instituto federal do espírito santo
Transcrição
instituto federal do espírito santo
INSTITUTO FEDERAL DO ESPÍRITO SANTO CURSO SUPERIOR DE TECNOLOGIA EM REDES DE COMPUTADORES RODOLFO DE SOUZA CAVATI FORMAS DE ATAQUES NO SISTEMA OPERACIONAL WINDOWS XP E METODOLOGIAS PARA PROTEÇÃO SERRA 2011 RODOLFO DE SOUZA CAVATI FORMAS DE ATAQUES NO SISTEMA OPERACIONAL WINDOWS XP E METODOLOGIAS PARA PROTEÇÃO Trabalho de Conclusão de Curso apresentado à Coordenadoria de Informática do Instituto Federal do Espírito Santo, como requisito parcial para a obtenção do título de Tecnólogo em Redes de Computadores. Orientador: Prof. Gilmar Luiz Vassoler SERRA 2011 RODOLFO DE SOUZA CAVATI FORMAS DE ATAQUES NO SISTEMA OPERACIONAL WINDOWS XP E METODOLOGIAS PARA PROTEÇÃO Trabalho de Conclusão de Curso apresentado à Coordenadoria de Informática do Instituto Federal do Espírito Santo, como requisito parcial para a obtenção do título de Tecnólogo em Redes de Computadores. Aprovado em XX de Maio de 2011. COMISÃO EXAMINADORA Prof. Msc. Gilmar Luiz Vassoler Instituto Federal do Espírito Santo - Campus Serra Orientador Prof. Gilberto Sudré Instituto Federal do Espírito Santo - Campus Serra Prof. XXXX Instituto Federal de Educação Tecnológica do Espírito Santo [Gilmar Lu1] Comentário: Você conhece alguém que poderia estar participando? Tem que ser formado na área. DECLARAÇÃO DO AUTOR Declaro, para fins de pesquisa acadêmica, didática e técnico-científica, que o presente Trabalho de Conclusão de Curso pode ser parcial ou totalmente utilizado desde que se faça referência à fonte e ao autor. Serra, XX de Maio de 2011 RODOLFO DE SOUZA CAVATI [Gilmar Lu2] Comentário: Data Aos nossos familiares e amigos que estiveram presentes nesta caminhada e tanto nos apoiaram nos estudos. RESUMO Este trabalho é um estudo que tem como objetivo identificar as principais formas de ataques ao sistema operacional Windows XP. A partir dos problemas observados iremos encontrar boas práticas, políticas de segurança para o usuário e modelos de configuração de uma rede segura, com o intuito de proteger os sistemas XP destas ameaças virtuais. É importante destacar que o Windows XP ainda é o sistema operacional mais utilizado no mundo, consequentemente isso faz com que grande parte da atenção dos invasores esteja voltada para ele. Estas tentativas de invasão tentas encontrar uma forma de burlar o sistema ou até mesmo o próprio usuário. Este trabalho procura elaborar uma metodologia de segurança, a partir de um estudo das falhas encontradas no sistema ou por um eventual descuido do usuário, utilizando uma configuração adequada do sistema Windows XP em conjunto com os principais softwares gratuitos de segurança encontrados e compatíveis com este SO. Uma implementação do modelo proposto será criada a fim de demonstrar a viabilidade deste modelo. Palavras chave: segurança, metodologias, softwares gratuitos, invasores, Windows, sistema operacional, ABSTRACT This work is a study that aims to identify the main forms of attacks on the Windows XP operating system. From the observed problems will find best practices, security policies and templates for user configuration of a secure network in order to protect systems XP these threats. It is worth noting that Windows XP is still the most used operating system in the world, therefore it makes much of the attention of the invaders is facing him. These intrusion attempts try to find a way to cheat the system or even the user himself. This paper seeks to elaborate a methodology of security, from a study of failures in the system or by any carelessness of the user, using an appropriate configuration of the Windows XP system in conjunction with the main free software security and found compatible with this OS. An implementation of the proposed model will be created to demonstrate the feasibility of this model. Keywords: security, attackers, Windows, operating system, methodologies, free software, LISTA DE SIGLAS API – APPLICATION PROGRAMMING INTERFACE ARJ – ARCHIVER ROBERT JUNG AVKILL – ANTIVIRUS KILLER CD – COMPACT DISC DVD – DIGITAL VIDEO DISC FAT – FILE ALOCATTION TABLE FTP – FILE TRANFER PROTOCOL HD – HARD DISK HTML – HYPER TEXT MARKUP LANGUAGE ICMP – INTERNET CONTROL MESSAGE PROTOCOL IP – INTERNET PROTOCOL IRC – INTERNET RELAY CHAT LAN – LOCAL AREA NETWORK MAPI – MESSAGING APPLICATION PROGRAMMING INTERFACE MBR – MASTER BOOT RECORD MS – MICROSOFT P2P – PEER-TO-PEER PHP – HYPERTEXT PREPROCESSOR RAR – ROSHAL ARCHIVE SMTP – SIMPLE MAIL TRANSFER PROTOCOL SP – SERVIVE PACK SSL – SECURE SOCKETS LAYER SYN – SYNCHRONIZE TCP – TRANSMISSION CONTRO PROTOCOL UDP – USER DATAGRAM PROTOCOL URL – UNIFORM RESOURCE LOCATOR VBA – VISUAL BASIC FOR APPLICATIONS VBS – VISUAL BASIC SCRIPT SCRIPTING EDITION WPA – WI-FI PROTECTED ACESS LISTA DE FIGURAS FIGURA 1- Incidentes de segurança reportados ao CERT.br no ano de 2005. .................. 12 FIGURA 2 - Incidentes de segurança reportados ao CERT.br no ano de 2009. ................. 12 FIGURA 3 - Incidentes de segurança reportados ao CERT.br no ano de 2010. ................. 13 FIGURA 4 – Estatística de uso dos sistemas operacionais no ano de 2007 no mundo. ..... 14 FIGURA 5 – Estatística do uso do sistema operacional Windows e suas versões, assim como de outros sistemas operacionais em dezembro de 2007. ............................................. 14 FIGURA 6 – Estatística do uso de sistemas operacionais no ano de 2010 no mundo. ........ 14 FIGURA 7 – Estatística do uso de sistema operacional Windows e suas versões, assim como de outros sistemas operacionais em dezembro de 2010. ............................................. 15 FIGURA 8 - Regiões atingidas pelo Conficker no ano de 2009 .......................................... 22 FIGURA 9 (a) - Exemplo de um arquivo de macro limpo. (b) - Exemplo de um arquivo de macro infectado................................................................................................................... 24 FIGURA 10 – Assinatura do vírus Win32.Induc ................................................................ 25 FIGURA 11 - Relativa de phishing se passando por site de banco. .................................... 43 FIGURA 12 – Exemplo de uma mensagem de email de phishing, que inclui um endereço da Web fraudulento que leva ao site do golpe. .................................................................... 44 FIGURA 13 - Relativa de tentativa de spear phishing ........................................................ 45 FIGURA 14- Exemplo de fraude aplicada por email. ......................................................... 46 FIGURA 15 - Fraude por email. ......................................................................................... 47 FIGURA 16 - Fraude por email. ......................................................................................... 47 FIGURA 17– Acessando Contas de usuário ....................................................................... 53 FIGURA 18– Acessando Painel de Controle ...................................................................... 54 FIGURA 19– Marcando opção de atualização automática ................................................. 55 FIGURA 20– Tornando as atualizações automáticas ......................................................... 56 FIGURA 21– Acessando Firewall do Windows .................................................................. 57 FIGURA 22– Ativando Firewall do Windows ..................................................................... 58 FIGURA 23– Desmarcando serviços e programas desnecessários ..................................... 59 FIGURA 24– Acessando aba Avançado do firewall............................................................ 60 FIGURA 25– Desabilitando serviços de rede ...................................................................... 61 FIGURA 26– Acessando Conexões de rede ........................................................................ 62 FIGURA 27– Acessando as propriedades da conexão local utilizada ................................. 63 FIGURA 28– Desmarcar compartilhamento de arquivos e impressoras para redes ........... 64 FIGURA 29– Acessando configurações do Sistema............................................................ 65 FIGURA 30 – Desmarcando opções de conexões remotas do sistema. ............................... 66 FIGURA 31– Acessando Ferramentas Administrativas...................................................... 67 FIGURA 32– Acessando Serviços em Ferramentas Administrativas .................................. 68 FIGURA 33 – Desativando serviços de Telnet .................................................................... 69 FIGURA 34 – Resultado escaneamento do NMAP Intense Scan ....................................... 73 FIGURA 35 – Resultado do teste do NESSUS .................................................................... 74 FIGURA 36– Informações sobre vulnerabilidade encontrada ............................................ 75 FIGURA 37– Resultado de teste de compartilhamento de arquivos.................................... 76 FIGURA 38 – Teste de portas do Shield UP ....................................................................... 77 LISTA DE GRÁFICOS GRÁFICO 1 – Número de usuários de Internet em 1995. .................................................. 10 GRÁFICO 2 – Número de usuários de Internet em 2000 ................................................... 10 GRÁFICO 3 – Número de usuários de Internet em Jun/2010 ............................................ 11 SUMÁRIO 1.1 MOTIVAÇÃO ................................................................................................................................. 13 1.2 OBJETIVOS DO TRABALHO................................................................................................... 15 1.2 CONTRIBUIÇÕES DO TRABALHO ........................................................................................ 16 1.3 ESTRUTURAS DA MONOGRAFIA.......................................................................................... 16 2.1 AMEAÇAS HUMANAS ............................................................................................................... 18 2.2 AMEAÇAS VIRTUAIS ................................................................................................................ 21 2.2.1 VÍRUS .......................................................................................................................................................21 2.2.2 WORMS ....................................................................................................................................................28 2.2.3 TROJANS .................................................................................................................................................32 2.2.4 EXPLOITS ................................................................................................................................................39 2.2.5 ENGENHARIA SOCIAL .......................................................................................................................41 3.1 SCANNERS DE IPS E PORTAS ................................................................................................ 48 3.2 SCANNERS DE REDES .............................................................................................................. 48 3.3 SCANNERS DE VULNERABILIDADES ................................................................................. 49 3.4 CAMUFLAGENS DE ARQUIVOS............................................................................................ 49 3.5 NAVEGANDO COM IP OCULTO NA INTERNET .............................................................. 50 3.6 CLONAGENS DE SITES ............................................................................................................ 51 4.1 ATUALIZAR O SISTEMA OPERACIONAL ......................................................................... 52 4.2 CRIANDO USUÁRIOS NO SISTEMA ..................................................................................... 52 4.3 TORNANDO AS ATUALIZAÇÕES AUTOMÁTICAS ......................................................... 53 4.4 PROTEGENDO CONEXÕES E DESABILITANDO SERVIÇOS DE CONEXÕES REMOTAS. ............................................................................................................................................ 61 4.5 INSTALANDO ANTIVÍRUS E ANTI-SPYWARES............................................................... 69 4.6 INSTALANDO FERRAMENTAS COMPLEMENTARES................................................... 