Jornal Hoje em Dia - coluna Tendências.com
Transcrição
Jornal Hoje em Dia - coluna Tendências.com
r '-" · [email protected] c@ Tendências.com lnfo.com -Hoje em Dia-BH, domingo, 3/2/2002 DETECTAR O ANORMAL REQUER CONHECER O NORMAL LUIZ MAIA Notou que o númÚo de pop-ups (aquelas janelas que se abrem durante a navegação) aumentaram no ultimo mês? Navegar na Internet em janeiro é assim. Todos os sites bus cam o "Oscar" da Internet brasileira: o iBest. O que poucos sabem, ou se lembram, é que a his tória poderia ser diferente. Pouco antes de o iBest surgil; um sitejá propunha a votação on-li ne. Chamava-se "Top 1 O Brasil" e fez um sucesso enorme, tal qual o "iBest': Então aconteceu, o que daria a chance para o site conco!Tente torna-se o que é hoje, uma falha de segurança no seruidor do ''Top 10 Brasil'; que permitiu a u.m !zacker apagar todo o banco de dados com os cadastros dos sites e o número de uotos de cada um. O invas01; talvez indignado com o aumento do mímero de pop-ups que o site causava nos sites brasileiros ou até mesmo com a baixa. votação de seu "site hacker" no concurso. tinha. como objeti uo a destruição da base de dados do site. Porém, diferente do e.x:emplo, na maio ria das vezes os lwckers não inundem uma maquina para destruir seu conteú-. do. Destruir ou modificm; na maioria . das vezes, não vai trazer crédito nenhum a ele. Na verdade, ele quer aumentar seu poder de ação: que são seus rewrsos para invadir outras máquinas ou ini ciar um ataque. Para isso o lwcker instala o que chamamos de backdoor (porta dos fim dos). Este "recurso" permite ao invasor controle total da máquina de forma simples, rápida e anônima. Para enten der como funciona e protegera micro ou servidor das backdoor's, é importante conhecer um pouco sobre portas e servi ços de rede. O protocolo TCP, que é utilizado na Internet e na maioria das redes, quando em comunicação, envia em seus primei ros 32 bits (Word) de dados - no caso do TCP chamamos estes dados de segmen to , o nlÍmero da porta origem e a porta de destino. Estas portas indicam qual é a aplicação que gerou. o segmento (dados) e a aplicação que irá receber estes dados no destino. Esta aplicação é chamada de serviço de rede OVetwork Services). Em um sistema Linux, os principais seruiços de rede e seus re.spectiuos míme ros são definidos no arquivo /etclservi ces. Número de portas menores que 256 são reservados para os serviços bem conhecidos como FIP e Telnet. E de 256 dor de arquivos. Em menos de uma semana cerca de 2 Gb tinham simples mente evaporado do disco rígido sem nenhuma explicação. Após detectar a invasão e "limpar" o sistema, construi uma backdoor falsa que utilizava a mesma . . porta da origi illi \ l t \ ' \. \. " \ \ \. t \0 t \.. \.\\\\' tillJ'i t\\t \\, ,,\ t. \ nt a 1024 são utilizadas para seruiços do Unix como o rlogn i , que foi inicialmente desenvolvido neste sistema operacional. Para exemplificm; quando um pro grama de FTP (cliente) é acionado ele utiliza. as portas 21 e 20 para se comuni car e transferir arquivos com o seu servi dm: A combinação de um endereço IP e um número de porta é conhecida como Socf.:et. O hacke1; ao instalar uma backdoor no sistema, também define wn nlÍmero de porta na qual ela iráfuncionm: Então o computador invadido, além de aguar dar algum dado enuiado para os serui ços normais como um servidor de FIP, passará a aguardar também algum ... � dado que tenha como destino o número da backdom: É como o número de fre qüência, de uma escuta secreta. Por isso é recomendável o constante monitoramento das portas abertas em seu. computadm: Uma das formas de monitoramento é através do comando "netstat na·; que roda tanto no 11\findows como em sistemas Linux. O comando mostrará todas as cone.:cões que seu computador possui no momento além das portas abertas. Conhecer seu sistema é essencial para detectar um fimcionamento ou atividade anormal. Lembro-me de uma backdoor que detectei em um seruidor que utilizava. o computador como servi- nal. Seu fimcionamento era. restrito a mostrar uma mensagem do tipo "ah há! pegamos você" e registrar em arquivo, o endereço IP do in.vasm: Lembro-me que cuidei ainda de ser notificado via beep no momento da inuasão. O resultado foi surpreendente: um estrondoso número de servidores inva didos em. diversos lugares do mundo. O invasor para não ser identificado, utili zava estes servidores invadidos como ponte para invadir outros. Foi uma ver dadeira. caça até chegar ao responsável, que infelizmente não era. só um e sim um grupo de pessoas. Confesso que o maior trabalho era notificar e convencer os administradores que seu servidor estava com. a backdoo1: Sempre escu.tava a mesma coisa: "Nosso sistema é seguro, e o q1te relata não pode ser real': Verifique sempre os processos que estão sendo execu.tados em seu seruido1; a.traués do comando "ps" do Linux. No Windows, utilize o Gerenciador de Tare fas. Outro item de monitoramento importante são os arquivos e configura ções de inicialização. Para não perder o acesso à máquina em caso de boot, o invasor adiciona. a ba.ckdoor nesses arquiuos de forma. que ao inicializar o sistema ative novamente a backdoor No linux monitore qualquer modificação no arquivo Jetc/inetd.conf No '1\'indows, além do autoexec.bat, há também os registros que são uisuali zados e gerenciados pelo programa "regedit'� Execute o programa e prowre por HKEY-CURRENT-USER \ Software \Microsoft\Windows \ CurrentVersion \ Run e a mesma clzave debaixo de HKEY-LOCAL-MA CHINE. No Windows 2000, utilize o Mlv!C (Microsoft J'vlanagement Console) de Gerenciamento do computador (no menu ferramentas administrativas). Finalmente, as backdoor também são utilizadas para realizar ataques do tipo DDoS (Distributed Denial of Servi ce), onde um grande nzímero de máqui nas geram diversas requisições ao mes mo servid01; derrubandà-o. Certamente nos aprofimdaremos sobre este tipo de ataque no futuro. Até ,, Ia. -+ Luiz Maio é consultor e diretor do Alormsoft, especializado em segurança. E-moil: [email protected]