-lo com um servidor de IRC e informação de canal, restringe-se o acesso ao “bot”, torna-se o canal de IRC seguro e fornece-se uma lista de utilizadores seguros, podendo, também, equipar-se o “bot” com informação sobre o tipo de ataque que se pretende lançar e sobre a vítima a atingir com esse ataque.
“BOTNETS” Maria José Rodrigues – 2012 – Universidade Atlântica Página 8 de 14 6. O que são “Botnets”? Pertencendo as “Botnets” a um ataque do tipo DoS (Denial-of-service) – negação de serviço, na sua versão mais avançada, vamos recuar um pouco na história da tecnologia dos ataques informáticos deste tipo para melhor compreender os ataques DDoS (Distributed Denial-of- Service) – negação de serviço distribuído, ou “botnets”. Podemos definir um DoS como um ataque proveniente de um endereço de IP para esgotar os recursos de um computador e assim impedir o utilizador de os usar como, por exemplo, se quisermos impedir uma pessoa de utilizar um telemóvel, podemos fazê-lo se começarmos a ligar para essa pessoa e a desligar a chamada assim que ela atende e, fazendo isto de uma forma continuada, a outra pessoa, que se vai sentir incomodada vai, muito provavelmente, desligar o telemóvel, pelo menos por algum tempo. Conseguimos, então, que essa pessoa fique impedida de usar os recursos do seu equipamento. Dado este exemplo mais simplista e passando para o nível informático o que os ataques de DoS, normalmente, pretendem afetar são, de entre outros, um dos seguintes recursos do utilizador: consumir os recursos informáticos, tais como a largura da banda, espaço de disco ou tempo de processamento; quebra da informação configurada, tal como roteamento de informação8 quebra da informação de estado, tal como religações não solicitadas de sessões de TCP9 obstrução de comunicações de “media” entre os utilizadores interessados e a vítima, para que não consigam comunicar adequadamente. Ora. Um ataque DDoS é uma versão mais avançada de um ataque DoS. Em vez de ser utilizada apenas uma fonte de ataque utilizam-se diversas fontes de ataque ao mesmo tempo. Com esta nova versão o alvo do ataque esgota todos os seus recursos e, se esse mesmo ataque for proveniente de diversas localizações, torna-se muito mais difícil de encontrar o atacante.
“BOTNETS” Maria José Rodrigues – 2012 – Universidade Atlântica Página 9 de 14 7. O poder de uma “Botnet”, a sua criação e utilização No seguimento do ponto anterior é fácil depreender que, quanto mais “escravos” (bots) a rede conseguir “recrutar”, tanto mais “mortíferos” se tornarão os ataques. É assustador verificar-se como este tipo de ataque se veio a vulgarizar, de tal forma que, hoje em dia, pode-se inclusivamente, desde que motivados para isso, aceder à internet e alugar uma “Botnet” para lançar ataques de DDoS. Imagine-se o que seria tornar uma rede social inteira numa autêntica “Botnet”, seria possível? Pois não só é possível como também é praticável. Podemos indicar o início dos anos 2000 como o despontar do uso malicioso das “Botnets”. Nessa altura muitas pessoas para se comunicarem utilizavam o mIRC. Assim sendo os “bots” tomando a aparência de clientes legítimos do mIRC, escondiam-se nas diretorias do Windows. Então, os atacantes, ao alertarem os utilizadores para fazerem atualizações de software para protegerem os seus computadores, na realidade infetavam-nos, instalando um “bot”. O dono do “bot” podia, então, enviar aos “bots” da sua rede os comandos para lançar um ataque. O que de resto foi já explicado com mais pormenor no ponto 5. O que são “bots”? De uma forma simplista podem considera-se os seguintes passos na criação, utilização e destruição de uma “Botnet”: Criação dos “bots” Configuração dos “bots” Infecção dos “bots” Controlo dos “bots” por parte do atacante, “Dono” da “Botnet” Destruição da “Botnet” por parte do atacante, deitando abaixo o canal de IRC.
“BOTNETS” Maria José Rodrigues – 2012 – Universidade Atlântica Página 10 de 14 8. Vulnerabilidades a estes ataques Neste tipo de ataques as principais vulnerabilidades encontram-se a nível das portas do Windows, indico algumas das portas que podem ser utilizadas para a introdução e alojamento de “bots”: Porta Serviço 42 WINS (nome do servidor anfitrião) 80 http (vulnerabilidade IIS ou Apache10 ) 1025 Windows Messenger 1433 Servidor SQL11 da Microsoft 5000 UPnP (Plug and Play Universal) (Timm & Perez, 2010) A par de todas as vulnerabilidades em termos de hardware e software a este e outros tipos de ataques, temos que ter em conta, igualmente, o desconhecimento e má utilização por parte dos utilizadores que, se alertados para estes factos, poderiam proteger-se melhor, criando barreiras à intrusão de software malicioso. 9. Como identificar e mitigar ataques por DDoS? Primeiro temos de nos inteirar se fomos alvo de um ataque por DDoS. Se verificarmos que múltiplos servidores vão abaixo e que a nossa ligação à internet está demasiado lenta isso é já um indício de que, muito provavelmente, fomos alvo de um desses ataques. Se tivermos conhecimentos mais avançados de informática, após termos identificado os que se passa na nossa rede, poderemos ser nós próprios a tentar mitigar o problema, mesmo que seja apenas para podermos utilizar alguns dos nossos recursos, e isso pode ser feito de duas formas: limiar o tráfego – possibilita a limitação de tráfego mas pode também limitar tráfego que seja importante;