70 5.1 PROGRAMAS E SITES UTILIZADOS NOS TESTES ........................................................ 72 5.1.1 TESTE COM O NMAP............................................................................................................................72 5.1.2 TESTE COM O NESSUS ........................................................................................................................74 5.1.3 TESTANDO COM OS SERVIÇOS DO SITE SHIELDS UP! .............................................................75 1. INTRODUÇÃO A evolução ao longo dos anos dos sistemas informatizados nos permitiu maior facilidade na organização do volume de informações geradas todos os dias nos mais diversos lugares, tais como, empresas, lojas, hospitais, órgãos públicos, escolas e até mesmo em nossas próprias casas. Devemos entender informação como um conjunto de dados, tais como: a folha salarial da empresa, o banco de dados de clientes do banco, a planilha eletrônica dos dados pessoais dos pacientes do hospital, o resumo de contas a pagar no mês, a carta escrita no Word, a agenda eletrônica, etc. A necessidade do compartilhamento das informações foi um dos fatores para que as redes de computadores fossem criadas. Em conjunto com os sistemas informatizados, as redes de computadores são responsáveis por fazer todo o ciclo que passa a informação, desde sua criação em formato digital, seu armazenamento, proteção, alteração, e sua divulgação para os demais interessados. Para o leitor interessado disponibilizamos no anexo 1 a evolução das redes de computadores durante as últimas décadas. Um dos mais expressivos resultados da evolução das redes de computadores foi à criação da Internet. Segundo Kurose[1] não existe uma palavra que possa definir o que é a Internet, pois essa está sempre em mudança e cada vez mais complexa, tanto nos seus hardwares que as compõem tanto nos seus serviços oferecidos. A evolução da Internet proporcionou as pessoas facilidades jamais vistas pelo homem. Hoje é possível fazer compras, gerenciar uma conta em uma instituição financeira, estudar, interagir com diversas pessoas, entre outras tantas atividades, sem a necessidade de sair de casa. Devido às possibilidades oferecidas, o número de usuários da Internet cresceu de forma significativa em todo o mundo. Os gráficos 1, 2 e 3 apresentam o rápido crescimento de usuários de Internet em seis grandes países, de acordo com dados obtidos em MDGS[2] (Millenium Development Goals Indicators). GRÁFICO 1 – Número de usuários de Internet em 1995. GRÁFICO 2 – Número de usuários de Internet em 2000 GRÁFICO 3 – Número de usuários de Internet em Jun/2010 Observando os gráficos 1, 2 e 3 acima, percebemos o constante crescimento do número de usuários de Internet em 6 grandes países do mundo ao decorrer de 14 anos, mostrando que estamos cada vez mais dependentes da tecnologia. No grupo desses milhões de usuários de Internet podemos encontrar pessoas com intenção de obter informações de outras sem devida autorização. Com isso, é cada vez mais comum a ocorrência de crimes, golpes e fraudes eletrônicas. Em parte, isto se deve ao fato de que a grande maioria dos usuários da grande rede desconhece os riscos encontrados no mundo virtual, e muitas vezes não adotam as devidas medidas de segurança que devem ser tomadas quando se estão nesse ambiente. A Internet é um local que criminosos agem, devido à grande quantidade de pessoas e sistemas vulneráveis a falhas. Muitas são as formas encontradas para burlar a rede de informações, tais como: vírus, spywares, adwares, worms, trojans, e isso devido a falhas de configuração encontradas nos sistemas. As figuras 1, 2 e 3 apresentam estatísticas dos números de incidentes virtuais reportados nos anos de 2005, 2009 e 2010 respectivamente, de acordo com dados obtidos em Cert.br[3] (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil). FIGURA 1- Incidentes de segurança reportados ao CERT.br no ano de 2005. Fonte: http://www.cert.br/stats/incidentes/2005-jan-dec/tipos-ataque.html FIGURA 2 - Incidentes de segurança reportados ao CERT.br no ano de 2009. Fonte: http://www.cert.br/stats/incidentes/2009-jan-dec/tipos-ataque.html FIGURA 3 - Incidentes de segurança reportados ao CERT.br no ano de 2010. Fonte: http://www.cert.br/stats/incidentes/2010-jan-dec/tipos-ataque.html Devido às altas taxas de incidentes reportados, percebemos a necessidade de novas tecnologias voltadas para segurança dos sistemas, tais como antivírus, anti-spywares, paths de correção, firewall e outros softwares que poderão auxiliar na proteção e serão estudados nos próximos capítulos. 1.1 MOTIVAÇÃO De acordo com estatísticas obtidas em NetMarketShare[4], a maioria dos sistemas operacionais encontrados nos computadores baseiam-se na plataforma Windows, como mostrado na figura 4 que representa o ano de 2007 e figura 5 que representa o ano de 2010. Observando que desta plataforma destaca-se o Windows XP como versão mais utilizada como mostrado na figura 6 que representa o ano de 2007 e figura 7 que representa o ano de 2010. FIGURA 4 – Estatística de uso dos sistemas operacionais no ano de 2007 no mundo. Fonte:http://www.netmarketshare.com/operating-system-market-share. aspx?qprid=8&qpcal=1&qptimeframe=Y&qpsp=2000 FIGURA 5 – Estatística do uso do sistema operacional Windows e suas versões, assim como de outros sistemas operacionais em dezembro de 2007. Fonte:http://www.netmarketshare.com/operating-system-market-share. aspx?qprid=10&qpcal=1&qptimeframe=Y&qpsp=2000 FIGURA 6 – Estatística do uso de sistemas operacionais no ano de 2010 no mundo. Fonte: http://www.netmarketshare.com/operating-system-market-share. aspx?qprid=8 FIGURA 7 – Estatística do uso de sistema operacional Windows e suas versões, assim como de outros sistemas operacionais em dezembro de 2010. Fonte: http://www.netmarketshare.com/operating-system-market-share. aspx?qprid=10 Podemos observar nas figuras 5 e 7 acima, que no decorrer do ano de 2007 até o ano de 2010 houve aumento no número de usuários de outros sistemas operacionais, porém ainda assim o Windows XP é maioria presente nos computadores como visto. Por ser o sistema operacional mais utilizado nos últimos anos, vários programas e ferramentas foram criados para trabalhar baseado nessa plataforma, e isto acaba trazendo uma consequência grave, o crescente número de crackers1 preocupados em encontrar novas falhas nesse sistema e novas maneira de enganar softwares e usuários. 1.2 OBJETIVOS DO TRABALHO O objetivo geral deste trabalho é identificar os principais tipos de ataques e métodos de burlar o sistema operacional Windows XP, e criar uma metodologia para manter o sistema protegido destes ataques e proporcionar uma utilização segura do ambiente no dia a dia. Além do objetivo geral definimos os seguintes objetivos específicos para este trabalho: Apresentar as principais ameaças encontradas, algumas em formas de softwares outras feitas através de métodos; Produzir um roteiro em linguagem simples para que usuários comuns possam se prevenir; Identificar e testar softwares gratuitos de qualidade que podem ser utilizados para proteção; 1 Chamado de Hacker do mal ou hacker sem ética. 1.2 CONTRIBUIÇÕES DO TRABALHO Este trabalho propõe aos usuários da Internet e em especial do Windows XP uma série de recomendações de segurança a serem tomadas. Indicamos ao leitor cartilhas de segurança a ser lida, que em conjunto com softwares de segurança e de correção do sistema, possa nos garantir uma navegação segura no mundo virtual e prevenindo nosso sistema de possíveis brechas e ameaças. Para o leitor interessado as cartilhas podem ser encontradas no ANEXO 2 deste trabalho. 1.3 ESTRUTURAS DA MONOGRAFIA Este texto está dividido em cinco capítulos e 15 anexos, onde o capítulo 1 é a introdução, o capítulo 2 aborda as principais ameaças encontradas na Internet, o capítulo 3 apresenta as principais ferramentas que podem ser utilizadas para um possível ataque ao Windows XP, o capítulo 4 aborda as principais técnicas e softwares de segurança para os usuários, o capítulo 5 apresenta um ataque ao sistema operacional Windows XP, o capítulo 6 conclui o trabalho. Os anexos são os seguintes: Anexo 1 – Evolução das redes de computadores Anexo 2 – Cartilhas de Segurança Anexo 3 – Histórico dos Vírus Anexo 4 – Ameaças Virtuais Anexo 5 – Teste do antivírus Anexo 6 – Código fonte de vírus Anexo 7 – Trojan Anexo 8 – Scan de IPs Anexo 9 – Scan de rede Anexo 10 – Scan de rede Anexo 11 – Unir arquivos de extensões diferentes Anexo 12 – Trojan Indetectável Anexo 13 – Código fonte de AVKILL Anexo 14 – Navegar com IP oculto Anexo 15 – Clonar site 2. AMEAÇAS EXISTENTES AOS COMPUTADORES Este capítulo aborda as principais ameaças virtuais encontradas para quem navega na Internet e explica como agem essas ameaças. As ameaças se encontram em duas formas, as ameaças humanas e as ameaças virtuais. As ameaças humanas partem de pessoas que possuem alto conhecimento em informática, que usam dos seus conhecimentos como arma para descobrir novas vulnerabilidades nos sistemas e novas maneiras de enganar o usuário, mas também podem partir de pessoas que possuem pouco conhecimento em informática, mas se utilizam de ferramentas automatizadas para realizar os ataques. Já as ameaças virtuais, são os softwares maliciosos criados pelos próprios humanos, que buscam explorar possíveis falhas encontradas nos sistemas, com intuito de realizar o ataque e tomar posse do sistema afetado. Mas a final, quem são estas pessoas que utilizam a informática para cometerem crimes virtuais? Porque as pessoas criam estes softwares maliciosos? Como funcionam as ameaças virtuais? A seguir o texto apresenta algumas características das pessoas que se encontram no grupo de ameaças reais, quem são e como agem esses indivíduos. 2.1 AMEAÇAS HUMANAS HACKERS O conceito de hacker é definido como por HULBRICH e VALLE[6] da seguinte forma: [...]a palavra hacker já existia há muitos anos atrás, inicialmente esta palavra era utilizada para denominar as pessoas que trabalhavam como carpinteiros, fazendo móveis com seus machados – “hack”, é a onomatopeia para essas ferramentas, em inglês. Nos anos de 40 e 50, a palavra hacker foi utilizada para categorizar radioamadores e hobbystas de mecânica ou eletrônica. Já na década de 60, o nome se popularizou como sinônimo de programador e especialistas em computadores, embora fosse comum utilizá-lo para definir qualquer especialista: havia hackers de astronomia, de mecânica de automóveis ou de jardinagem, por exemplo.[...] Porém atualmente o termo hacker, tende a se referir aos criminosos digitais. Hackers são especialistas que dominam várias técnicas de invasão e são conhecedores natos de pelo menos um sistema operacional, ótimos programadores e excelentes administradores de redes e sistemas. ULBRICH e VALLE[5]. Mas, diferentemente do que popularmente se acredita, os hackers possuem um rígido código de ética e não utilizam de seus conhecimentos para cometerem crimes virtuais, mesmo sabendo que seus conhecimentos são contra a lei. As comunidades hackers mais tradicionais execram completamente esta definição, preferindo se referir a eles como apenas excelentes programadores e especialistas em informática. ULBRICH e VALLE[5]. CRACKERS O conceito de crackers é definido como por ULBRICH e VALLE[5] como: [...]os crackers são conhecidos como os hackers do mal ou hackers sem ética, normalmente estas pessoas são especialistas em quebrar as travas de softwares comerciais para poder pirateá-los (chamados de warez-d00dz), mas grande maioria utiliza dos seus conhecimentos para invadir sites e computadores com objetivos ilícitos, como vandalismo ou roubo de informação. Muitas vezes os crackers são excelentes programadores e criam diversos programas que são utilizados para infectarem ou destruírem completamente sistemas alheios, e na maioria das vezes não deixando vestígios algum, também criam ferramentas que roubam e destroem informações do sistema.[...] pag29. Os crackers são os criminosos virtuais mais temidos pelas pessoas que estão envolvidas na questão da segurança da informação. O alto conhecimento na área de redes lhes permite vandalizar websites e invadir outros sistemas, com objetivos maliciosos e prejudiciais. São responsáveis pela maioria dos vírus e pragas criadas, que causam prejuízos morais e financeiros a outras pessoas e empresas. ULBRICH e VALLE[5]. LAMMERS O conceito de lammer é definido como por ULBRICH e VALLE[5] como: [...]são pessoas que não possuem de longe o alto conhecimento dos crackers nem dos hackers, e grande maioria das pessoas deste grupo são jovens que passam horas na frente do computador e buscam na Internet programas criados pelos crackers para invasão, e usam destes para tomar controle de um sistema desprotegido ou algum site desprotegido. Porém na maioria são descobertos, pois não tem habilidades suficientes para apagar os rastros deixados pela invasão [...]