instituto federal do espírito santo

INSTITUTO FEDERAL DO ESPÍRITO SANTO
CURSO SUPERIOR DE TECNOLOGIA EM REDES DE
COMPUTADORES
RODOLFO DE SOUZA CAVATI
FORMAS DE ATAQUES NO SISTEMA OPERACIONAL WINDOWS XP
E METODOLOGIAS PARA PROTEÇÃO
SERRA
2011
RODOLFO DE SOUZA CAVATI
FORMAS DE ATAQUES NO SISTEMA OPERACIONAL WINDOWS XP
E METODOLOGIAS PARA PROTEÇÃO
Trabalho de Conclusão de Curso apresentado à
Coordenadoria de Informática do Instituto Federal
do Espírito Santo, como requisito parcial para a
obtenção do título de Tecnólogo em Redes de
Computadores.
Orientador: Prof. Gilmar Luiz Vassoler
SERRA
2011
RODOLFO DE SOUZA CAVATI
FORMAS DE ATAQUES NO SISTEMA OPERACIONAL WINDOWS XP
E METODOLOGIAS PARA PROTEÇÃO
Trabalho de Conclusão de Curso apresentado à Coordenadoria de Informática do
Instituto Federal do Espírito Santo, como requisito parcial para a obtenção do título
de Tecnólogo em Redes de Computadores.
Aprovado em XX de Maio de 2011.
COMISÃO EXAMINADORA
Prof. Msc. Gilmar Luiz Vassoler
Instituto Federal do Espírito Santo - Campus Serra
Orientador
Prof. Gilberto Sudré
Instituto Federal do Espírito Santo - Campus Serra
Prof. XXXX
Instituto Federal de Educação Tecnológica do Espírito Santo
[Gilmar Lu1] Comentário:
Você conhece alguém que poderia
estar participando?
Tem que ser formado na área.
DECLARAÇÃO DO AUTOR
Declaro, para fins de pesquisa acadêmica, didática e técnico-científica, que o
presente Trabalho de Conclusão de Curso pode ser parcial ou totalmente utilizado
desde que se faça referência à fonte e ao autor.
Serra, XX de Maio de 2011
RODOLFO DE SOUZA CAVATI
[Gilmar Lu2] Comentário:
Data
Aos nossos familiares e amigos que
estiveram presentes nesta caminhada e
tanto nos apoiaram nos estudos.
RESUMO
Este trabalho é um estudo que tem como objetivo identificar as principais formas de
ataques ao sistema operacional Windows XP. A partir dos problemas observados
iremos encontrar boas práticas, políticas de segurança para o usuário e modelos de
configuração de uma rede segura, com o intuito de proteger os sistemas XP destas
ameaças virtuais. É importante destacar que o Windows XP ainda é o sistema
operacional mais utilizado no mundo, consequentemente isso faz com que grande
parte da atenção dos invasores esteja voltada para ele. Estas tentativas de invasão
tentas encontrar uma forma de burlar o sistema ou até mesmo o próprio usuário.
Este trabalho procura elaborar uma metodologia de segurança, a partir de um
estudo das falhas encontradas no sistema ou por um eventual descuido do usuário,
utilizando uma configuração adequada do sistema Windows XP em conjunto com os
principais softwares gratuitos de segurança encontrados e compatíveis com este
SO. Uma implementação do modelo proposto será criada a fim de demonstrar a
viabilidade deste modelo.
Palavras
chave:
segurança,
metodologias, softwares gratuitos,
invasores,
Windows,
sistema
operacional,
ABSTRACT
This work is a study that aims to identify the main forms of attacks on the Windows
XP operating system. From the observed problems will find best practices, security
policies and templates for user configuration of a secure network in order to protect
systems XP these threats. It is worth noting that Windows XP is still the most used
operating system in the world, therefore it makes much of the attention of the
invaders is facing him. These intrusion attempts try to find a way to cheat the system
or even the user himself. This paper seeks to elaborate a methodology of security,
from a study of failures in the system or by any carelessness of the user, using an
appropriate configuration of the Windows XP system in conjunction with the main
free software security and found compatible with this OS. An implementation of the
proposed model will be created to demonstrate the feasibility of this model.