“BOTNETS” Maria José Rodrigues – 2012 – Universidade Atlântica Página 11 de 14 filtrar o tráfego para um “Honeypot” – isto permite enviar o tráfego para uma interface que não existe, aliviando, desta forma, o consumo dos recursos. De qualquer forma, pela literatura consultada, verificamos que é muito difícil mitigar um ataque deste tipo mesmo recorrendo a ferramentas apropriadas como é o caso do Cisco Guard, Intruguard e Netscreen. Foi notícia em 2009 um ataque ao Planet que é um fornecedor de hospedagem de sites e que utiliza o Cisco Guard que, embora tendo a proteção correta, foram vítimas de um ataque de DDoS que foi contra o comportamento usual de um ataque desse tipo. Eles conseguiram resolver o problema mas ainda estiveram afetados durante um período de 2 horas e meia. No entanto, apesar da grande dificuldade, senão impossibilidade, por enquanto, em evitar um ataque de DDoS, ficam aqui algumas recomendações que, talvez por serem tão simples, não as utilizamos normalmente, ou seja: utilizar software antivírus e antimalware manter o antivírus atualizado não abrir e-mail’s de quem não conhecemos não clicar em links que não conhecemos não visitar sites com os quais não estamos familiarizados Estes são os procedimentos básicos para se evitarem problemas. Se assim não tivermos procedido e notarmos que o nosso equipamento está muito lento, o mais provável, é termos sido atacados. Então, há que verificar essa situação. E como se pode verificar? Se se tratar de um equipamento particular, em ambiente MS-DOS12 utilizamos o comando netstat que nos apresenta todas as comunicações entradas e saídas ativas o que nos vai permitir, desde que possuamos conhecimentos para tal, se estamos ou não infetados. Este comando funciona tanto em sistemas Windows como em Unix.
“BOTNETS” Maria José Rodrigues – 2012 – Universidade Atlântica Página 12 de 14 Se chegarmos à conclusão de que fomos atacados desligamos todos os browsers e aplicações da internet, fazemos uma atualização do antivírus com base na última assinatura. Depois de atualizarmos o antivírus temos de proceder a uma verificação completa do sistema e remover o vírus. Por fim reiniciamos o equipamento e o problema deve ficar resolvido. Se se tratar de uma empresa devemos, de uma forma proactiva, proceder da seguinte forma para mitigar os utilizadores de serem atacados com “bots”: instalar software de antivírus em todos os equipamentos manter o antivírus sempre atualizado instalar um IDS (sistema de deteção de intrusão) com base na rede ou um IPS (sistema de prevenção de intrusão) nos pontos de entrada da rede e em volta dos servidores críticos instalar IDS/IPS, com base no anfitrião, nos servidores críticos ficar atento às atualizações sobre novas ameaças bloquear as ligações de saída a todas as portas que não sejam necessárias aos negócios da empresa usar filtros de internet e/ou servidores de proxy13 para ajudar a bloquear vírus executáveis e a detetá-los. (Tupinambá) Tablet da Apple suporta três tipos de VPN
“BOTNETS” Maria José Rodrigues – 2012 – Universidade Atlântica Página 13 de 14 10. Conclusão As “Botnets” são uma realidade e, se uma “Botnet” for de uma dimensão razoável pode ser alugada ou vendida, rendendo uma boa maquia para quem a vende. Vimos que há formas de mitigar este tipo de ataque com técnicas simples e naturais, as quais devíamos já estar a praticar. Se assim não o fazemos será melhor que o façamos bem rapidamente pois, se estas ameaças são já do domínio público, de certeza que novos ataques estão já em estudo ou até, quiçá, em implementação. No campo da informática, como em tantos outros, o que nós conhecemos já pertence ao passado daí a necessidade de nos mantermos sempre atualizados sobre as ameaças novas ou as emergentes. Como curiosidade deixo aqui alguns exemplos de como as “Botnets” constituem uma verdadeira ameaça: • Em 2007, Vint Cerf, coinventor do TCP/IP, indicava que 100 a 150 milhões de 600 milhões de computadores ligados à internet faziam parte de uma “Botnet”. (Timm & Perez, 2010) • A Conflicker recrutou mais de 10.000.000 bots capazes de produzir 10 biliões de mensagens de spam por dia. (Timm & Perez, 2010) • A Srixbi recrutou 450.000 bots capazes de produzir 60 biliões de mensagens de spam por dia. (Timm & Perez, 2010) Se estes números não nos assustarem não sei, então, o que nos possa assustar!
“BOTNETS” Maria José Rodrigues – 2012 – Universidade Atlântica Página 14 de 14 Bibliografia Timm, C., & Perez, R. (2010). Seven Deadliest Social Network Attacks. Burlington: Adam Ely. Tupinambá, R. (s.d.). Obtido em 14 de 11 de 2012, de http://rtupinamba.blogspot.pt/2011_05_01_archive.html#.UKO13eRNXIc wikinoticia. (22 de 06 de 2011). pt.wikinoticia.com. Obtido em 14 de 11 de 2012, de pt.wikinoticia.com: http://pt.wikinoticia.com 1 DDoS - as tarefas de ataque de negação de serviço são distribuídas a um "exército" de máquinas escravizadas. 2 ICMP - é o protocolo utilizado por todos os switchs, para assinalar um erro (chamado Delivery Problem). 3 IP - Cada computador na internet possui um IP (Internet Protocol) único, que é como as máquinas se comunicam na Internet. 4 scripts de mIRC – é uma distribuição para o mIRC que engloba várias utilidades que faz com que a sua utilização seja mais simples ou completa que o mIRC em si. 5 NTFS Alternate Data Stream – um ficheiro NTFS é composto de streams de dados. Qualquer tipo de informação pode ser armazenada num ADS, e permanece invisível para o utilizador. 6 “sniffing” - O sniffing pode ser utilizado com propósitos maliciosos por atacantes que tentam interceptar o tráfego da rede com diversos objetivos: obter cópias de arquivos importantes durante a sua transmissão, e obter passwords que permitam alargar o seu raio de penetração num ambiente atacado ou ver as mensagens em tempo real. 7 “Dataspy Network X” (DSNX) – O vírus DSNX é um virus Trojan que pode conceder ao seu criador acesso ao seu computador. Tal como muitos outros viris Trojans, o virus DSNX é controlado pelo deu criador, usando canais de IRC. 8 roteamento de informação – informação por pacotes através de routers. 9 sessões de TCP - Significa 2 máquinas terem o mesmo sistema de identificação e procederem da mesma maneira para estabelecimento da ligação e troca de dados. 10 vulnerabilidade IIS ou Apache – O Apache é um software de código aberto para o sistema Linux e IIS é um pacote da Microsoft Windows. 11 Servidor SQL – É um servidor de sistema gerenciador de bases de dados 12 ambiente MS-DOS – Sistema operativo 13 servidores de proxy – servidores intermediários de ligação a outros servidores