. (pág29). PHREAKER O conceito de phreaker é definido como por ULBRICH e VALLE[5] como: [...]pessoas que possuem conhecimentos avançados de eletrônica e telefonia e conseguem fazer ataques à partir de servidores de outros países explorando falhas nos sistemas de telefonia. Esses também sabem fazer ligações gratuitas, conseguem acesso as centrais telefônicas e modificam suas contas, passando para outra pessoa o débito, ou alterando o valor da mesma [...].(pág30). WAR DRIVER O conceito de WAR DRIVER é definido como por ULBRICH e VALLE [5] como sendo: [...] Pessoas que possuem vasto conhecimento em informática também, porém seus principais alvos são as vulnerabilidades encontradas nas redes sem fio, que ainda não apresentam requisitos de segurança 100% confiáveis. Eles exploram essas vulnerabilidades para tomarem posse dessas conexões wireless desprotegidas, podendo fazer ataques a partir destas. [...] (pág. 30) 2.2 AMEAÇAS VIRTUAIS Nesta sessão são apresentadas as principais ameaças virtuais encontradas na rede e suas formas de contaminarem os sistemas vulneráveis. Grande maioria das pragas virtuais é criada pelos grupos dos crackers citados na sessão anterior. 2.2.1 VÍRUS Histórico dos vírus De acordo com IdgNow[6], o primeiro vírus de computador surgiu no ano de 1982 nos Estados Unidos e foi criado por um estudante de 15 anos chamado de Rich Skrenta. O vírus recebeu o nome de Elk Cloner e infectava máquinas com sistema operacional da Apple II, exibindo na tela da máquina infectada um pequeno poema. O vírus também contaminava discos inseridos na máquina infectada, gerando clones dele nos respectivos. Segundo matéria publicada na Revista Época [7], no ano de 2009 o vírus que mais causou estragos foi o Conficker, e suas réplicas atingindo 150 milhões de computadores em todo o mundo. A figura 4 obtida em IdgNow[6], apresenta as regiões de todo o mundo que foram atingidas pelo vírus Conficker. FIGURA 8 - Regiões atingidas pelo Conficker no ano de 2009 Fonte:http://www.confickerworkinggroup.org/wiki/uploads/ANY/conficker_world_map.png Para o leitor interessado o ANEXO 3 apresenta a evolução de 1983 até 2009 dos principais vírus criados em suas respectivas épocas Como os vírus são criados? Segundo SMITH[8], os vírus de computadores são desenvolvidos como pequenos programas que tem o intuito de danificar ocultamente softwares ou arquivos instalados no computador alvo, se hospedando na máquina, multiplicando-se e procurando se tornarem invisíveis aos olhos do usuário do sistema operacional afetado. Os vírus contêm código malicioso e escondem cópias de si próprios em programas ou arquivos, e estes quando executados na máquina alvo, iniciam um processo de infecção. Os vírus afetam os sistemas de inicialização e de arquivos do SO, os ambientes macros e se camuflam em hosts scripts. Tipos de vírus e formas de se camuflarem Existem diversos tipos de vírus diferentes que podem ser encontrados na Internet, e estes podem afetar diferentes partes dos computadores. Neste tópico são abordados os principais tipos de vírus encontrados e como estes agem. De acordo com fonte obtida em VIRUSLIST[9] e no livro Hacker Secrets And Confessions do autor SMITH[8], existem os vírus de boot que infectam as áreas de boot de disquetes e setores de inicialização, como também a MBR (Master Boot Record) dos discos rígidos, utilizando-se de algoritmos que são lançados ao sistema operacional quando iniciados ou reiniciados, quando realizam rotinas de verificações de memória, quando lêem ou obtêm informações dos setor primário dos discos de boot (disquetes, CDs, DVDs, pen-drivers, etc.). Após ser lançado ao sistema operacional o vírus de boot se instala na BIOS do computador, forçando-o a ler a memória e não dar continuidade a inicialização do sistema. As maiorias dos vírus se camuflam em arquivos de diversos sistemas operacionais diferentes, mas é fato que o Windows é a plataforma mais afetada pelos vírus. Os vírus de arquivos são divididos em: Vírus que infectam arquivos executáveis; Vírus que criam duplicatas de arquivos contaminados; Vírus que criam cópias de si mesmo em diversos diretórios do sistema infectado; Vírus que utilizam os arquivos de sistema; Os vírus de macro de acordo com VIRUSLIST[9] são escritos em linguagem macro2 e infectam aplicações baseadas em macros, explorando propriedades e vulnerabilidades da linguagem a fim de infectarem outros arquivos, e estes na maioria são arquivos dos aplicativos do pacote Microsoft Office (Word, Excel e PowerPoint). Vírus para outras aplicações de macro são bem mais raros. A figura 4 obtida em VIRUSLIST[9] abaixo mostra um arquivo de macro infectado. FIGURA 9 (a) - Exemplo de um arquivo de macro limpo. (b) - Exemplo de um arquivo de macro infectado. 2 Linguagem de macro é uma linguagem simples que permite escrever e manipular macros (sequência de comando, como cliques de mouse ou toques de teclado que são gravados em um Módulo VBA) que podem ser executados sempre que necessário, automatizando tarefas repetitivas. 3 Linguagens de scripts são executadas no interior de programas ou acopladas a outras linguagens, que permite aumentar a funcionalidade de um programa ou controlá-lo por API sem interação do usuário. Os vírus de Script de acordo com VIRUSLIST [9] são um subconjunto dos vírus de arquivos, estes são escritos em várias linguagens de scripts³ diferentes (VBS, JAVASCRIPT, BAT, PHP, etc.) Eles infectam tanto máquinas Windows, quanto as máquinas Linux, quando estes usam comandos que acionam o script de código malicioso. Estes vírus podem infectar arquivos do tipo HTML, se este protocolo permitir a execução de scripts, tornando assim a navegação em sites maliciosos muito perigosa, pois se estes sites contiverem scripts maliciosos, esses são executados na máquina sem percebermos, por conta da configuração dos browsers que permitem que as linguagens de script sejam permitidas. A figura 9 apresenta um exemplo de código de um vírus de script, o Win32.Induc( criado para infectar aplicações desenvolvidas com a linguagem Delphi em tempo de compilação, que é usada no desenvolvimento de programas para Windows incluindo bancos de dados. A parte em destaque da figura 9 mostra o código que infecta essas aplicações. FIGURA 10 – Assinatura do vírus Win32.Induc Métodos utilizados pelos vírus para contaminarem o sistema. De acordo com VIRUSLIST[9], os vírus podem se anexar a arquivos de diversas extensões, e comumente são anexos de arquivos de emails spams, de emails de phisinhg e de emails de Spammers. Arquivos recebidos de mensageiros instantâneos, arquivos do Microsoft Office, download de fotos, vídeos, jogos, filmes, música, texto, etc. estes feitos em sites duvidosos podem conter vírus anexados. Os vírus podem se espalhar em diversas máquinas da mesma rede, e também podem se instalar em disquetes, pen-drivers, HDs, CDs, DVDs, podendo até infectar uma máquina quando esta for ligada ou iniciada com uma mídia removível infectada. Por esses motivos é fundamental estarmos atualizados as novas formas que de infecção de vírus. A seguir são apresentados os métodos utilizados pelos vírus para infectarem o arquivo. Método de Substituição; Método Parasita; Método de Companheirismos; Método do Link; Método de substituição Este método é o mais simples e comumente utilizado, o vírus substitui o código do arquivo original com o seu código malicioso, apagando o código do arquivo original. Porém estes vírus são mais fáceis de serem detectados por antivírus, pois o sistema operacional e os aplicativos afetados deixarão de funcionar após a infecção. Método parasita O vírus que utiliza o método de parasita infecta o arquivo e altera o seu código, tornando-o infectado, porém estes arquivos permanecem parcial ou totalmente funcionais. Estes vírus são classificados de acordo com a seção do arquivo que vai ser infectada, e posteriormente reescrita: Prepending: código malicioso do vírus é escrito no início do arquivo original. Appending: código malicioso do vírus é escrito no final do arquivo original. Inserting: código malicioso é introduzido no meio do arquivo original. Método de companheirismo Os vírus que utilizam deste método não modificam os arquivos do sistema, eles se duplicam, criando outros arquivos infectados. Quando o arquivo infectado é acionado, a cópia contendo o vírus é executada primeira, gerando novos arquivos infectados. Esta categoria inclui os vírus que renomeiam os arquivos da máquina, gravam o novo nome deste para referência futura e em seguida substitui o arquivo original. Por exemplo, o vírus pode renomear um arquivo chamado blazer.exe para blazer.exd e escrever o conteúdo do código malicioso para o arquivo com o nome original, e cada vez que o usuário da máquina infectada executa blazer.exe, o código do vírus será executado, blazer.exd será executado posteriormente. Existem outros tipos de vírus que utilizam este método, que utilizam técnicas de infecção original ou exploram vulnerabilidades em sistemas operacionais específicos. Estes vírus espalham suas cópias no diretório de sistema do Windows, explorando o fato de que este diretório é o primeiro na lista do caminho, e então o sistema irá começar a partir deste diretório quando iniciar o Windows. Muitos worms e cavalos de Tróia utilizam as técnicas de execução automática. Método do link Não são apenas os arquivos executáveis que são infectados por vírus, existem vírus que espalham cópias de si mesmos em vários diretórios e pastas do sistema com diversas extensões diferentes, a fim de que em determinado momento sejam executados pelo usuário. Por exemplo, o criador do vírus chama-o de install.com ou autoexec.bat, com o propósito de persuadir o usuário a abrir o arquivo infectado. Estes vírus podem infectar arquivos de extensão ARJ, ZIP, RAR, etc. Estes vírus não modificam os arquivos do sistema, porém forçam a execução do código malicioso, modificando os campos apropriados no sistema de arquivos. As consequências da infecção dos vírus ao computador são várias, entre elas, alterar, copiar ou apagar arquivos de um disco rígido ou móvel, podendo até apagar o disco rígido por inteiro, mostrar mensagens indevidas na tela do computador, danificar o funcionamento de programas e do sistema etc... Porém grande parte dos vírus é criada com o intuito de roubar recursos da máquina, deixando-a lenta, ou também se propagando para outros sistemas consumindo recursos de várias máquinas ao mesmo tempo e aumentando o dano causado. Curiosidades sobre os vírus Para o leitor interessado o ANEXO 4 apresenta vídeo extraído de CGI[10], mostrando de forma animada o que são os vírus e como eles agem. Para o leitor interessado o ANEXO 5 apresenta vídeo com teste do antivírus fornecido por EICAR[11], European Expert Group for It-Security. Para o leitor interessado o ANEXO 6 apresenta código fonte de dois vírus para estudo. 