terça-feira, 29 de julho de 2008

Formas de ataque, intrusão, invasão e detecção de intrusão.

1. Introdução

"Um ataque corresponde a um comprometimento em nível de sistema de segurança através de um ato inteligente ou deliberado, afetando serviços e violando política de um sistema.” (SHIREY, 1995).

Um Sistema Operacional, qualquer ele que seja, feito por colaboradores, open source, gratuito ou proprietário é dotado de falhas. Um sistema destes é composto por dezenas de softwares, milhares de linhas de código, rotinas, sub-rotinas, funções, drivers e chamadas de redes que apesar de todas os esforços e testes das empresas que o fazem antes do seu lançamento oficial, acaba aparecendo problemas em poucos dias de uso. Estes problemas, comumente chamados de “brechas”, vulnerabilidades ou ainda “furos”, acabam dando oportunidade de ataque e de acesso indevido ao sistema. As empresas se esforçam, liberando versões beta para que o público especializado (programadores, analistas de segurança e usuários da ferramenta) use e avise dos possíveis problemas para que seja corrigido antes do lançamento da versão final. Porém isso não é o bastante, é impossível a qualquer companhia produtora de sistemas ter testado todos os modos de uso e todas as situações que aquele programa irá passar... daí aparecem os famosos bugs dando oportunidade a alguns de se aproveitarem e usarem isso em benefício próprio ou com o intuito de prejudicar algo ou alguém.

Para se precaver contra estas vulnerabilidades no sistema é que existem profissionais nas empresas que cuidam para que estes problemas possam ser sanados de forma rápida e eficaz. O Administrador de Redes e/ou o Analista de Segurança tem que estar informado através do site do fabricante do sistema ou de sites especializados em publicação de boletins de segurança para ter acesso a estas informações o mais rápido possível e sanar estes problemas o quanto antes. Os fabricantes Sistemas Operacionais geralmente trazem no seu sistema ferramentas que fazem a atualização dos seus programas através da internet resolvendo o problema imediatamente. Esses patchs são baixados e instalados de forma rápida e fácil, porém não basta só aplicar os patchs, é necessária toda uma política de segurança sustentável que deve ser seguida à risca na empresa e ser medida, testada e avaliada periodicamente.

Para diminuir ao máximo as brechas de segurança dos seus sistemas, são necessários alguns cuidados como:
  • Manter seus sistemas atualizados;
  • Procurar usar versões estáveis dos programas utilizados;
  • Executar os serviços necessários na máquina evitando que portas sejam abertas sem necessidade;
  • Cuidado ao usar a conta do administrador;
  • Cuidar da segurança física das suas máquinas e do acesso a elas;
As maiorias das invasões acontecem por que algum serviço foi mal configurado ou está desatualizado. Mantendo estes métodos, com certeza a probabilidade de ataques diminui bastante, mas não evita o inevitável.

2. Intrusões

“A intrusão ou ataque podem ser definidos como qualquer conjunto de ações que tentam comprometer a integridade, confidencialidade ou disponibilidade de um recurso computacional, independente do sucesso ou não destas ações” (SOUZA, 2002).

Em geral, um ataque é cuidadosamente bem calculado, principalmente porque o atacante não quer ser identificado e se possível quer continuar tendo acesso irrestrito ao local invadido.

Não há regras para determinar os métodos dos atacantes, nem estilo. Mas é provável que o invasor comece em conhecer o sistema, em usar programas para rastrear os servidores e levantar as portas abertas. Este passo é compreendido pela Coleta de informação. É possível também nesta fase fazer a varredura dos servidores encontrados para descobrir as versões dos sistemas operacionais utilizados e as versões dos programas que mantém os serviços funcionando. Só após estes passos é que o atacante irá preparar ferramentas para poder tentar fazer a penetração no sistema ou simplesmente tentar fazer negação de serviço ou redirecionamento de tráfego para roubo de informações. Nesta fase, se for possível, o atacante poderá tentar deixar as portas abertas através de um backdoor ou um rootkit para que a sua entrada no sistema invadido seja mantida em sigilo e sempre facilitada. Como passo final, o invasor poderá tentar apagar seus rastros, excluindo ou burlando os sistemas de log do sistema.

Não existe um plano de ataque pré-definido, ou uma regra, mas com certeza alguns dos passos descritos acima são utilizados para que um invasor consiga ter sucesso na sua ação.

3. Qual o motivo das Invasões?

A resposta para esta pergunta não é simples. Os motivos pelos quais alguém tentaria invadir sua rede ou computador são inúmeros. Alguns destes motivos podem ser:

  • Utilizar seu computador em alguma atividade ilícita, para esconder a real identidade e localização do invasor;
  • Utilizar seu computador para lançar ataques contra outros computadores;
  • Utilizar seu disco rígido como repositório de dados;
  • Destruir informações (vandalismo);
  • Disseminar mensagens alarmantes e falsas;
  • Ler e enviar e-mails em seu nome;
  • Propagar vírus de computador;
  • Furtar números de cartões de crédito e senhas bancárias;
  • Furtar a senha da conta de seu provedor, para acessar a Internet se fazendo passar por você;
  • Furtar dados do seu computador, como por exemplo, informações do seu Imposto de Renda. (CARTILHA, 2006)

Existem diversos tipos de ataque, os intrusivos e os não intrusivos. Geralmente são utilizados ataques não intrusivos, aqueles que não comprometem seus dados nem sua confidencialidade, porém compromete seus serviços. São os famosos ataques de negação de serviço, onde o atacante deseja que sua rede, link ou servidor pare de funcionar e não responda mais aos serviços. Abaixo, citarei os principais tipos de ataques e pragas virtuais e a função de cada um deles.

Referências:

Shirey, Robert W. Security requirements for network management data / Robert W. Shirey Computer Standards & Interfaces, Lausanne, V.17,n.4 (Sept.1995), p.321-331

Cartilha de Segurança da Internet, http://nic.br , http://cert.br e http://cartilha.cert.br .Acessado em 22 de Junho de 2007

Souza, Marcelo. Readaptação do modelo ACME para detecção de novas técnicas de
intrusão.
Monografia de Graduação. UNESP – Departamento de Ciência da Computação e Estatística, São José do Rio Preto - SP, 2002.

4 comentários:

  1. Bah home... essa foi feia heim??? tô me formando em ciência da computação onde desenvolvo monografia na área de gerência de redes de computadores...bom, aprendi até agora que DEVEMOS CITAR FONTE...agora copiar na integra e omitir fonte é feio... muito feio...vou citar a fonte pra ti http://www.gnu-lia.org/index.php?option=com_content&task=view&id=183&Itemid=36; mas por favor né xirú, que coisa ordinária se apropriar das idéias alheias...

    Vilson Jorge (vilsonbj@yahoo.com.br)

    ResponderExcluir
  2. Amigo

    Como sua ânsia de detonar o autor deste blog, foi maior que a sua atenção, veja da próxima vez (se é que vai acontecer próxima...) veja que o autor dos dois artigos é a mesma pessoa, no caso, eu.
    Repudio totalmente as suas palavras.

    ResponderExcluir
  3. bela matéria Fofão... obg, me auxiliou em pesquisa rápida!

    ResponderExcluir