Recommended

Lateral Epicondylitis
Lateral Epicondylitis Lateral Epicondylitis
Lateral Epicondylitis mejey
 
Sub Dosha Pitta
Sub Dosha PittaSub Dosha Pitta
Sub Dosha PittaMichele Pó
 
Median nerve injuries
Median nerve injuriesMedian nerve injuries
Median nerve injuriesMansoor Khan
 
Botnets - Apresentação
Botnets - ApresentaçãoBotnets - Apresentação
Botnets - ApresentaçãoMaria José Rodrigues
 
Princípio do tratamento mais favorável do trabalhador
Princípio do tratamento mais favorável do trabalhadorPrincípio do tratamento mais favorável do trabalhador
Princípio do tratamento mais favorável do trabalhadorMaria José Rodrigues
 
Apostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemasApostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemasCapitu Tel
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasGrupoAlves - professor
 
Segurança e Auditoria de Sistemas
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Segurança e Auditoria de SistemasAllan Piter Pressi
 

Recommended

Lateral Epicondylitis
Lateral Epicondylitis Lateral Epicondylitis
Lateral Epicondylitis mejey
 
Sub Dosha Pitta
Sub Dosha PittaSub Dosha Pitta
Sub Dosha PittaMichele Pó
 
Median nerve injuries
Median nerve injuriesMedian nerve injuries
Median nerve injuriesMansoor Khan
 
Botnets - Apresentação
Botnets - ApresentaçãoBotnets - Apresentação
Botnets - ApresentaçãoMaria José Rodrigues
 
Princípio do tratamento mais favorável do trabalhador
Princípio do tratamento mais favorável do trabalhadorPrincípio do tratamento mais favorável do trabalhador
Princípio do tratamento mais favorável do trabalhadorMaria José Rodrigues
 
Apostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemasApostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemasCapitu Tel
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasGrupoAlves - professor
 
Segurança e Auditoria de Sistemas
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Segurança e Auditoria de SistemasAllan Piter Pressi
 
Fasciculo inf segredes_unidade_2
Fasciculo inf segredes_unidade_2Fasciculo inf segredes_unidade_2
Fasciculo inf segredes_unidade_2Eduardo Santana
 
Proinfo navegação na_internet_30_05
Proinfo navegação na_internet_30_05Proinfo navegação na_internet_30_05
Proinfo navegação na_internet_30_05natanael_queiroz
 
Tecnicas de Segurança de Dados de Smarthphones.pdf
Tecnicas de Segurança de Dados de Smarthphones.pdfTecnicas de Segurança de Dados de Smarthphones.pdf
Tecnicas de Segurança de Dados de Smarthphones.pdfcostaamaryel
 
Internet
InternetInternet
InternetRicardo Canedo
 
Internet slide
Internet slide Internet slide
Internet slide Jordana Martins
 
A internet
A internetA internet
A internetgleisom silva
 
Segurança Digital
Segurança DigitalSegurança Digital
Segurança DigitalAdão José Oliveira Elias
 
Protegendo Seu Computador Dos VíRus E Trojans
Protegendo Seu Computador Dos VíRus E TrojansProtegendo Seu Computador Dos VíRus E Trojans
Protegendo Seu Computador Dos VíRus E Trojansguest7eb285
 
Informática
Informática Informática
Informática joao marcos resende pacheco
 
Segurança dos Sistemas Operativos
Segurança dos Sistemas OperativosSegurança dos Sistemas Operativos
Segurança dos Sistemas OperativosPedro Marmelo
 
A seguranca dos sistemas operativos
A seguranca dos sistemas operativosA seguranca dos sistemas operativos
A seguranca dos sistemas operativosRodrigovieira99
 
Palestra Segurança na Internet
Palestra Segurança na InternetPalestra Segurança na Internet
Palestra Segurança na Internetjamillerodrigues
 
Pesquisa e apresentação (1)
Pesquisa e apresentação (1)Pesquisa e apresentação (1)
Pesquisa e apresentação (1)Michael jhonattan
 
Pesquisa e apresentação
Pesquisa e apresentaçãoPesquisa e apresentação
Pesquisa e apresentaçãodouglas samuel moreira
 
Tcvb2.diogo.mendes.segurança informática.v1
Tcvb2.diogo.mendes.segurança informática.v1Tcvb2.diogo.mendes.segurança informática.v1
Tcvb2.diogo.mendes.segurança informática.v1diogomendes99
 
Aps informatica
Aps informaticaAps informatica
Aps informaticajoao marcos resende pacheco
 
Unidade 3
Unidade 3Unidade 3
Unidade 3Allan Gimenes
 
Como funcionam as ameaças da internet e o cybercrime
Como funcionam as ameaças da internet e o cybercrimeComo funcionam as ameaças da internet e o cybercrime
Como funcionam as ameaças da internet e o cybercrimeClavis Segurança da Informação
 
Estudo De Viabilidade Na Utilização De Ferramente De Mineração De Dados Como ...
Estudo De Viabilidade Na Utilização De Ferramente De Mineração De Dados Como ...Estudo De Viabilidade Na Utilização De Ferramente De Mineração De Dados Como ...
Estudo De Viabilidade Na Utilização De Ferramente De Mineração De Dados Como ...Cleyton Kano
 
Botnet: Uma visao geral
Botnet: Uma visao geralBotnet: Uma visao geral
Botnet: Uma visao geralDiego Magalhães
 
Slides ppc e pec 2013_04_17
Slides ppc e pec 2013_04_17Slides ppc e pec 2013_04_17
Slides ppc e pec 2013_04_17Maria José Rodrigues
 