2.2.2 WORMS Histórico dos worms O termo Worm que em português pode significar “verme”, e de acordo com SMITH[8] foi criado pelo escritor de ficção científica John Brunner, em um dos seus romances, cuja história trazia um herói, um programador talentoso que criava auto replicas de programas de computadores e os enviava através da rede mundial. Robert Morris Jr foi a primeira pessoa a criar um Worm, e este atacou as redes de computadores causando grandes danos. Os Worms são considerados como um subconjunto dos vírus, mas se diferem dos vírus, pois estes são programas que se reproduzem, mas não infectam ou destroem outros arquivos do sistema. Geralmente se instalam na máquina e em seguida, procuram por maneiras de se espalhar para outros computadores da rede. Do ponto de vista do usuário do sistema, existem diferenças entre os vírus e os worms que são perceptíveis, pois no caso dos vírus, estes se passam por mais tempo despercebidos e infectam vários arquivos da máquina, enquanto os worms possuem apenas uma instância de código e não precisam de arquivos hospedeiros, pois eles são capazes de se replicarem sozinhos não precisando infectar outros arquivos de acordo com SMITH[8]. Os Worms são responsáveis por consumir recursos da máquina, degradando sensivelmente o desempenho das redes, pois se espalham rapidamente por ela lotando os discos rígidos de suas réplicas propagadas através de vulnerabilidades exploradas por essas pragas SMITH[8]. Tipos de worms encontrados Assim como os vírus, os worms são sub-dividos de acordo com os meios que são utilizados para infectarem o sistema de acordo com VIRUSLIST[ 9]. Worms de e-mail; Worms de mensageiros instantâneos; Worms P2P. Worms de email Segundo VIRUSLIST [9], estes Worms se espalham através da Internet, via emails infectados, camuflados no anexo de um arquivo ou em um link que redireciona para um site infectado. Nesses dois casos, os e-mails maliciosos são os responsáveis pelo envio da praga. No primeiro caso, o worm é ativado quando o usuário clicar, por exemplo, no anexo do e-mail e fizer o download do arquivo infectado em questão, no segundo caso o usuário será infectado quando clicar no link que o conduzirá há um site nocivo que instala o worm na máquina. Os worms de e-mails utilizam dos seguintes métodos de propagação: worms que contém biblioteca de API e aproveitam–se das vulnerabilidades do sistema para conseguirem uma conexão direta com servidores SMTP; worms que utilizam serviços do MS Outlook; worms que utilizam funções MAPI do Windows; Os worms conseguem recolher os endereços de e-mail das máquinas infectadas, a fim de ganhar uma maior proporção de infecção na rede espalhando-se por todos os contatos encontrados na máquina infectada. Essas são uma das técnicas utilizadas pelos worms após infecção: fazer varredura na máquina infectada, em busca dos locais onde se encontram os arquivos que contêm os endereços da agenda e dos contatos do MS Outlook; enviar cópias de si mesmo para todos os remetentes de um endereço de e-mail infectado (podendo até responder não lidos) aumentando assim a área de infecção; Alguns mandam cópias de si mesmo para uma base de endereços de e-mail construída pelo próprio worm, utilizando técnica que combina nomes de domínios comuns; Worms de mensageiros instantâneos De acordo com VIRUSLIST [9] estes worms possuem um único método de se propagarem, e utilizam aplicativos de mensageiros instantâneos. O atacante envia para todos os seus contatos de email, links falsos, que ao serem clicados, levam a máquina alvo para um site contendo conteúdo malicioso. Worms de Internet De acordo com VIRUSLIST[9] estes Worms de Internet utilizam técnicas para infectarem o máximo de máquinas possíveis, e estas técnicas utilizam: 1. espalharem o worm nos recursos oferecidos da rede; 2. explorarem vulnerabilidades que o sistema operacional ou a rede possa apresentar; 3. penetrarem em sites ou servidores; No primeiro caso, os worms localizam as máquinas remotas da rede e fazem cópia de si mesmo em pastas abertas destas máquinas, com o intuito de ler e escrever funções. Estes worms fazem a varredura de todos os recursos de rede que estão disponíveis, utilizando os próprios serviços oferecidos pelo sistema operacional local e, fazem varredura em vários endereços da Internet a fim de encontrarem máquinas vulneráveis. Eles então se conectam a essas máquinas para poder ter acesso total as mesmas. No segundo caso, os worms varrem a Internet em busca de máquinas que não foram corrigidas, ou seja, máquinas cujos sistemas operacionais ainda apresentam vulnerabilidades críticas, pois não foi utilizada nenhuma forma de correção destes erros, tais como os Services Packs do Windows. O worm envia pacotes contendo dados ou solicitações para a máquina alvo em formato de download. Quando este código é então executado ou instalado, o worm infecta a máquina começando um ciclo de infecção por toda a rede. No terceiro caso, o processo de infecção do worm passa por dois estágios, primeiro ele penetra, por exemplo, em um site estático da web ou em um servidor FTP qualquer, depois espera o cliente acessar o(s) arquivo(s) infectado(s). As máquinas alvos acabam se tornando plataformas de lançamentos de novos ataques. Worms de IRC De acordo com VIRUSLIS [9], estes worms têm como alvos, as pessoas que utilizam os canais de chat, conhecidos como IRC (Internet Relay Chat). O atacante envia links falsos, ou envia arquivos contaminados para pessoas da sala de bate-papo, esse meio é menos eficaz, pois requer que o receptor confirme e execute o arquivo recebido. Worms de redes de compartilhamento P2P De acordo com VIRUSLIST [9], estes worms espalham-se em arquivos e pastas compartilhadas na rede P2P (Peer-to-Peer), e normalmente são localizados na própria máquina local do atacante. Uma vez que o arquivo é infectado, os programas P2P, tais como Kazzaa, Shareaza, etc... assumem o papel de espalhar o worm para todas as máquinas que efetuarem downloads, podendo atingir milhares de usuários. 2.2.3 TROJANS Histórico dos Trojans De acordo com SMITH[8], o termo Trojan que em português significa Cavalo de Tróia surgiu na mitologia grega, o Cavalo de Tróia foi uma grande estátua que foi utilizada como instrumento de guerra pelos gregos para poderem obter acesso a cidade de Tróia. A estátua do cavalo foi recheada com soldados que durante a noite abriram os portões da cidade possibilitando a entrada dos gregos e a dominação de Tróia. Daí surgindo à expressão “Presente de Grego” e “Cavalo de Tróia”. No mundo virtual o Trojan Horse(Cavalo de tróia) é um programa que além de executar funções para as quais foi projetado, também executa outras funções normalmente maliciosas e sem o conhecimento do usuário de acordo com VIRUSLIST[9]. Para o leitor interessado o ANEXO 7 mostra o vídeo de um trojan em funcionamento, conhecido como Prorat. A seguir apresentaremos brevemente como agem os Trojans. De acordo com VIRUSLIST[9] estas são algumas das funções maliciosas que podem ser executadas por um cavalo de tróia: Alterar ou destruir arquivos do sistema; Furtar senhas e outras informações importantes, como números de cartões de crédito; Inclusão de backdoors, para permitir que um atacante tenha total controle sobre o computador infectado. A popularização da Internet e a facilidade de se criar um programa cavalo de tróia fazem com que esse método de invasão seja atualmente o mais perigoso de todos. Ele não depende de falhas nos sistemas, são quase indetectáveis e pelas suas facilidades de uso podem ser operados por qualquer pessoa que tenha um pequeno conhecimento em redes. O trojan pode vir camuflado em fotos, arquivos de músicas, aplicativos, jogos, etc. Muitas vezes o cavalo de tróia vem anexado ao email ou pode estar disponível em algum site na Internet. É importante ressaltar que existem programas de e-mail, que podem estar configurados para executar automaticamente arquivos anexados as mensagens. Neste caso o simples fato de abrir a mensagem já é suficiente para que qualquer arquivo executável anexado seja executado. Por definição, o trojan distingue-se dos vírus e worms, por não se replicarem, ou infectarem outros arquivos, ou se propagarem automaticamente. Normalmente o trojan consiste de um único arquivo que necessita ser explicitamente executado. Existem casos onde um cavalo de tróia contenha um vírus ou worm. Tipos de Trojans encontrados Segundo VIRUSLIST[9], os Trojans podem ser classificados de acordo com as ações que realizam nas máquinas infectadas. Backdoors; PSW Trojans; Trojan Clickers; Trojan Downloaders; Trojan Droppeers; Trojan Proxies; Spywares; Trojan Notificadores; ArcBombs; RootKits; Nesse trabalho abordaremos: Backdoors, Geral Trojans, PSW Trojans, Spywares e RootKits. Backdoors Os backdoors são os tipos mais perigosos de Trojans e os mais difundidos hoje em dia. Estes Trojans são utilitários de administração de máquinas remotas infectadas que se abrem para o controle externo do atacante, podendo ser através de uma rede local ou pela Internet. Estes funcionam da mesma maneira que os programas de administração remota usados pelos administradores de sistemas. A única diferença entre a ferramenta de administração remota legal e um backdoor, é que estes últimos são lançados ao sistema sem o conhecimento ou consentimento do usuário da máquina alvo. Uma vez lançado, o backdoor monitora todo o sistema local, sem conhecimento do usuário, e muitas vezes este fica invisível nos registros dos programas ativos. Como funções o backdoor pode: Enviar/Receber arquivos; Lançar/Excluir arquivos; Executar arquivos; Excluir dados; Reiniciar a máquina; Resultar notificações; Em outras palavras, os backdoors são usados por criadores de vírus para detectarem informações confidenciais de downloads, executarem códigos maliciosos, destruir dados, incluir máquinas em redes zumbis e assim por diante. Portanto o backdoor combina a funcionalidade da maioria dos outros tipos de trojans em um pacote. Os backdoors podem se propagar como os worms, porém estes somente se espalham após um comando específico do mestre. PSW Trojans Esta família de Trojans rouba as senhas do sistema, normalmente nas máquinas das vítimas. Eles possuem um sistema de busca de arquivos que contêm informações confidencias como senhas e números de telefones, acessam à Internet e enviam essas informações para um endereço e e-mail codificado no corpo do Trojan. Nesta altura, as informações serão captadas pelo criador da praga ou pelo usuário do programa ilegal. Alguns Trojans PSW roubam outros tipos de informações, tais como: Detalhes do sistema (memória, espaço em disco, detalhes do sistema operacional); Cliente de e-mail local; Endereço IP; Detalhes do registro; Senhas de games online; Spywares Os Spywares que em português significa “espião”, e de acordo com MICROSOFT[12], são programas que tem por finalidade, recolher informações pessoais ou alteração da configuração do computador, podendo alguns provocar lentidão ou o bloqueio do computador, isto sem o consentimento do usuário. Os Spywares podem alterar a página inicial ou até mesmo a página de pesquisa do browser do sistema afetado, e podem também adicionar componentes desnecessários ou indesejados ao seu browser, dificultando a reposição das configurações para a forma original. Segundo Norton from Symantec[13], os spywares contaminam os sistemas através de downloads feitos em web sites suspeitos, em mensagens de email, em mensagens instantâneas e também através de conexões diretas para compartilhamento de arquivos. Alguns spywares podem vir camuflados a contratos de licenças do usuário final de software. A cartilha de segurança encontrada em CERT.br[3] apresenta algumas funcionalidades implementadas em spywares, que podem ter relação com o uso legítimo ou malicioso, tais como: monitorar URLs acessadas enquanto o usuário navega na Internet; alterar página inicial apresentada no browser do usuário; varrer arquivos armazenados no disco rígido do computador; monitorar e capturar informações inseridas em outros programas, como IRC ou processadores de texto; instalar outros programas spywares; monitorar teclas digitadas pelo usuário ou regiões da tela próximas ao clique do mouse; capturar senhas bancárias e números de cartões de crédito; Capturar outras senhas usadas em sites de comércio eletrônico. Ainda segundo a cartilha, os spywares podem agir de modo legítimo tal como em: monitorar hábitos dos seus funcionários, desde que tal monitoramento esteja em contrato ou em termos de uso dos recursos computacionais da empresa; monitorar os usuários do seu computador, para saber se a utilização da máquina é feita de forma responsável; Porém, na grande maioria das vezes, os programas espiões são usados para fins maliciosos, como: programas cavalo de tróia que instalam spywares, além de keylooger 3 ou screenlogger4. O spyware instalado monitora os acessos a sites visitados durante a navegação do usuário. Ao acessar sites de bancos ou de comércio eletrônico, o keylooger ou screenlogger é ativado para capturar as senhas bancárias e números de cartões de crédito; O ANEXO 7 apresenta vídeo mostrando a ação do trojan Prorat com função de keylooger e screenlogger. 2.2.4 EXPLOITS O que são exploits? Segundo SMITH[8] o termo exploits, em português significa explorar, e na linguagem da Internet, é usado para fazer referência aos códigos maliciosos 3 Keylooger - (que significa registrador do teclado em inglês) é um programa de computador do tipo spyware cuja finalidade é monitorar tudo o que a vítima digita, a fim de descobrir suas senhas de banco, números de cartão de crédito e afins. 