Jornal Hoje em Dia - coluna Tendências.com

r
'-"
·
[email protected]
c@ Tendências.com
lnfo.com -Hoje em Dia-BH, domingo, 3/2/2002
DETECTAR O ANORMAL REQUER CONHECER O NORMAL
LUIZ
MAIA
Notou que o númÚo de
pop-ups (aquelas janelas
que se abrem durante a
navegação) aumentaram
no ultimo mês? Navegar na
Internet em janeiro é
assim. Todos os sites bus­
cam o "Oscar" da Internet
brasileira: o iBest.
O que poucos sabem,
ou se lembram, é que a his­
tória poderia ser diferente.
Pouco antes de o iBest surgil; um sitejá propunha a votação on-li­
ne. Chamava-se "Top 1 O Brasil" e fez um
sucesso enorme, tal qual o "iBest':
Então aconteceu, o que daria a
chance para o site conco!Tente torna-se
o que é hoje, uma falha de segurança no
seruidor do ''Top 10 Brasil'; que permitiu
a u.m !zacker apagar todo o banco de
dados com os cadastros dos sites e o
número de uotos de cada um.
O invas01; talvez indignado com o
aumento do mímero de pop-ups que o
site causava nos sites brasileiros ou até
mesmo com a baixa. votação de seu "site
hacker" no concurso. tinha. como objeti­
uo a destruição da base de dados do site.
Porém, diferente do e.x:emplo, na maio­
ria das vezes os lwckers não inundem
uma maquina para destruir seu conteú-.
do.
Destruir ou modificm; na maioria .
das vezes, não vai trazer crédito nenhum
a ele. Na verdade, ele quer aumentar seu
poder de ação: que são seus rewrsos
para invadir outras máquinas ou ini­
ciar um ataque.
Para isso o lwcker instala o que
chamamos de backdoor (porta dos fim­
dos). Este "recurso" permite ao invasor
controle total da máquina de forma
simples, rápida e anônima. Para enten­
der como funciona e protegera micro ou
servidor das backdoor's, é importante
conhecer um pouco sobre portas e servi­
ços de rede.
O protocolo TCP, que é utilizado na
Internet e na maioria das redes, quando
em comunicação, envia em seus primei­
ros 32 bits (Word) de dados - no caso do
TCP chamamos estes dados de segmen­
to , o nlÍmero da porta origem e a porta
de destino. Estas portas indicam qual é
a aplicação que gerou. o segmento
(dados) e a aplicação que irá receber
estes dados no destino. Esta aplicação é
chamada de serviço de rede OVetwork
Services).
Em um sistema Linux, os principais
seruiços de rede e seus re.spectiuos míme­
ros são definidos no arquivo /etclservi­
ces. Número de portas menores que 256
são reservados para os serviços bem
conhecidos como FIP e Telnet. E de 256
dor de arquivos. Em menos de uma
semana cerca de 2 Gb tinham simples­
mente evaporado do disco rígido sem
nenhuma explicação.
Após detectar a invasão e "limpar" o
sistema, construi uma backdoor falsa
que utilizava a mesma
. . porta da origi­
illi
\
l t
\ '
\.
\. "
\ \ \. t \0
t \.. \.\\\\' tillJ'i
t\\t \\, ,,\ t. \ nt
a 1024 são utilizadas para seruiços do
Unix como o rlogn
i , que foi inicialmente
desenvolvido neste sistema operacional.
Para exemplificm; quando um pro­
grama de FTP (cliente) é acionado ele
utiliza. as portas 21 e 20 para se comuni­
car e transferir arquivos com o seu servi­
dm: A combinação de um endereço IP e
um número de porta é conhecida como
Socf.:et.
O hacke1; ao instalar uma backdoor
no sistema, também define wn nlÍmero
de porta na qual ela iráfuncionm: Então
o computador invadido, além de aguar­
dar algum dado enuiado para os serui­
ços normais como um servidor de FIP,
passará a aguardar também algum
...
�
dado que tenha como destino o número
da backdom: É como o número de fre­
qüência, de uma escuta secreta.
Por isso é recomendável o constante
monitoramento das portas abertas em
seu. computadm: Uma das formas de
monitoramento é através do comando
"netstat na·; que roda tanto no 11\findows
como em sistemas Linux. O comando
mostrará todas as cone.:cões que seu
computador possui no momento além
das portas abertas.
Conhecer seu sistema é essencial
para detectar um fimcionamento ou
atividade anormal. Lembro-me de uma
backdoor que detectei em um seruidor
que utilizava. o computador como servi-
nal. Seu fimcionamento era. restrito a
mostrar uma mensagem do tipo "ah há!
pegamos você" e registrar em arquivo, o
endereço IP do in.vasm: Lembro-me que
cuidei ainda de ser notificado via beep
no momento da inuasão.
O resultado foi surpreendente: um
estrondoso número de servidores inva­
didos em. diversos lugares do mundo. O
invasor para não ser identificado, utili­
zava estes servidores invadidos como
ponte para invadir outros. Foi uma ver­
dadeira. caça até chegar ao responsável,
que infelizmente não era. só um e sim
um grupo de pessoas.
Confesso que o maior trabalho era
notificar e convencer os administradores
que seu servidor estava com. a backdoo1:
Sempre escu.tava a mesma coisa: "Nosso
sistema é seguro, e o q1te relata não pode
ser real':
Verifique sempre os processos que
estão sendo execu.tados em seu seruido1;
a.traués do comando "ps" do Linux. No
Windows, utilize o Gerenciador de Tare­
fas. Outro item de monitoramento
importante são os arquivos e configura­
ções de inicialização. Para não perder o
acesso à máquina em caso de boot, o
invasor adiciona. a ba.ckdoor nesses
arquiuos de forma. que ao inicializar o
sistema ative novamente a backdoor No
linux monitore qualquer modificação
no arquivo Jetc/inetd.conf
No '1\'indows, além do autoexec.bat,
há também os registros que são uisuali­
zados e gerenciados pelo programa
"regedit'� Execute o programa e prowre
por HKEY-CURRENT-USER \ Software
\Microsoft\Windows \
CurrentVersion \ Run e a mesma
clzave debaixo de HKEY-LOCAL-MA­
CHINE. No Windows 2000, utilize o
Mlv!C (Microsoft J'vlanagement Console)
de Gerenciamento do computador (no
menu ferramentas administrativas).
Finalmente, as backdoor também
são utilizadas para realizar ataques do
tipo DDoS (Distributed Denial of Servi­
ce), onde um grande nzímero de máqui­
nas geram diversas requisições ao mes­
mo servid01; derrubandà-o. Certamente
nos aprofimdaremos sobre este tipo de
ataque no futuro. Até
,,
Ia.
-+ Luiz Maio é consultor e diretor do
Alormsoft, especializado em segurança.
E-moil: [email protected]