Gestão Financeira - Corticeira Amorim
Gestão Financeira - Corticeira AmorimGestão Financeira - Corticeira Amorim
Gestão Financeira - Corticeira AmorimMaria José Rodrigues
 

More Related Content

Similar to Botnets

Fasciculo inf segredes_unidade_2
Fasciculo inf segredes_unidade_2Fasciculo inf segredes_unidade_2
Fasciculo inf segredes_unidade_2Eduardo Santana
 
Proinfo navegação na_internet_30_05
Proinfo navegação na_internet_30_05Proinfo navegação na_internet_30_05
Proinfo navegação na_internet_30_05natanael_queiroz
 
Tecnicas de Segurança de Dados de Smarthphones.pdf
Tecnicas de Segurança de Dados de Smarthphones.pdfTecnicas de Segurança de Dados de Smarthphones.pdf
Tecnicas de Segurança de Dados de Smarthphones.pdfcostaamaryel
 
Protegendo Seu Computador Dos VíRus E Trojans
Protegendo Seu Computador Dos VíRus E TrojansProtegendo Seu Computador Dos VíRus E Trojans
Protegendo Seu Computador Dos VíRus E Trojansguest7eb285
 
Segurança dos Sistemas Operativos
Segurança dos Sistemas OperativosSegurança dos Sistemas Operativos
Segurança dos Sistemas OperativosPedro Marmelo
 
A seguranca dos sistemas operativos
A seguranca dos sistemas operativosA seguranca dos sistemas operativos
A seguranca dos sistemas operativosRodrigovieira99
 
Palestra Segurança na Internet
Palestra Segurança na InternetPalestra Segurança na Internet
Palestra Segurança na Internetjamillerodrigues
 
Pesquisa e apresentação (1)
Pesquisa e apresentação (1)Pesquisa e apresentação (1)
Pesquisa e apresentação (1)Michael jhonattan
 
Tcvb2.diogo.mendes.segurança informática.v1
Tcvb2.diogo.mendes.segurança informática.v1Tcvb2.diogo.mendes.segurança informática.v1
Tcvb2.diogo.mendes.segurança informática.v1diogomendes99
 
Estudo De Viabilidade Na Utilização De Ferramente De Mineração De Dados Como ...
Estudo De Viabilidade Na Utilização De Ferramente De Mineração De Dados Como ...Estudo De Viabilidade Na Utilização De Ferramente De Mineração De Dados Como ...
Estudo De Viabilidade Na Utilização De Ferramente De Mineração De Dados Como ...Cleyton Kano
 

Similar to Botnets (20)

Fasciculo inf segredes_unidade_2
Fasciculo inf segredes_unidade_2Fasciculo inf segredes_unidade_2
Fasciculo inf segredes_unidade_2
 
Proinfo navegação na_internet_30_05
Proinfo navegação na_internet_30_05Proinfo navegação na_internet_30_05
Proinfo navegação na_internet_30_05
 
Tecnicas de Segurança de Dados de Smarthphones.pdf
Tecnicas de Segurança de Dados de Smarthphones.pdfTecnicas de Segurança de Dados de Smarthphones.pdf
Tecnicas de Segurança de Dados de Smarthphones.pdf
 
Internet
InternetInternet
Internet
 
Internet slide
Internet slide Internet slide
Internet slide
 
A internet
A internetA internet
A internet
 
Segurança Digital
Segurança DigitalSegurança Digital
Segurança Digital
 
Protegendo Seu Computador Dos VíRus E Trojans
Protegendo Seu Computador Dos VíRus E TrojansProtegendo Seu Computador Dos VíRus E Trojans
Protegendo Seu Computador Dos VíRus E Trojans
 
Informática
Informática Informática
Informática
 
Segurança dos Sistemas Operativos
Segurança dos Sistemas OperativosSegurança dos Sistemas Operativos
Segurança dos Sistemas Operativos
 
A seguranca dos sistemas operativos
A seguranca dos sistemas operativosA seguranca dos sistemas operativos
A seguranca dos sistemas operativos
 
Palestra Segurança na Internet
Palestra Segurança na InternetPalestra Segurança na Internet
Palestra Segurança na Internet
 
Pesquisa e apresentação (1)
Pesquisa e apresentação (1)Pesquisa e apresentação (1)
Pesquisa e apresentação (1)
 
Pesquisa e apresentação
Pesquisa e apresentaçãoPesquisa e apresentação
Pesquisa e apresentação
 
Tcvb2.diogo.mendes.segurança informática.v1
Tcvb2.diogo.mendes.segurança informática.v1Tcvb2.diogo.mendes.segurança informática.v1
Tcvb2.diogo.mendes.segurança informática.v1
 
Aps informatica
Aps informaticaAps informatica
Aps informatica
 
Unidade 3
Unidade 3Unidade 3
Unidade 3
 
Como funcionam as ameaças da internet e o cybercrime
Como funcionam as ameaças da internet e o cybercrimeComo funcionam as ameaças da internet e o cybercrime
Como funcionam as ameaças da internet e o cybercrime
 
Estudo De Viabilidade Na Utilização De Ferramente De Mineração De Dados Como ...
Estudo De Viabilidade Na Utilização De Ferramente De Mineração De Dados Como ...Estudo De Viabilidade Na Utilização De Ferramente De Mineração De Dados Como ...
Estudo De Viabilidade Na Utilização De Ferramente De Mineração De Dados Como ...
 