4 Screenlogger - Forma avançada de keylooger, capaz de armazenar a posição do cursor e a tela apresentada no monitor, nos momentos em que o mouse é clicado, ou armazenar a região que circunda a posição onde o mouse é clicado. que são desenvolvidos especialmente para procurarem falhas de programação em aplicativos. Os exploits podem tanto funcionar local ou remotamente em uma máquina, e são encontrados diversos tipos diferentes, uns especializados em encontrar falhas em sistemas operacionais, outros especializados em encontrar falhas de programação em aplicativos, na maioria vinda na forma de arquivos executáveis, ou oculto em emails maliciosos. Como agem os exploits? De acordo com SMITH[8] a maioria dos exploits encontrados exploram falhas encontradas nos códigos da programação dos aplicativos, e estas falhas são conhecidas como buffer overflow (estouro de buffer). O estouro ocorre quando o programa grava informação em uma determinada variável do código que não suporta um tamanho maior de dados que o seu previsto. Esse acontecimento pode possibilitar que um código arbitrário seja executado se este estiver devidamente posicionado dentro da área de memória do processo. O código descrito abaixo mostra um exemplo simples de um programa vulnerável a um ataque de buffer overflow: Void ProcessaParm (char * arg); Void main (int argc, char *argv[]) { If (argc >1){ Printf (“Param: %s\n”, argv[1]); ProcessaParm (argv[1]); } } Void ProcessaParm (char * arg); Char buffer(10); Strcpy (buffer, arg); Printf(buffer); } A parte do código descrito acima que está em destaque, mostra o problema do programa em questão, pois se a string contida em arg tiver mais que 10 caracteres haverá um “buffer overflow”. O problema deste código ocorre na segunda linha, na função ProcessaParm, que não trata o tamanho do parâmetro recebido na variável arg. Conforme SMITH[8]. O buffer overflow, quando acontece de forma aleatória, normalmente causa um crash na aplicação, isso ocorre quando um programa executa uma operação que não está permitida pelo sistema operacional, fazendo com que trave toda a aplicação impedindo o seu funcionamento. Porém quando um atacante com domínio do exploit consegue induzir o buffer, este poderá ter os mesmos privilégios de execução do aplicativo afetado. 2.2.5 ENGENHARIA SOCIAL Conceito Segundo MITNICK[14] a engenharia social é uma nova forma de efetuar um ataque de forma direta, ou seja, enganar diretamente ao usuário. O engenheiro social quando usa suas técnicas de enganar, exploram as qualidades encontradas no ser humano, tal como, a tendência natural de ajudar o próximo, ser educado, dar apoio, etc... Engenharia social é definida por TÂMEGA[15] como: [...] a aquisição de alguma informação ou privilégios de acesso inapropriado por alguém fora da empresa, baseando-se na construção de relações de confiança inapropriadas com as pessoas de dentro da organização. Ou seja, é a arte de manipular pessoas para conseguir alguma informação. O objetivo da Engenharia social, com técnica de ataque, é enganar alguma pessoa para que ela diretamente forneça informações, ou facilite o acesso a estas informações. [...] Esta técnica é utilizada por criminosos virtuais, que buscam dados e informações de rede e computadores alvos. Normalmente os criminosos procuram instalar ocultamente algum tipo de spyware ou outro malware com objetivo de penetrar na rede afetada. Os Engenheiros Sociais também atacam as próprias pessoas que utilizam a rede alvo, com propostas instigantes ou conversas que as manipulam, e acabam conseguindo informações que podem servir de acesso a rede alvo, tais como, nomes de usuários, informações de máquinas, endereços IPs etc.. Eles estudam primeiramente o alvo a ser atacado, recolhendo informações das pessoas e local onde se encontra a empresa alvo, para depois se passarem por pessoas que trabalham na mesma empresa, ou em empresas que oferecem serviços de Internet. Um exemplo de engenharia social por MITNICK[15], o engenheiro social pode vestir um terno e gravata, entrar na empresa alvo, deixar por querer um pendrive cair no elevador, e nesse pen-drive encontra-se escrito folha de pagamento. Pode ser que algum curioso pegue esse pen-drive e coloque-o em sua máquina para investigar os arquivos. Mas ao acessar o pen-drive, um spyware é instalado automaticamente sem levantar suspeitas, fazendo que o engenheiro social tenha portas abertas para acesso na máquina. Técnicas aplicadas Existem algumas técnicas para aplicar a engenharia social ao mundo virtual. São elas: Phising; Spears Phising; Fraudes por e-mail; Phishing Segundo MICROSOFT[12], esta é a forma mais usualmente aplicada. O phishing se passa por e-mails ou sites fraudulentos que tentam convencer o usuário a passar suas informações pessoais. Um exemplo, a vítima recebe uma mensagem de e-mail que parece ter vindo de sua instituição financeira pedindo-lhe que forneça informações para atualização de sua conta. Tal mensagem fornece um link que o redireciona para uma página falsa com o mesmo formato do site original da instituição. Se a vítima inserir suas informações de login, senha ou outras informações confidenciais, o criminoso poderá usá-la para roubar sua identidade. Normalmente, estas mensagens de e-mail de phishing apresentam erros de ortografia e de gramática, ameaças e exageros. As tentativas de phishing se encontram em: e-mails, mesmo quando esses parecem vir de alguma pessoa conhecida; sites de relacionamento social; sites falsificados; sites clonados; programas mensageiros; As Figuras 11 e a Figura12 mostram exemplos de tentativas de phishing. FIGURA 11 - Relativa de phishing se passando por site de banco. FIGURA 12 – Exemplo de uma mensagem de email de phishing, que inclui um endereço da Web fraudulento que leva ao site do golpe. Spear phishing De acordo com MICROSOFT[12], o Spear phishing é um golpe de e-mail altamente direcionado, geralmente aplicado em ambientes corporativos. Esta técnica se passa por um e-mail que parece ser autêntico e é enviado a funcionários de uma empresa, órgão governamental, organização ou grupo. O e-mail parece ser enviado de alguém de dentro da empresa, e contém como anexos cavalos de tróia ou até mesmo vírus, fazendo desta uma técnica mais sofisticada da engenharia social. Os Spear phishers personalizam e-mails com dados encontrados em sites da Internet, blogs ou redes sociais como Facebook ou MySpace. Esses podem criar páginas falsas de login em sites de redes sociais para incitar as pessoas a entrarem com informações pessoais nos sites utilizados por eles. A Figura13 apresenta exemplo de tentativa de spear phishing. FIGURA 13 - Relativa de tentativa de spear phishing Fraudes por e-mail Os e-mails fraudulentos se encontram em diversas formas diferentes, desde um golpe que pede ajuda financeira a vítimas de um desastre, até promessas de que você ganhou algum prêmio, tal como um carro 0 km. Estas fraudes podem oferecer ao usuário grande quantidade de dinheiro ou prêmios em troca de pouco ou nenhum esforço. O criador do golpe tenta persuadir o usuário a enviar dinheiro ou informar dados pessoais que serão usadas para roubarem a identidade e o dinheiro da vítima. As figuras 14,15 e 16 mostram exemplos de tentativas de fraude por email. FIGURA 14- Exemplo de fraude aplicada por email. FIGURA 15 - Fraude por email. FIGURA 16 - Fraude por email. Visite http://www.rnp.br/cais/fraudes.php e veja um catalogo com milhares de fraudes já criadas para nos enganar. 3. FERRAMENTAS E PROCEDIMENTOS COMUMENTE UTILIZADOS PARA ATAQUES. Este capítulo apresenta diversas ferramentas e procedimentos que o atacante pode usar para descobrir brechas no sistema Windows XP. Para o leitor interessado os anexos 7, 8, 9, 10, 11 e 12, apresentam vídeos com o roteiro destas ferramentas e procedimentos para maior entendimento. As ferramentas utilizadas para ataque em grande parte foram criadas com o objetivo de auxiliar o administrador de redes a descobrir possíveis falhas em seus sistemas, porém o atacante mal intencionado utiliza dessas ferramentas para um posterior ataque. 3.1 SCANNERS DE IPS E PORTAS Os Scanners de IPs e portas permitem ao administrador do sistema definir um ou mais endereços IPs em uma LAN, ou até mesmo na Internet, para posterior análise de informações geradas pelo software. O ANEXO 8 apresenta vídeo com funcionamento da ferramenta de código aberto Angry IP Scanner[16] que permite à partir da escolha de um IP ou uma faixa de IP diversas funções. 3.2 SCANNERS DE REDES As ferramentas de varredura de redes proporcionam ao administrador funcionalidades para se fazer exploração e auditorias em redes de computadores, procurando por portas, serviços e diversas outras funções disponíveis na máquina alvo. Network Mapper ou simplesmente NMAP[17] é uma ferramenta open source para exploração de rede e auditoria de segurança. Foi projetado para mapear rapidamente redes de computadores, utilizando pacotes IP para determinar quais hosts estão disponíveis na rede, quais serviços (nome da aplicação e versão) os hosts oferecem, quais sistemas operacionais (e versões de SO) eles estão funcionando, que tipo de filtros de pacotes / firewalls está em uso, e dezenas de outras características. Para o leitor interessado o ANEXO 9 apresenta o vídeo com funcionamento da ferramenta open source Nmap[17]. 3.3 SCANNERS DE VULNERABILIDADES Estes scanners procuram vulnerabilidades encontradas na(s) rede(s) alvos, em busca de brechas nas máquinas que as compõem, ou seja, o software faz a varredura em busca de sistemas e serviços desatualizados ou vulneráveis, que servem como porta de entradas dos atacantes. O Nessus®[18] é uma ferramenta projetada para automatizar os testes e descoberta de problemas de segurança conhecidos. Normalmente, alguém, um grupo hacker, uma empresa de segurança, ou um pesquisador descobre uma maneira específica para violar a segurança de um produto de software. A descoberta pode ser acidental ou por meio de pesquisa dirigida, a vulnerabilidade quando encontrada é detalhada em vários níveis e posteriormente divulgada para as comunidades de segurança. O Nessus é projetado para ajudar a identificar e resolver esses problemas conhecidos, antes que um indivíduo mal-intencionado se aproveite delas. Para o leitor interessado o ANEXO 10 apresenta vídeo com funcionamento da ferramenta Nessus®[18]. 3.4 CAMUFLAGENS DE ARQUIVOS A camuflagem de arquivos é uma técnica empregada quando se quer que um arquivo seja enviado ou armazenado de forma discreta, sem levantar suspeita do seu verdadeiro conteúdo, por exemplo, enviar para alguém o banco de dados de senhas da empresa juntamente com arquivo de uma foto, parecendo como se fosse um único arquivo contendo apenas uma figura. A camuflagem também é utilizada como técnica onde o atacante esconde o trojan, ou qualquer outra praga virtual junto com foto, ou música, ou arquivo executável, feito isso ele distribui os arquivos camuflados na Internet no intuito de alguém baixar. Ao fazer o download do arquivo e acioná-lo, o usuário automaticamente baixa para sua máquina a praga virtual infectando ou corrompendo o sistema, e muitas das vezes as infecções se passam despercebidas pelo usuário. Algumas pragas virtuais utilizam o método conhecido como Avkill, que em português significa matador de antivírus, essa técnica consiste em infectar a máquina alvo, e executar o script que pode parar todos os serviços do antivírus, podendo até mesmo apagá-lo do sistema. Fazendo isso, outras pragas virtuais terão total acesso a máquina, pois o antivírus não o protegerá. Para o leitor interessado o ANEXO 11 apresenta vídeo de uma técnica bastante simples, onde dois arquivos de extensões diferentes geram único arquivo. Para o leitor interessado o ANEXO 12 apresenta técnica de camuflagem em que o trojan consegue passar sem ser detectado pelo antivírus. Para o leitor interessado o ANEXO 13 apresenta código fonte de um Avkill.bat. 3.5 NAVEGANDO COM IP OCULTO NA INTERNET Muitos dos crimes cometidos na Internet acabam impunes, pois é difícil o rastreamento dos criminosos virtuais, que utilizam métodos para eliminar rastros da máquina atacante. Um dos métodos utilizados consiste em navegar com IP oculto na Internet, ou seja, navegar com o endereço IP diferente daquele real que a operadora de Internet nos fornece. Isso é possível utilizando-se Proxys anônimos, seja na forma de site ou de programa, tal como o site http://www.ninjacloak.com/ e o programa ANO Browser[19] , disponível em http://www.i2p2.de/ que ocultam a identificação do computador na rede. Pode-se utilizar mais de um Proxy ao mesmo tempo, tornando ainda mais oculto o IP de origem, o que torna a tarefa de rastrear o IP de origem quase que impossível. Para o leitor interessado o ANEXO 14 apresenta vídeo com o funcionamento das duas ferramentas citadas anteriormente. 3.6 CLONAGENS DE SITES Muito dos golpes aplicados na Internet utilizam-se de páginas falsas onde o usuário é iludido a entrar nos links encaminhados nas mensagens de e-mails de phishing citados no capítulo 3. Ao clicar no link, o usuário é redirecionado a página falsa que aparenta ser igual à página original do site em questão. Existem nos sites clonados os mesmos formulários utilizados dos sites reais, porém as informações enviadas nos sites falsos são redirecionadas a computadores administrados por criminosos virtuais, que se apropriam das informações fornecidas dos usuários enganados. Na verdade os sites clonados são hospedados em servidores controlados pelos criminosos e que nada tem a ver com os servidores que realmente hospedam os sites reais. Para o leitor interessado o ANEXO 15 apresenta vídeo mostrando maneira de clonar um site. 4. PROPOSTA PARA DEIXAR AS ESTAÇÕES COM WINDOWS XP MAIS SEGURAS. Este capítulo apresenta os principais softwares de segurança gratuitos encontrados na Internet, e que em conjunto com as orientações apresentadas nas cartilhas de segurança do ANEXO 2, nos permite configurar o sistema operacional com maior nível de segurança e termos real noção dos perigos da Internet. Partindo do ponto em que o sistema operacional Windows XP já esteja instalado na máquina, podemos seguir as recomendações abaixo: 4.1 ATUALIZAR O SISTEMA OPERACIONAL É importante ter instalado no sistema a versão Service Packs 3. Os Services Packs são criados para corrigir problemas e vulnerabilidades, como também para adicionar novos recursos ao sistema operacional. A versão SP3 a mais recente, contem 113 atualizações de segurança e 958 correções do sistema operacional. Esse Service Pack possibilita uma série de recursos, como por exemplo, a utilização de NAP (Network Acess Protection), detecção de Black Hole Router, que permite o sistema se proteger de roteadores que descartam pacotes, aumentado assim o desempenho do mesmo, também utiliza suportes a redes wireless baseadas em WPA e WPA2, novos modelos de criptografia de redes sem fio. Para fazer o download do Service Pack 3, acesse: http://technet.microsoft.com/pt-br/windows/bb794714. 4.2 CRIANDO USUÁRIOS NO SISTEMA Com o Windows XP SP3 instalado, criamos então o usuário que irá utilizar a máquina. Em painel de controle escolhemos a opção contas de usuários. FIGURA 17– Acessando Contas de usuário Por questão de segurança recomenda-se criar conta limitada, e não de administrador, pois se sua conta for indevidamente utilizada, ela não terá permissão total no sistema. Já se criarmos a conta como Administrador, e por ocasião a conta for utilizada por terceiro, o atacante terá plenos poderes na máquina, podendo até criar outro usuário para ele sempre ter portas abertas na máquina para voltar. Devemos utilizar na nova conta criada, uma senha forte e que só o usuário responsável saiba dela. 4.3 TORNANDO AS ATUALIZAÇÕES AUTOMÁTICAS Agora devemos tornar as atualizações do sistema de modo automático, fazendo com que sempre que surja uma correção, o próprio sistema verifica e faz o download da correção, quando a máquina está conectada na Internet. Para realizar essa tarefa, devemos clicar no Menu Iniciar e escolher o Painel de Controle. FIGURA 18– Acessando Painel de Controle Dentro do Painel de Controle acessamos Atualizações Automáticas. Vide figura 19. Devemos marcar a opção Automática (recomendado) escolhendo Todos os Dias e a hora que for mais conveniente, quando estivermos conectados a Internet, o sistema busca as atualizações. Vide figura 20. FIGURA 19– Marcando opção de atualização automática FIGURA 20– Tornando as atualizações automáticas CONFIGURANDO FIREWALL E BLOQUEANDO SERVIÇOS Com as atualizações automáticas acionadas, devemos habilitar o firewall do Windows para proteção de ameaças vindas de fora da rede, vide figura 16 e figura 17 como acionar essa opção: FIGURA 21– Acessando Firewall do Windows FIGURA 22– Ativando Firewall do Windows Alguns serviços oferecidos pelo Windows ficam ativos no sistema, e muitos não são utilizados pelos usuários, mas podem servir de portas de entradas a invasores e pragas virtuais. Escolhendo a aba Exceções, iremos desmarcar os serviços de conexão remota e de outros programas que podem não ser utilizados. Vide figura 23. FIGURA 23– Desmarcando serviços e programas desnecessários Agora devemos acessar a aba Avançado, escolher configurações vide figura 24, e desabilitar todos os serviços encontrados, vide figura 26. FIGURA 24– Acessando aba Avançado do firewall FIGURA 25– Desabilitando serviços de rede 4.4 PROTEGENDO CONEXÕES E DESABILITANDO SERVIÇOS DE CONEXÕES REMOTAS. Algumas funções oferecidas pelas conexões de rede podem ser desabilitadas, como o compartilhamento de arquivos e impressoras para redes, que funciona como meio de que outros computadores façam acesso a recursos e arquivos da máquina. Para bloquear essas funções, acessamos Conexões de rede em Painel de Controle, vide figura 24. Escolhendo a conexão local com clique direito do mouse, acessamos as propriedades dessa conexão, vide figura 25. Dentro de propriedades podemos desmarcar o serviço de compartilhamento, vide figura 26. FIGURA 26– Acessando Conexões de rede FIGURA 27– Acessando as propriedades da conexão local utilizada FIGURA 28– Desmarcar compartilhamento de arquivos e impressoras para redes Outro serviço oferecido pelo Windows que pode também ser desativado, é o Terminal Service, que permitir conexões remotas. Para isso dentro de Painel de Controle escolhemos Sistema, vide figura 27. FIGURA 29– Acessando configurações do Sistema. Dentro de Sistema escolhemos a aba remota e demarcamos as duas opções oferecidas, vide figura 28. Isso vai impedir tentativas de conexões remotas na máquina. FIGURA 30 – Desmarcando opções de conexões remotas do sistema. Voltando ao Painel de Controle acessamos Ferramentas Administrativas, vide figura 29. FIGURA 31– Acessando Ferramentas Administrativas Em Ferramentas Administrativas, acessamos Serviços, conforme figura 32. FIGURA 32– Acessando Serviços em Ferramentas Administrativas Em Serviços vamos procurar por Telnet e desabilitaremos esse serviço, pois o mesmo também permite conexões vindas de fora, podendo o atacante ter total controle da máquina por essa meio, vide figura 31. FIGURA 33 – Desativando serviços de Telnet 4.5 INSTALANDO ANTIVÍRUS E ANTI-SPYWARES Feito as tarefas citadas anteriormente, agora podemos instalar o programa de antivírus, aumentando assim a segurança do nosso sistema contra possíveis contaminações. Comparamos os seguintes antivírus, AVG [20], Avast[21], Avira[22], Microsoft Security Essentials[23]. No ANEXO 1 foi feito uma comparação do tempo de varredura de cada um dos antivírus citados acima. Após a instalação do antivírus, faz se necessário a atualização do software em busca de novas atualizações de vacinas, essa tarefa é de vital importância, pois o antivírus desatualizado não oferece proteção. É importante utilizar juntamente com o programa de antivírus, algum software Antispyware, que são programas utilizados na remoção de programas espiões que podem contaminar a máquina. Também comparamos as seguintes software Antispyware, Spybot Search & Destroy[24], Ad-Aware[25], Microsoft Windows Defender 7.01593[26] e Spyware Terminator[27]. O ANEXO 2 apresenta comparativo de tempos de varredura da verificação de cada um destes Antispywares citados. 4.6 INSTALANDO FERRAMENTAS COMPLEMENTARES Os profissionais da Microsoft criaram uma ferramenta chamada de Microsoft Fix It [28], que possibilita a detecção e correção de diversos erros e problemas que o Windows possa encontrar. Muito interessante visitar a página dessa ferramenta, disponível em http://support.microsoft.com/fixit/pt-br, e verificar a diversidade de soluções encontradas nela. Para finalizarmos a configuração do nosso ambiente, é importante termos a ferramenta PSI(Personal Software Inspector) instalada em nossa máquina. Essa ferramenta possibilita fazermos uma varredura no sistema, em busca de softwares desatualizados e plugins nocivos que podem ser utilizados como porta de invasão e mostra qual medida deve ser tomada para correção. Ferramenta disponível em http://secunia.com/vulnerability_scanning/personal. Feito todas as tarefas deste capítulo, podemos garantir uma considerável aumento na segurança do sistema operacional. Navegando na Internet mais bem protegida. Mas vale lembrar que temos que tomar cuidado com todos os tipos de ameaças que são encontradas no mundo virtual, pois o fato é que não existe um sistema 100% seguro. Se o usuário não tomar as precações necessárias todo o sistema se torna vulnerável, independente de ferramentas e medidas adotas para protegê-lo. O usuário é o principal responsável por manter o sistema atualizado, com as devidas ferramentas de segurança instaladas. E também é o único responsável por manter o sistema seguro, evitando a todo o custo cair em armadilhas virtuais. 5. TESTES DO MODELO APRESENTADO Neste capítulo iremos verificar o modelo proposto no capítulo anterior, por meio de uma série de testes com ferramentas de auditoria. Com isso iremos mostrar ao leitor que o modelo proposto é realmente bastante interessante. 5.1 PROGRAMAS E SITE UTILIZADOS NOS TESTES Os programas utilizados para se testar a máquina configurada de acordo com o capítulo 4, são: Nmap; Nessus; O site utilizado para complementar os testes são: Gibson Research Corporation (http://www.grc.com/); 5.1.1 TESTE COM O NMAP Iremos testar nossa máquina com o NMAP utilizando o Slow Comprehensive Scan como opção de escaneamento: O Slow Comprehensive Scan utiliza do seguinte argumento para fazer a analise da máquina em questão: nmap -sS -sU -T4 -A -v -PE -PP -PS80,443 -PA3389 -PU40125 -PY g 53 --script all 192.168.0.187 Onde: –sS : Utiliza pacotes TCP SYN para tentar conexão com a máquina em questão; -sU: utiliza pacotes UDP Scan; -T4: Define qual tempo; -A: Habilita a detecção do sistema operacional e versão; -PE: Envia pacotes ICMP echo; -PP: Time Stamp(retorna dia,hora da maquina analisada); -PS: Envia pacotes TCP SYN, para portas 80(HTTP) e 443(SSL); A figura 34 apresenta do resultado do Intense Scan. FIGURA 34 – Resultado escaneamento do NMAP Intense Scan Podemos ver que o NMAP verificou 1000 portas, e não conseguiu obter um resultado expressivo, ou seja, a máquina não permitiu que o NMAP vasculhasse suas portas, isso é muito bom. O NMAP também não conseguiu verificar qual o sistema operacional, nem nome de usuários, nem nome da máquina, nem outras informações relevantes, mostrando que os protocolos que fornecem essas informações estão devidamente bloqueados. 5.1.2 TESTE COM O NESSUS Utilizando o NESSUS para procurar vulnerabilidades na máquina teste, obtivemos os resultados apresentados na figura 35: FIGURA 35 – Resultado do teste do NESSUS Podemos observar no resultado do NESSUS, que a máquina apresentou algumas portas abertas, porém a maioria de risco pequeno, ou seja, essas portas não oferecem risco nenhum de serem invadidas, de acordo com informações que o próprio NESSUS fornece. Apenas uma porta apresentou risco médio, vide figura 36 abaixo, com a respectiva vulnerabilidade. FIGURA 36– Informações sobre vulnerabilidade encontrada Essa vulnerabilidade descreve que a máquina não possui um certificado SSL nela, porém no nosso caso, isso não é verdadeiramente um problema, pois esse certificado serve para ser utilizado em aplicações WEB, e nossa máquina não possui essa função. Logo pelo resultado do NESSUS podemos concluir que nossa máquina está segura, não apresentando nenhuma vulnerabilidade grave, nem porta aberta. 5.1.3 TESTANDO COM OS SERVIÇOS DO SITE SHIELDS UP! Utilizando dos serviços disponíveis no site Gibson Research Corporation[29] (http://www.grc.com/), efetuamos vários testes fornecidos por esse site. O primeiro teste verifica possíveis vulnerabilidades nos compartilhamentos de arquivos da máquina, e o resultado foi o seguinte, vide figura 37 abaixo: FIGURA 37– Resultado de teste de compartilhamento de arquivos O resultado deste teste nos mostra que, a Porta 139 da máquina está desativada, essa porta executa o serviço de NetBIOS baseado no protocolo TCP, e responsável por arquivos e impressoras compartilhadas, que são portas de invasão para atacantes. O segundo teste verifica por portas comuns, se estão abertas ou fechadas, veja figura 38 abaixo: FIGURA 38 – Teste de portas do Shield UP Observando a figura 38 acima, vemos que os quadrados em azul, representam portas fechadas, e os quadrados em verde representam portas que operam em modo invisível, ou seja, portas que operam nesse modo não são vistas pelo lado de fora da rede. O ideal seria que todas as portas estivessem operando em modo Stealth, porém seria necessário o uso de um firewall mais bem projetado. Mas no nosso caso, como usaremos o sistema operacional para o uso no nosso dia a dia, ou seja, para o uso comum, não necessitaremos de um firewall desse porte. Ainda sobre a figura 38, podemos observar que não existe nenhuma porta aberta, que é representado pelos quadrados vermelhos, tornando assim nossa máquina um alvo difícil de ser descoberto pelos atacantes. 