Botnet: Uma visao geral
Botnet: Uma visao geralBotnet: Uma visao geral
Botnet: Uma visao geral
 

More from Maria José Rodrigues

Gestão Financeira - Corticeira Amorim
Gestão Financeira - Corticeira AmorimGestão Financeira - Corticeira Amorim
Gestão Financeira - Corticeira AmorimMaria José Rodrigues
 
Relatório sobre políticas sociais e ambientais nas empresas
Relatório sobre políticas sociais e ambientais nas empresasRelatório sobre políticas sociais e ambientais nas empresas
Relatório sobre políticas sociais e ambientais nas empresasMaria José Rodrigues
 
Apresentação - Grupo Portucel Soporcel
Apresentação - Grupo Portucel SoporcelApresentação - Grupo Portucel Soporcel
Apresentação - Grupo Portucel SoporcelMaria José Rodrigues
 
Pagamentos por conta e Pagamentos especiais por conta
Pagamentos por conta e Pagamentos especiais por contaPagamentos por conta e Pagamentos especiais por conta
Pagamentos por conta e Pagamentos especiais por contaMaria José Rodrigues
 

More from Maria José Rodrigues (17)

Slides ppc e pec 2013_04_17
Slides ppc e pec 2013_04_17Slides ppc e pec 2013_04_17
Slides ppc e pec 2013_04_17
 
Gestão Financeira - Corticeira Amorim
Gestão Financeira - Corticeira AmorimGestão Financeira - Corticeira Amorim
Gestão Financeira - Corticeira Amorim
 
Relatório sobre políticas sociais e ambientais nas empresas
Relatório sobre políticas sociais e ambientais nas empresasRelatório sobre políticas sociais e ambientais nas empresas
Relatório sobre políticas sociais e ambientais nas empresas
 
Apresentação - Grupo Portucel Soporcel
Apresentação - Grupo Portucel SoporcelApresentação - Grupo Portucel Soporcel
Apresentação - Grupo Portucel Soporcel
 
Apresentação cartão visa gd
Apresentação cartão visa gdApresentação cartão visa gd
Apresentação cartão visa gd
 
Bolo gaspar
Bolo gasparBolo gaspar
Bolo gaspar
 
Bolo com...
Bolo com...Bolo com...
Bolo com...
 
A batata
A batataA batata
A batata
 
Fusões e Aquisições
Fusões e AquisiçõesFusões e Aquisições
Fusões e Aquisições
 
Impostos Diferidos
Impostos DiferidosImpostos Diferidos
Impostos Diferidos
 
Aplicação das leis no tempo
Aplicação das leis no tempoAplicação das leis no tempo
Aplicação das leis no tempo
 
Relatório - Sistemas periciais
Relatório - Sistemas periciaisRelatório - Sistemas periciais
Relatório - Sistemas periciais
 
Sistemas periciais
Sistemas periciaisSistemas periciais
Sistemas periciais
 
Método científico
Método científicoMétodo científico
Método científico
 
Estudo de caso - team4
Estudo de caso - team4Estudo de caso - team4
Estudo de caso - team4
 
Estudo de caso
Estudo de casoEstudo de caso
Estudo de caso
 
Pagamentos por conta e Pagamentos especiais por conta
Pagamentos por conta e Pagamentos especiais por contaPagamentos por conta e Pagamentos especiais por conta
Pagamentos por conta e Pagamentos especiais por conta
 