6. CONCLUSÃO Os objetivos deste trabalho foram totalmente atingidos visto que, conseguimos mostrar as principais técnicas usadas pelos atacantes quando estes querem burlar o sistema operacional Windows XP, assim como foi mostrado as principais pragas virtuais e os meios que devemos tomar em manter nosso sistema seguro e livre das ameaças. É importante destacar que não existe um sistema 100% seguro, podemos instalar os melhores softwares de segurança existentes, porém o usuário, mesmo que sem intenção, pode comprometer todo o esquema de segurança do sistema, normalmente, isto acontece quando se navega na Internet sem dos devidos cuidados. Como trabalhos futuros pode-se investigar as novas formas de ameaças encontradas, bem como, investigar o impacto das pragas virtuais sobre as novas versões do Windows que apresentam novos recursos de segurança. REFERÊNCIAS BIBLIOGRÁFICAS 1 KUROSE, James F. Redes de Computadores e a internet: uma abordagem top-down / James F. Kurose, Keith W Ross; Tradução Arlete Simille Marques; revisão técnica Wagner Luiz Zucchi. – 3. ed. – São Paulo : Pearson Addison Wesley, 2006. s 2 MDGS(Millennium Development Goals) [acesso em 2011 Jan 01]. Disponível em: http://www.un.org/millenniumgoals/. 3 CERT.BR(Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil) [acesso em 2010 Abr 25]. Disponível em: http://www.cert.br/. 4 NETMARKETSHARE(Global Market Share Statistics) [acesso em 2011 Jan 01]. Disponível em: http://marketshare.hitslink.com/Default.aspx 5 ULBRICH. Henrique. Universidade H4C3R / Henrique Ulbrich, James Della Valle; Revisão técnica: Ângela das Neves, Cíntia Yamashiro e Priscila Cassetari - – 6 ed. – São Paulo: Digerati Books, 2009. S 6 IDGNOW(Notícias de tecnologia, internet, segurança, mercado, telecom e carreira) – [acesso em 2010 Mai 14] Disponível em: http://idgnow.uol.com.br/ 7 Revista Época – [acesso em 2010 jun 30] Disponível em: http://www.revistaepoca.com.br 8 Hackers Secrets And Confessions® (Veja o Mundo Pelos Olhos de Um Hacker) Autor: Smith 2003. 9 VIRUSLIST – [acesso em 2010 Out 10]. Disponível em: http://www.viruslist.com/sp/index.html 10 CGI.br(Comitê Gestor de Internet no Brasil) – [acesso em 2010 Fev 05] Disponível em: http://www.cgi.br/ 11 EICAR(European Expert Group for It-Security) – [acessado em 2010 Nov 21]. Disponível em : http://www.eicar.org/ 12 MICROSOFT – [acesso em 2010 Nov 25] Disponível em: http://www.microsoft.com/pt/br/default.aspx 13 NORTON FROM SYMANTEC [acesso em 2010 Dez 01] Disponível em: http://www.symantec.com/pt/br/ 14 MITNICK. Kevin D. A arte de enganar/ Kevin D. Mitnick; William L. Simon;Tradução: Kátia Aparecida Roque; revisão técnica: Olavo José Anchieschi – 3. ed. São Paulo: Pearson Education do Brasil, 2003. S 15 MITNICK. Kevin D. A arte de invadir/ Kevin D. Mitnick; William L. Simon;Tradução: Kátia Aparecida Roque; revisão técnica: Olavo José Anchieschi - – 3. ed. – São Paulo: Pearson Education do Brasil, 2006. 16 Angry IP Scanner [download na Internet] Anton Keks; 2008 – [acesso em 2010 Jun 10]. Disponível em: http://www.angryip.org/w/Download. Software atualizado anualmente. 17 NMAP (“Network Mapper”) [download na Internet] Gordon “Fyodor” Lyon; 2009 – [acesso em 2010 Jun 15]. Disponível em: http://www.angryip.org/w/Download. Software atualizado anualmente. 18 Nessus® (“Network Mapper”) [download na Internet] Gordon “Fyodor” Lyon; 2009 – [acesso em 2010 Jun 10]. Disponível em: http://www.angryip.org/w/Download. Software atualizado anualmente 19 ANO Browser [download na Internet] Autor Desconhecido; 2009 – [acesso em 2010 Jun 20]. Disponível em: http://www.baixaki.com.br/download/anobrowse.htm. 20 AVG [download na Internet] AVG Technologies, INC.,2010 – [acesso em 2010 Jul 25.] Disponível em: http://www.avgbrasil.com.br/download-avg-internetsecurity-trial.Software atualizado anualmente. 21 AVAST [download na Internet] Eduard Kucera e Pavel Baudis,2008 – [acesso em 2010 Jul 25.] Disponível em: http://www.superdownloads.com.br/download/108/avast-home.Software atualizado anualmente. 22 AVIRA [download na Internet] Avira,2008 – [acesso em 2010 Jul 25.] Disponível em: http://www.avira.com/pt-br/free-download-avira-antivir-personal.Software atualizado anualmente. 23 MICROSOFT SECURITY ESSENTIALS [download na Internet] Microsoft,2010 – [acesso em 2010 Jul 25.] Disponível em: http://www.microsoft.com/security_essentials/ Software atualizado anualmente. 24 SPYBOT SEARCH & DESTROY [download na Internet] Spybot-S&D,2008 – [acesso em 2010 Jul 25.] Disponível em: http://www.safernetworking.org/pt/mirrors/index.html Software atualizado anualmente. 25 AD-WARE [download na Internet] LAVASOFT, 2010 – [acesso em 2010 Jul 25.] Disponível em: http://www.lavasoft.com/products/ad_aware_free.php Software atualizado anualmente. 26 MICROSOFT WINDOWS DEFENDER [download na Internet] MICROSOFT, 2006 – [acesso em 2010 Jul 25.] Disponível em: http://www.microsoft.com/downloads/details.aspx?displaylang=ptbr&FamilyID=435bfce7-da2b-4a6a-afa4-f7f14e605a0d. Software atualizado anualmente. 27 SPYWARE TERMINATOR [download na Internet] CRAWLER,LLC, 2010 – [acesso em 2010 Jul 25.] Disponível em: http://www.spywareterminator.com/pt/download/download.aspx . Software atualizado anualmente. 28 MICROSOFT FIX IT CENTER [download na Internet] MICROSOFT, 2010 – [acesso em 2010 Jul 25.] Disponível em: http://support.microsoft.com/fixit/ptbr#tab0 .Software atualizado anualmente. ANEXO 1 – EVOLUÇÃO DAS REDES DE COMPUTADORES HISTÓRICO DAS REDES DE COMPUTADORES ANO FATO 1960 A rede telefônica, era a rede de comunicação que dominava o mundo, nesta a voz era transmitida por comutação de circuitos a uma taxa constante entre a origem e o destino 1961 Em busca de transformar a comutação de circuitos em comutação de pacotes, três grupos de pesquisa separadamente iniciaram seus estudos. Sendo o primeiro Leonard Kleinrock nos laboratórios MIT usou a teoria das filas, a comutação de pacotes baseada no tráfego em rajadas. 1964 Paul Baran do Rand Institute começou a estudar o uso da comutação de pacotes para a segurança da transmissão de voz para redes militares, e na Inglaterra Donald Davies e Roger Scantlebury desenvolviam idéias sobre a comutação de pacotes no National Physical Laboratory Estes trabalhos, junto com Lawrence Roberts também no MIT lideravam o projeto de ciência de computadores na ARPA (EUA Agência de Projetos de Pesquisa Avançada). 1967 Roberts por volta de 1967 publicou a Arpanet (a precursora da grande rede mundial- a Internet), sendo a rede de computadores por comutação de pacotes. Os primeiros comutadores de pacotes ficaram conhecidos como IMPs (interface message processors), processadores de mensagens de interface, sendo fabricados pela empresa BBN. 1969 Em 1969 o primeiro IMP foi instalado na Universidade da Califórnia com três IMPs adicionais, depois no Stanford Research Institute, em Santa Bárbara e na Universidade de Utah, todos supervisionados por Leonard Kleinrock, sendo a primeira utilização um login remoto entre a Universidade da Califórnia com o Research Institute que acabou derrubando o sistema então com 4 nós. 1972 Por volta de 1972 a Arpanet já tinha 15 nós e foi publicamente apresentada por Robert Kahn na Conferência Internacional de Computadores. O primeiro protocolo de controle de rede deste sistema foi o NCP (network-control protocol), sendo elaborado também o primeiro programa de e-mail por Ray Tomlinson na BBN. Devido à Arpanet ser única na época era uma rede fechada e para se comunicar com suas máquinas era preciso estar ligado a um de seus IMPs. 1970 a Por volta de 70 começaram a surgir outras redes de comutação de 1980 pacotes como: Alohanet: rede de microondas via rádio que interligava as ilhas do Avaí. Telenet: comutação de pacotes comerciais da bbn baseada na tecnologia Arpanet; Taymnet e transpac: rede de comutação de pacotes franceses O número de pequenas redes crescia cada vês mais sendo apresentado por Robert Metcalfe os princípios de uma rede local, uma ETHERNET Que mais tarde originariam LANs de curta distância. O trabalho pioneiro da interconexão de redes foi supervisionado pela DARPA (Agencia de Projetos de Pesquisa Avançada de Defesa), por Vinton Cerf e Robert Kahn, criando uma arquitetura, uma rede de redes baseados na criação de um protocolo, o TCP (transmission control protocol) responsável pela entrega seqüencial e confiável de pacotes. Outras empresas também desenvolveram suas próprias arquiteturas de redes, a Digital Corporation que lançou sua primeira versão rede em 1975, a DECnet interligando apenas dois computadores PDP-11, que continuou evoluindo com o conjunto de protocolos OSI (interconexão de sistemas abertos). A Xerox com arquitetura XNS e a IBM com arquitetura TM, cujos reconheciam os pacotes como células e tinham tamanho fixo. No final da década de 70 aproximadamente 200 máquinas estavam conectadas a Arpanet não só devido a pesquisas, mas também por ser utilizada para comunicação militar na Guerra Fria onde toda a comunicação passava por um computador central que se encontrava no Pentágono, ao passar esta época de guerra a Arpanet não tinha mais importância para os militares sendo passada então para maioria das universidades e outros pesquisadores que foram estendendo a comunicação por outros países chegando à década de 80 com cem mil máquinas interligadas formando uma grande rede mundial que passou a ser conhecida como Internet. 1983 No dia primeiro de janeiro de 1983 o protocolo TCP/IP tornou-se oficial, sendo obrigatório estar em todas as máquinas. Em 1986 surgiu o NSFNET o backbone primário que fornecia acesso a outros centros de computação. Também nesta época foi desenvolvido o DNS (Domain Name System), usado para conversão dos endereços em forma de letras e palavras, pois são de mais fácil memorização para nós, na forma de endereço IP de 32 bits, a linguagem dos computadores. No outro lado do mundo o governo Francês desenvolvia o projeto Minitel, uma rede pública de comutação de pacotes baseada num conjunto de protocolos chamado X.25 que usava circuitos virtuais, terminais baratos e modems embutidos, porém de baixa velocidade, disponibilizava sites de listas telefônicas e outros, havia também sites particulares onde eram pagas taxas pelos usuários conforme o tempo de uso 1990 Em 1990 a Minitel já oferecia 20 mil serviços diferentes, e já era usada por mais de 20% da população Francesa, gerando mais de 1 bilhão de dólares por ano, e 10 mil novos empregos. Um fato interessante é que a grande rede de computadores na França já estava presente nas empresas, no comércio, nas residências 10 anos antes dos norte-americanos ouvirem falar em uma rede de computadores e menos ainda em uma desenvolvida Internet. 1990 a Na década de 1990 a Arpanet deixou de existir, a Milnet e a Rede de Dados de Defesa passaram a controlar maior parte do tráfego do 1996 Departamento de Defesa dos EUA e a NSFNET passou a ser o backbone de conexão entre os Estados Unidos e todas as redes do exterior, mas perdeu seu valor comercial em 1995, pois essa tarefa passou a ser encargo dos provedores de Internet. O Brasil entrou na rede em 1990 criando a RNP (rede nacional de pesquisas). Em 1992 foi criada a Internet Society e já existiam 200 servidores Web em operação, nesta época as pesquisas estavam mais voltadas para o desenvolvimento de browsers com interface gráfica, por exemplo, Marx Andreesen com a versão beta do GUIMosaic em 1993 e James Baker com a Mosaic Communications em 1994 que mais tarde transformou-se na Netscape Communications Corporation. Também nesta época a Embratel disponibilizou o acesso à rede de empresas e usuários particulares. Em 1995 os estudantes usavam diariamente os browsers Mosaic e Netscape para navegar, e pequenas e grandes empresas começaram a utiliza-los para transações comerciais, já existindo 10 milhões de servidores. Em 1996 a Microsoft entrou com tudo na Web com o browser Internet Explorer. Como o desenvolvimento avançava a cada dia, iniciaram pesquisas por roteadores e roteamento de alta velocidade para redes locais. e recursos como o comércio eletrônico e textos, imagens , multimídia e outros 1997 Criação da Standard IEEE. 1999 Criação de Gigabit Ethernet. Começa-se a falar em P2P (peer-to-peer) devido à Napster. 2001 Lançamento do primeiro iPod da Apple. Convergência dos telemóveis e PDAs. 2003 Lançamento do Microsoft Windows 2003 Server. 2006 Criação da WEB 2.0 Apple lança o iPod Nano, o menor iPod com tela LCD e o iPod Vídeo, com capacidade de armazenamento de até 200GB ANEXO 2 – CARTILHAS DE SEGURANÇA Os documentos apresentados por esse anexo encontram-se no CD que acompanha este trabalho, dentro da pasta <Cartilhas-de-Segurança>. As cartilhas descrevem uma série de cuidados, dicas e curiosidades que devemos conhecer para deixar nosso ambiente operacional seguro. Cartilha 1: Segurança na Internet Cartilha 2: Safernet Cartilha 3: Segurança em redes sociais ANEXO 3 – HISTÓRICO DOS VÍRUS O quadro abaixo apresenta histórico dos vírus. Onde mostramos por ano alguns dos principais vírus de computador criados nas suas respectivas épocas. HISTÓRICO DOS VÍRUS ANO FATO 1983 Fred Cohen (doutorando de engª. elétrica da Univ. da Califórnia do Sul), batizou programas de que continham códigos maliciosos como Vírus de Computador. 1987 Surge Brain, um vírus de computador que infecta o setor de boot de disquetes (na época de 360 Kb), e utilizando técnicas de se tornar nãodetectável pelo sistema. Cria-se Stoned (primeiro vírus a infectar o registro mestre de boot, MBR) danificando o MBR da unidade de disco rígido, corrompendo ou até mesmo impedindo a inicialização do sistema operacional 1988 O primeiro antivírus é oferecido por um programador da Indonésia. Ele detectava o vírus Brain, o extraí-a do computador e imuniza o sistema contra outros ataques da mesma praga. A Internet Worm é liberada na ainda emergente Internet e atinge cerca de 6.000 computadores. 1989 Aparece o Dark Avenger, que contamina programas rapidamente, mas o estrago subseqüente acontece devagar, permitindo que o vírus passe despercebido por muito tempo. A IBM fornece o primeiro antivírus comercial e é iniciada uma pesquisa intensiva contra as pragas eletrônicas. No início do ano, apenas 9% das empresas pesquisadas sofreram um ataque de vírus. No final do ano, esse número saltou para 63%. 1992 Michelangelo, o primeiro vírus a causar agitação na mídia. É programado para sobre gravar partes das unidades de disco rígido em 6 de março, dia do nascimento do artista da Renascença. As vendas de software antivírus disparam, embora apenas alguns casos de infecção real sejam reportados. 1994 O autor de um vírus chamado Pathogen, na Inglaterra, é rastreado pela Scotland Yard e condenado a 18 meses de prisão. É a primeira vez que o autor de um vírus é processado por disseminar código destruidor. 1995 Surge o Concept, o primeiro vírus de macro. Escrito na linguagem Word Basic da Microsoft, pode ser executado em qualquer plataforma com Word - PC ou Macintosh. O Concept desencadeia uma explosão no número de vírus de macro, pois são muito fáceis de criar e se disseminar. 1999 O vírus Chernobyl, que deixa a unidade de disco rígido e os dados do usuário inacessíveis, chega em abril. Embora tenha contaminado poucos computadores nos Estados Unidos, provocou danos difundidos no exterior. A China sofre prejuízos de mais de US$ 291 milhões. Turquia e Coréia do Sul também foram duramente atingidas. 2000 O vírus LoveLetter, liberado nas Filipinas, varre a Europa e os Estados Unidos em seis horas. Infecta cerca de 2,5 milhões a 3 milhões de máquinas, causando danos estimados em US$ 8,7 bilhões. 2001 A “moda” são os códigos nocivos do tipo Worm (proliferam-se por páginas da Internet e principalmente por e-mail). São descobertos programas que criam vírus. Um deles é o VBSWorms Generator, que foi desenvolvido por um programador argentino de apenas 18 anos. 2003 O vírus de servidor de rede SQL Slammer espalhou-se pela Internet. Muitas redes de computador não estavam preparadas para o ataque, e como resultado, o vírus derrubou vários sistemas importantes. O serviço de caixa automático do Bank of America caiu, a cidade de Seattle sofreu cortes no serviço de atendimento de emergências e a Continental Airlines precisou cancelar vários voos devido aos erros no sistema de passagens eletrônicas (em inglês) e de check-in. Pelas estimativas, ele causou mais de US$ 1 bilhão em prejuízos antes dos patches de correção e dos softwares antivírus identificarem o problema [fonte: Lemos (em inglês)]. 2004 O vírus MyDoom (ou Novarg) é outro worm que consegue criar uma porta dos fundos no sistema operacional do computador da vítima. O MyDoom original (existiram várias variantes) possui dois desencadeadores. Um deles fazia o vírus iniciar um ataque no DoS, começando em 1º de fevereiro de 2004. O segundo comandava o vírus para que parasse de se distribuir em 12 de fevereiro de 2004. Mesmo depois que parou de se espalhar, as portas dos fundos criadas durante as infecções iniciais permaneciam ativas [fonte: Symantec]. Mais tarde, no mesmo ano, um segundo ataque do MyDoom deu à várias empresas de sites de busca um motivo para chorarem. Assim como outros vírus, ele buscava os computadores das vítimas com endereços de e-mail como parte do processo de replicação. Mas, também enviava um pedido de busca para um site de busca e utilizava os endereços encontrados nos resultados. Eventualmente, sites de busca - como o Google - começaram a receber milhões de pedidos de busca partindo de computadores corrompidos. Tais ataques tornaram os serviços mais lentos e até mesmo fizeram com que alguns travassem [fonte: Sullivan (em inglês)]. O MyDoom se espalha através de e-mail e redes P2P (peer-to-peer). De acordo com a firma de segurança, MessageLabs, um em cada 12 mensagens transportou o vírus pelo menos uma vez [fonte: BBC (em inglês)]. Assim como o vírus Klez, o MyDoom podia fazer um spoof nos e-mails para dificultar o rastreamento da fonte de infecção. 2006 O último vírus de nossa lista é o famigerado Storm Worm. Foi no fim de 2006, que os especialistas em segurança de computadores identificaram pela primeira vez o worm. O público começou a chamar o vírus de Storm Worm porque uma das mensagens de e-mail tinha como assunto: "230 mortos em temporal na Europa". Porém, as empresas de antivírus o deram outros nomes. Por exemplo, a Symantec o chama de Peacomm e a McAfee refere-se a ele como Nuwar. Isso pode parecer confuso, mas já existe um vírus, de 2001, chamado W32.Storm.Worm. Esse vírus e o worm de 2006 são programas completamente diferentes. O Storm Worm é um cavalo de Tróia. O seu payload é outro programa, embora nem sempre o mesmo. Algumas versões desse vírus transformam os computadores em zumbis ou robôs. E quando são infectados, tornam-se vulneráveis ao controle remoto da pessoa responsável pelo ataque. Alguns hackers utilizam o Storm Worm para criarem um correio de botnet e usá-lo para enviar spam. Muitas versões do Storm Worm enganam a vítima para que ela baixe o aplicativo através de links falsos para notícias ou vídeos. O responsável pelos ataques geralmente muda o assunto da mensagem para refletir acontecimentos atuais. Por exemplo, um pouco antes das Olimpíadas de Pequim 2008, uma nova versão do worm apareceu em e-mails com assuntos como: "outra catástrofe arrasa a China" ou "o terremoto mais letal da China". O e-mail dizia conter links para vídeos e notícias relacionadas ao assunto, mas na verdade, clicar no link fazia ativar o download do worm no computador da vítima [fonte: McAfee (em inglês)]. Várias agências de notícias e blogs nomearam o Storm Worm como um dos piores ataques de vírus em anos. Em julho de 2007, um oficial da empresa de segurança Postini disse que a firma detectou mais de 200 milhões de e-mails contendo links para esse vírus durante um ataque que durou vários dias [fonte: Gaudin (em inglês)]. Felizmente, nem todas as mensagens fizeram com que alguém baixasse o worm. Embora o Storm Worm seja largamente difundido, ele não é o vírus mais difícil de detectar ou remover do sistema de um PC. Se você mantém o antivírus atualizado e lembra-se dos cuidados ao receber emails de pessoas desconhecidas ou percebe links estranhos, você se poupará de muita dor de cabeça. 2009 Conficker D que não precisa de um vetor de infecção e se propaga através de HTTP o Downloads diários de qualquer um dos 500 dentre 50.000 domínios pseudo-aleatórios em 110 TLDs. Download/upload P2P o Usa protocolos padrões para escanear computadores conectados em P2P via UDP, e então transfere via TCP ] Ele bloqueia monitorações DNS e faz que uma parte do arquivo DNSAPI.DLL bloqueie a monitoração de websites relacionados com ferramentas antimalware. Desabilita auto-atualizações. Deleta ferramentas antimalware Escaneia e termina processos com nomes de ferramentas, patchs ou utilidades antimalware num intervalo de um segundo. ANEXO 4 – AMEAÇAS VIRTUAIS Os vídeos apresentados por esse anexo encontram-se no CD que acompanha este trabalho com o nome de arquivo <Ameaças-virtuais> dentro da pasta <documentos>. Vídeo 1: Navegar é preciso Vídeo 2: Os invasores Vídeo 3: Spam Vídeo 4: Defesa ANEXO 5 – TESTE DO ANTIVÍRUS O vídeo apresentado por esse anexo encontra-se no CD que acompanha este trabalho com o nome de arquivo <teste-Eicar> dentro da pasta <vídeos>. O vídeo mostra download de um arquivo que se porta como um vírus, pois tem seu código original alterado, porém sem risco de infectar o sistema. O vídeo mostra como o antivírus reage ao baixar esse arquivo. ANEXO 6 – CÓDIGO FONTE DE VÍRUS O texto apresentado por esse anexo no CD que acompanha este trabalho com o nome de arquivo <código-fonte-vírus> dentro da pasta <documentos>. O texto apresenta código fonte de dois vírus, para termos idéia de como são criados os vírus, e o que seu código malicioso faz. ANEXO 7 – TROJAN O vídeo apresentado por esse anexo no CD que acompanha este trabalho com o nome de arquivo <prorat-trojan> dentro da pasta <vídeos>. O vídeo apresenta o servidor Prorat, que pode atuar como trojan em mão maliciosas. ANEXO 8 – SCAN DE IP O vídeo apresentado por esse anexo no CD que acompanha este trabalho com o nome de arquivo <ANGRYIP> dentro da pasta <vídeos>. O vídeo apresenta como funciona o ANGRYIP, e de que proveito o atacante pode tirar dessa ferramenta. ANEXO 9 – SCAN DE REDE O vídeo apresentado por esse anexo no CD que acompanha este trabalho com o nome de arquivo <NMAP> dentro da pasta <vídeos>. O vídeo apresenta o funcionamento da ferramenta NMAP, e como o atacante pode tirar proveito das informações oferecidas pelo programa rodando em um alvo específico. ANEXO 10 – SCAN DE VULNERABILIDADE O vídeo apresentado por esse anexo no CD que acompanha este trabalho com o nome de arquivo <NESSUS> dentro da pasta <vídeos>. O vídeo apresenta o funcionamento da ferramenta NESSUS, e como o atacante pode tirar proveito das informações oferecidas pelo programa rodando em um alvo específico. ANEXO 11 – UNINDO ARQUIVOS DE DIFERENTES EXTENSÕES O vídeo apresentado por esse anexo no CD que acompanha este trabalho com o nome de arquivo <une-arquivos> dentro da pasta <vídeos>. O vídeo apresenta técnica onde coloco um arquivo de foto (.jpg) junto a um arquivo executável (.exe) qualquer, formando um arquivo(.zip) único. ANEXO 12 – TROJAN INDETECTÁVEL O vídeo apresentado por esse anexo no CD que acompanha este trabalho com o nome de arquivo <Trojan-indetectável> dentro da pasta <vídeo>. O vídeo apresenta como o atacante usando de Engenharia Social e técnica de camuflagem de arquivos, para o antivírus da vítima e injeta o Trojan no sistema dela, tendo total controle sobre a máquina alvo. ANEXO 13 – CÓDIGO FONTE DO AVKILL O vídeo apresentado por esse anexo no CD que acompanha este trabalho com o nome de arquivo <AVKILL> dentro da pasta <vídeos>. O vídeo apresenta um arquivo de lot(.bat) editado de forma ao ser acionado, destruir ou parar o antivírus da máquina alvo. ANEXO 14 – NAVEGAR COM IP OCULTO O vídeo apresentado por esse anexo no CD que acompanha este trabalho com o nome de arquivo <IP-oculto> dentro da pasta <vídeo>. O vídeo apresenta o Anonymous Proxy, o programa que tem a função de trabalhar como Proxy anônimo, que faz o número de IP da máquina utilizada ao navegar na internet se tornar um número de IP diferente do real, camuflando assim o verdadeiro número de IP. A segunda parte do vídeo mostra o ocultamento de IP utilizando o serviço de Proxy anônimo em site da Internet. ANEXO 15 – CLONANDO SITE O vídeo apresentado por esse anexo no CD que acompanha este trabalho com o nome de arquivo <Clonagem-Site> dentro da pasta <vídeo>. O vídeo apresenta técnica usada para clonar site, utilizando o Firefox e o NetBeans. No vídeo escolho um site qualquer e clono o mesmo utilizando as ferramentas citadas acima.