Botnets

  • 1. Segurança e Auditoria Informática (Licenciatura em Contabilidade e Auditoria) Discente Docente Ano Letivo de 2012/2013 Segurança e Auditoria Informática (Licenciatura em Contabilidade e Auditoria) “Botnets” Discente: Maria José Moreira Rato Rodrigues – Docente: Prof. Doutor Sérgio Nunes Barcarena, 21 de Novembro Segurança e Auditoria Informática (Licenciatura em Contabilidade e Auditoria) 20111514. de Novembro de 2012
  • 2. “BOTNETS” Maria José Rodrigues – 2012 – Universidade Atlântica Página 2 de 14 Resumo “BOTNETS” O objetivo principal deste trabalho é dar a conhecer mais em pormenor o que são “Botnets” (redes de “bots”), como estas redes são criadas, com que finalidades, quais os meios utilizados, as vulnerabilidades a que os computadores estão sujeitos e formas de as evitar e combater. Palavras Chave: Botnets, Bot, Internet, DDoS, Redes Sociais. Abstract “BOTNETS” The main goal of this work is to give an approach to what are Botnets, how they are created, what are the purposes of it, what kind of knowledge is used for it, the vulnerabilities that computers have to this kind of virus and the ways that we have to prevent them or to heal them. Keywords: Botnets, Bot, Internet, DDoS, Social Network.
  • 3. “BOTNETS” Maria José Rodrigues – 2012 – Universidade Atlântica Página 3 de 14 1. ÍNDICE Resumo..............................................................................................................................2 “BOTNETS” .......................................................................................................................... 2 Abstract .............................................................................................................................2 “BOTNETS” .......................................................................................................................... 2 1. ÍNDICE ....................................................................................................................3 2. Introdução................................................................................................................4 “BOTNETS” .......................................................................................................................... 4 3. As “Botnets” e as redes sociais...............................................................................5 4. Como se fazem os ataques DDos? ..........................................................................5 5. O que são “Bots”? ...................................................................................................7 6. O que são “Botnets”?..............................................................................................8 7. O poder de uma “Botnet”, a sua criação e utilização ..........................................9 8. Vulnerabilidades a estes ataques .........................................................................10 9. Como identificar e mitigar ataques por DDoS? .................................................10 10. Conclusão............................................................................................................13 Bibliografia......................................................................................................................14
  • 4. “BOTNETS” Maria José Rodrigues – 2012 – Universidade Atlântica Página 4 de 14 2. Introdução “BOTNETS” Sendo o objetivo principal deste trabalho dar a conhecer o que são “Botnets” ou redes de “bots”, como estas redes são criadas e com que finalidades; quais os meios utilizados para as instalar; as vulnerabilidades a que os computadores e outros tipos de equipamentos estão sujeitos; formas de as evitar e combater, não posso deixar de abordar este tema, tendo como pano de fundo as redes sociais e o seu funcionamento, uma vez que elas se tornaram um dos veículos preferenciais para o “recrutamento” de computadores ligados à internet. Após recolha de informação mais técnica sobre o tema, pretendo dar uma explicação que seja de fácil compreensão por forma a ser entendível para quem tenha menos conhecimentos ou aptidões informáticas, uma vez que, hoje em dia, todos nós fazemos uso de computadores ou outros equipamentos ligados à internet que facilmente podem ser recrutados por uma rede deste tipo sem nos apercebermos. Ao longo do trabalho ver-se-á como é fácil termos um “bot” instalado em qualquer um dos nossos equipamentos sem disso termos dado conta. O que é uma “BOTNET”? Uma “Botnet” é um número de computadores ligados à internet, que foram configurados para reenviar vírus para outros computadores igualmente ligados à internet.
  • 5. “BOTNETS” Maria José Rodrigues – 2012 – Universidade Atlântica Página 5 de 14 3. As “Botnets” e as redes sociais Através das redes sociais são muitos e variados os ataques maliciosos a que os utilizadores se expõem. É por isso que vou incidir o tema do meu trabalho por esta via, uma vez que as “Botnets”, não sendo um ataque apenas possível através das redes sociais é, talvez, usando os exemplos que se lhes possam aplicar que se tornará mais claro perceber como estes ataques são perpetrados e como podem, ou não, ser evitados ou corrigidos, pois as redes sociais são, atualmente, porventura, uma das ferramentas da internet mais usadas pela maioria dos internautas. Vou tentar abordar este tema tanto pela perspetiva da vítima como do atacante, possibilitando, assim, uma melhor compreensão do que são “Botnets”. 4. Como se fazem os ataques DDos? Embora neste trabalho dê mais enfoque sobre o ataque do tipo DDoS1 , fica a informação de que as “Botnets” foram utilizadas para lançar muitos outros ataques, incluindo, roubo de identidade, extorsões, etc. Vou escalpelizar um pouco mais este tipo de ataque informático que é deveras bastante assustador, como vão ter oportunidade de verificar. Para começar os DDoS são fáceis de executar e é difícil de detetar o atacante. Basicamente qualquer pessoa que tenha um computador e saiba um pouco de informática pode lançar um ataque DDoS. De início os ataques DDoS podiam ser lançados apenas porque, simplesmente, alguém não gostava de uma pessoa ou empresa. A seguir essa pessoa, vestindo já a pele de atacante, determinava o tipo de DDoS que queria lançar, tendo à sua disposição uma vasta lista de tipos de ataques DDoS mais comuns, por exemplo: “Ping of Death” em que o atacante envia um pacote de pedido-eco de ICMP2 (Protocolo de Mensagens da Internet) que é maior do que o tamanho máximo do
  • 6. “BOTNETS” Maria José Rodrigues – 2012 – Universidade Atlântica Página 6 de 14 pacote IP3 da vítima e, quando a vítima recebe esse pacote, o IP vai tentar montá-lo mas, como o pacote é grande demais não o vai conseguir, causando na vítima um “crash” ou até um “reboot”. Chegando a esta fase os atacantes só tinham de escolher a data e a hora para o ataque, mandavam um pacote aos seus cúmplices, contendo a indicação do ataque, data e hora e as instruções para a realização do ataque. Depois era só esperar para ver. Mas esta forma de atacar ainda não tinha atingido uma boa performance, se assim lhe podemos chamar, pois, estando o atacante dependente de cúmplices, acabava por ficar também à sua mercê, daí que, quanto menos pessoas envolvidas no processo melhor seria para o atacante, ficando assim mais protegida a sua identidade. Com a evolução os atacantes começaram a enviar vírus que instalavam aplicações nos computadores de utilizadores que não fossem suspeitos, ficando esses computadores “escravos” dos atacantes e obedecendo cegamente aos seus “mestres”, para lançarem ataques sem que os seus utilizadores sequer sonhassem com o que se estava a passar. Foi nesta altura que este tipo de ataques DDoS em rede ficaram conhecidos como “Botnets”. (wikinoticia, 2011)
  • 7. “BOTNETS” Maria José Rodrigues – 2012 – Universidade Atlântica Página 7 de 14 5. O que são “Bots”? A palavra “bot” teve origem na palavra “robot”, existindo diversas espécies de “bots”, dos quais ficam aqui alguns exemplos: “GTbot” – consiste num conjunto de scripts de mIRC4 , usados para controlar a atividade do sistema remoto. Depois o “bot” ativa o cliente com os scripts de controlo, lançando também outra aplicação que esconde o mIRC do utilizador. “Agobot” – este tipo de “bot” é uma multiameaça e tenta esconder-se do utilizador, usando “NTFS Alternate Data Stream5 ” (permite que mais do que uma string de dados seja associada ao nome de um ficheiro), mata o antivírus (evitando que ele dê pela sua presença) e um motor de encriptação polimórfica (permite ao vírus transmutar-se a cada infeção). Este “bot” permite, por exemplo, o “sniffing”6 de tráfego. “Dataspy Network X” (DSNX)7 – é um Trojan que é instalado no sistema da vítima. O dono da “Botnet” pode, então, comunicar com o DSNX através de um canal de IRC, usando um código forte. O DSNX pode, inclusivamente, fornecer informação acerca de vários aspetos do sistema da vítima, tornando-o completamente vulnerável. “SDBot” – este “bot” é semelhante aos “Agobot” e “DSNX”, contudo o seu código não é claro e é limitado em termos de funcionalidades. Um “bot” pode ser criado de raiz ou pode usar-se um que já tenha sido criado e adaptá-lo. Se se souber usar um “bot” que já tenha sido criado é fácil fazer-se uma “Botnet” (rede de “bots”). Depois de se ter o “bot”, equipamo-lo com um servidor de IRC e informação de canal, restringe-se o acesso ao “bot”, torna-se o canal de IRC seguro e fornece-se uma lista de utilizadores seguros, podendo, também, equipar-se o “bot” com informação sobre o tipo de ataque que se pretende lançar e sobre a vítima a atingir com esse ataque.
  • 8. “BOTNETS” Maria José Rodrigues – 2012 – Universidade Atlântica Página 8 de 14 6. O que são “Botnets”? Pertencendo as “Botnets” a um ataque do tipo DoS (Denial-of-service) – negação de serviço, na sua versão mais avançada, vamos recuar um pouco na história da tecnologia dos ataques informáticos deste tipo para melhor compreender os ataques DDoS (Distributed Denial-of- Service) – negação de serviço distribuído, ou “botnets”. Podemos definir um DoS como um ataque proveniente de um endereço de IP para esgotar os recursos de um computador e assim impedir o utilizador de os usar como, por exemplo, se quisermos impedir uma pessoa de utilizar um telemóvel, podemos fazê-lo se começarmos a ligar para essa pessoa e a desligar a chamada assim que ela atende e, fazendo isto de uma forma continuada, a outra pessoa, que se vai sentir incomodada vai, muito provavelmente, desligar o telemóvel, pelo menos por algum tempo. Conseguimos, então, que essa pessoa fique impedida de usar os recursos do seu equipamento. Dado este exemplo mais simplista e passando para o nível informático o que os ataques de DoS, normalmente, pretendem afetar são, de entre outros, um dos seguintes recursos do utilizador: consumir os recursos informáticos, tais como a largura da banda, espaço de disco ou tempo de processamento; quebra da informação configurada, tal como roteamento de informação8 quebra da informação de estado, tal como religações não solicitadas de sessões de TCP9 obstrução de comunicações de “media” entre os utilizadores interessados e a vítima, para que não consigam comunicar adequadamente. Ora. Um ataque DDoS é uma versão mais avançada de um ataque DoS. Em vez de ser utilizada apenas uma fonte de ataque utilizam-se diversas fontes de ataque ao mesmo tempo. Com esta nova versão o alvo do ataque esgota todos os seus recursos e, se esse mesmo ataque for proveniente de diversas localizações, torna-se muito mais difícil de encontrar o atacante.
  • 9. “BOTNETS” Maria José Rodrigues – 2012 – Universidade Atlântica Página 9 de 14 7. O poder de uma “Botnet”, a sua criação e utilização No seguimento do ponto anterior é fácil depreender que, quanto mais “escravos” (bots) a rede conseguir “recrutar”, tanto mais “mortíferos” se tornarão os ataques. É assustador verificar-se como este tipo de ataque se veio a vulgarizar, de tal forma que, hoje em dia, pode-se inclusivamente, desde que motivados para isso, aceder à internet e alugar uma “Botnet” para lançar ataques de DDoS. Imagine-se o que seria tornar uma rede social inteira numa autêntica “Botnet”, seria possível? Pois não só é possível como também é praticável. Podemos indicar o início dos anos 2000 como o despontar do uso malicioso das “Botnets”. Nessa altura muitas pessoas para se comunicarem utilizavam o mIRC. Assim sendo os “bots” tomando a aparência de clientes legítimos do mIRC, escondiam-se nas diretorias do Windows. Então, os atacantes, ao alertarem os utilizadores para fazerem atualizações de software para protegerem os seus computadores, na realidade infetavam-nos, instalando um “bot”. O dono do “bot” podia, então, enviar aos “bots” da sua rede os comandos para lançar um ataque. O que de resto foi já explicado com mais pormenor no ponto 5. O que são “bots”? De uma forma simplista podem considera-se os seguintes passos na criação, utilização e destruição de uma “Botnet”: Criação dos “bots” Configuração dos “bots” Infecção dos “bots” Controlo dos “bots” por parte do atacante, “Dono” da “Botnet” Destruição da “Botnet” por parte do atacante, deitando abaixo o canal de IRC.
  • 10. “BOTNETS” Maria José Rodrigues – 2012 – Universidade Atlântica Página 10 de 14 8. Vulnerabilidades a estes ataques Neste tipo de ataques as principais vulnerabilidades encontram-se a nível das portas do Windows, indico algumas das portas que podem ser utilizadas para a introdução e alojamento de “bots”: Porta Serviço 42 WINS (nome do servidor anfitrião) 80 http (vulnerabilidade IIS ou Apache10 ) 1025 Windows Messenger 1433 Servidor SQL11 da Microsoft 5000 UPnP (Plug and Play Universal) (Timm & Perez, 2010) A par de todas as vulnerabilidades em termos de hardware e software a este e outros tipos de ataques, temos que ter em conta, igualmente, o desconhecimento e má utilização por parte dos utilizadores que, se alertados para estes factos, poderiam proteger-se melhor, criando barreiras à intrusão de software malicioso. 9. Como identificar e mitigar ataques por DDoS? Primeiro temos de nos inteirar se fomos alvo de um ataque por DDoS. Se verificarmos que múltiplos servidores vão abaixo e que a nossa ligação à internet está demasiado lenta isso é já um indício de que, muito provavelmente, fomos alvo de um desses ataques. Se tivermos conhecimentos mais avançados de informática, após termos identificado os que se passa na nossa rede, poderemos ser nós próprios a tentar mitigar o problema, mesmo que seja apenas para podermos utilizar alguns dos nossos recursos, e isso pode ser feito de duas formas: limiar o tráfego – possibilita a limitação de tráfego mas pode também limitar tráfego que seja importante;
  • 11. “BOTNETS” Maria José Rodrigues – 2012 – Universidade Atlântica Página 11 de 14 filtrar o tráfego para um “Honeypot” – isto permite enviar o tráfego para uma interface que não existe, aliviando, desta forma, o consumo dos recursos. De qualquer forma, pela literatura consultada, verificamos que é muito difícil mitigar um ataque deste tipo mesmo recorrendo a ferramentas apropriadas como é o caso do Cisco Guard, Intruguard e Netscreen. Foi notícia em 2009 um ataque ao Planet que é um fornecedor de hospedagem de sites e que utiliza o Cisco Guard que, embora tendo a proteção correta, foram vítimas de um ataque de DDoS que foi contra o comportamento usual de um ataque desse tipo. Eles conseguiram resolver o problema mas ainda estiveram afetados durante um período de 2 horas e meia. No entanto, apesar da grande dificuldade, senão impossibilidade, por enquanto, em evitar um ataque de DDoS, ficam aqui algumas recomendações que, talvez por serem tão simples, não as utilizamos normalmente, ou seja: utilizar software antivírus e antimalware manter o antivírus atualizado não abrir e-mail’s de quem não conhecemos não clicar em links que não conhecemos não visitar sites com os quais não estamos familiarizados Estes são os procedimentos básicos para se evitarem problemas. Se assim não tivermos procedido e notarmos que o nosso equipamento está muito lento, o mais provável, é termos sido atacados. Então, há que verificar essa situação. E como se pode verificar? Se se tratar de um equipamento particular, em ambiente MS-DOS12 utilizamos o comando netstat que nos apresenta todas as comunicações entradas e saídas ativas o que nos vai permitir, desde que possuamos conhecimentos para tal, se estamos ou não infetados. Este comando funciona tanto em sistemas Windows como em Unix.
  • 12. “BOTNETS” Maria José Rodrigues – 2012 – Universidade Atlântica Página 12 de 14 Se chegarmos à conclusão de que fomos atacados desligamos todos os browsers e aplicações da internet, fazemos uma atualização do antivírus com base na última assinatura. Depois de atualizarmos o antivírus temos de proceder a uma verificação completa do sistema e remover o vírus. Por fim reiniciamos o equipamento e o problema deve ficar resolvido. Se se tratar de uma empresa devemos, de uma forma proactiva, proceder da seguinte forma para mitigar os utilizadores de serem atacados com “bots”: instalar software de antivírus em todos os equipamentos manter o antivírus sempre atualizado instalar um IDS (sistema de deteção de intrusão) com base na rede ou um IPS (sistema de prevenção de intrusão) nos pontos de entrada da rede e em volta dos servidores críticos instalar IDS/IPS, com base no anfitrião, nos servidores críticos ficar atento às atualizações sobre novas ameaças bloquear as ligações de saída a todas as portas que não sejam necessárias aos negócios da empresa usar filtros de internet e/ou servidores de proxy13 para ajudar a bloquear vírus executáveis e a detetá-los. (Tupinambá) Tablet da Apple suporta três tipos de VPN
  • 13. “BOTNETS” Maria José Rodrigues – 2012 – Universidade Atlântica Página 13 de 14 10. Conclusão As “Botnets” são uma realidade e, se uma “Botnet” for de uma dimensão razoável pode ser alugada ou vendida, rendendo uma boa maquia para quem a vende. Vimos que há formas de mitigar este tipo de ataque com técnicas simples e naturais, as quais devíamos já estar a praticar. Se assim não o fazemos será melhor que o façamos bem rapidamente pois, se estas ameaças são já do domínio público, de certeza que novos ataques estão já em estudo ou até, quiçá, em implementação. No campo da informática, como em tantos outros, o que nós conhecemos já pertence ao passado daí a necessidade de nos mantermos sempre atualizados sobre as ameaças novas ou as emergentes. Como curiosidade deixo aqui alguns exemplos de como as “Botnets” constituem uma verdadeira ameaça: • Em 2007, Vint Cerf, coinventor do TCP/IP, indicava que 100 a 150 milhões de 600 milhões de computadores ligados à internet faziam parte de uma “Botnet”. (Timm & Perez, 2010) • A Conflicker recrutou mais de 10.000.000 bots capazes de produzir 10 biliões de mensagens de spam por dia. (Timm & Perez, 2010) • A Srixbi recrutou 450.000 bots capazes de produzir 60 biliões de mensagens de spam por dia. (Timm & Perez, 2010) Se estes números não nos assustarem não sei, então, o que nos possa assustar!
  • 14. “BOTNETS” Maria José Rodrigues – 2012 – Universidade Atlântica Página 14 de 14 Bibliografia Timm, C., & Perez, R. (2010). Seven Deadliest Social Network Attacks. Burlington: Adam Ely. Tupinambá, R. (s.d.). Obtido em 14 de 11 de 2012, de http://rtupinamba.blogspot.pt/2011_05_01_archive.html#.UKO13eRNXIc wikinoticia. (22 de 06 de 2011). pt.wikinoticia.com. Obtido em 14 de 11 de 2012, de pt.wikinoticia.com: http://pt.wikinoticia.com 1 DDoS - as tarefas de ataque de negação de serviço são distribuídas a um "exército" de máquinas escravizadas. 2 ICMP - é o protocolo utilizado por todos os switchs, para assinalar um erro (chamado Delivery Problem). 3 IP - Cada computador na internet possui um IP (Internet Protocol) único, que é como as máquinas se comunicam na Internet. 4 scripts de mIRC – é uma distribuição para o mIRC que engloba várias utilidades que faz com que a sua utilização seja mais simples ou completa que o mIRC em si. 5 NTFS Alternate Data Stream – um ficheiro NTFS é composto de streams de dados. Qualquer tipo de informação pode ser armazenada num ADS, e permanece invisível para o utilizador. 6 “sniffing” - O sniffing pode ser utilizado com propósitos maliciosos por atacantes que tentam interceptar o tráfego da rede com diversos objetivos: obter cópias de arquivos importantes durante a sua transmissão, e obter passwords que permitam alargar o seu raio de penetração num ambiente atacado ou ver as mensagens em tempo real. 7 “Dataspy Network X” (DSNX) – O vírus DSNX é um virus Trojan que pode conceder ao seu criador acesso ao seu computador. Tal como muitos outros viris Trojans, o virus DSNX é controlado pelo deu criador, usando canais de IRC. 8 roteamento de informação – informação por pacotes através de routers. 9 sessões de TCP - Significa 2 máquinas terem o mesmo sistema de identificação e procederem da mesma maneira para estabelecimento da ligação e troca de dados. 10 vulnerabilidade IIS ou Apache – O Apache é um software de código aberto para o sistema Linux e IIS é um pacote da Microsoft Windows. 11 Servidor SQL – É um servidor de sistema gerenciador de bases de dados 12 ambiente MS-DOS – Sistema operativo 13 servidores de proxy – servidores intermediários de ligação a outros servidores