Keywords: security, attackers, Windows, operating system, methodologies, free
software,
LISTA DE SIGLAS
API – APPLICATION PROGRAMMING INTERFACE
ARJ – ARCHIVER ROBERT JUNG
AVKILL – ANTIVIRUS KILLER
CD – COMPACT DISC
DVD – DIGITAL VIDEO DISC
FAT – FILE ALOCATTION TABLE
FTP – FILE TRANFER PROTOCOL
HD – HARD DISK
HTML – HYPER TEXT MARKUP LANGUAGE
ICMP – INTERNET CONTROL MESSAGE PROTOCOL
IP – INTERNET PROTOCOL
IRC – INTERNET RELAY CHAT
LAN – LOCAL AREA NETWORK
MAPI – MESSAGING APPLICATION PROGRAMMING INTERFACE
MBR – MASTER BOOT RECORD
MS – MICROSOFT
P2P – PEER-TO-PEER
PHP – HYPERTEXT PREPROCESSOR
RAR – ROSHAL ARCHIVE
SMTP – SIMPLE MAIL TRANSFER PROTOCOL
SP – SERVIVE PACK
SSL – SECURE SOCKETS LAYER
SYN – SYNCHRONIZE
TCP – TRANSMISSION CONTRO PROTOCOL
UDP – USER DATAGRAM PROTOCOL
URL – UNIFORM RESOURCE LOCATOR
VBA – VISUAL BASIC FOR APPLICATIONS
VBS – VISUAL BASIC SCRIPT SCRIPTING EDITION
WPA – WI-FI PROTECTED ACESS
LISTA DE FIGURAS
FIGURA 1- Incidentes de segurança reportados ao CERT.br no ano de 2005. .................. 12
FIGURA 2 - Incidentes de segurança reportados ao CERT.br no ano de 2009. ................. 12
FIGURA 3 - Incidentes de segurança reportados ao CERT.br no ano de 2010. ................. 13
FIGURA 4 – Estatística de uso dos sistemas operacionais no ano de 2007 no mundo. ..... 14
FIGURA 5 – Estatística do uso do sistema operacional Windows e suas versões, assim
como de outros sistemas operacionais em dezembro de 2007. ............................................. 14
FIGURA 6 – Estatística do uso de sistemas operacionais no ano de 2010 no mundo. ........ 14
FIGURA 7 – Estatística do uso de sistema operacional Windows e suas versões, assim
como de outros sistemas operacionais em dezembro de 2010. ............................................. 15
FIGURA 8 - Regiões atingidas pelo Conficker no ano de 2009 .......................................... 22
FIGURA 9 (a) - Exemplo de um arquivo de macro limpo. (b) - Exemplo de um arquivo de
macro infectado................................................................................................................... 24
FIGURA 10 – Assinatura do vírus Win32.Induc ................................................................ 25
FIGURA 11 - Relativa de phishing se passando por site de banco. .................................... 43
FIGURA 12 – Exemplo de uma mensagem de email de phishing, que inclui um endereço
da Web fraudulento que leva ao site do golpe. .................................................................... 44
FIGURA 13 - Relativa de tentativa de spear phishing ........................................................ 45
FIGURA 14- Exemplo de fraude aplicada por email. ......................................................... 46
FIGURA 15 - Fraude por email. ......................................................................................... 47
FIGURA 16 - Fraude por email. ......................................................................................... 47
FIGURA 17– Acessando Contas de usuário ....................................................................... 53
FIGURA 18– Acessando Painel de Controle ...................................................................... 54
FIGURA 19– Marcando opção de atualização automática ................................................. 55
FIGURA 20– Tornando as atualizações automáticas ......................................................... 56
FIGURA 21– Acessando Firewall do Windows .................................................................. 57
FIGURA 22– Ativando Firewall do Windows ..................................................................... 58
FIGURA 23– Desmarcando serviços e programas desnecessários ..................................... 59
FIGURA 24– Acessando aba Avançado do firewall............................................................ 60
FIGURA 25– Desabilitando serviços de rede ...................................................................... 61
FIGURA 26– Acessando Conexões de rede ........................................................................ 62
FIGURA 27– Acessando as propriedades da conexão local utilizada ................................. 63
FIGURA 28– Desmarcar compartilhamento de arquivos e impressoras para redes ........... 64
FIGURA 29– Acessando configurações do Sistema............................................................ 65
FIGURA 30 – Desmarcando opções de conexões remotas do sistema. ............................... 66
FIGURA 31– Acessando Ferramentas Administrativas...................................................... 67
FIGURA 32– Acessando Serviços em Ferramentas Administrativas .................................. 68
FIGURA 33 – Desativando serviços de Telnet .................................................................... 69
FIGURA 34 – Resultado escaneamento do NMAP Intense Scan ....................................... 73
FIGURA 35 – Resultado do teste do NESSUS .................................................................... 74
FIGURA 36– Informações sobre vulnerabilidade encontrada ............................................ 75
FIGURA 37– Resultado de teste de compartilhamento de arquivos.................................... 76
FIGURA 38 – Teste de portas do Shield UP ....................................................................... 77
LISTA DE GRÁFICOS
GRÁFICO 1 – Número de usuários de Internet em 1995. .................................................. 10
GRÁFICO 2 – Número de usuários de Internet em 2000 ................................................... 10
GRÁFICO 3 – Número de usuários de Internet em Jun/2010 ............................................ 11
SUMÁRIO
1.1 MOTIVAÇÃO ................................................................................................................................. 13
1.2 OBJETIVOS DO TRABALHO................................................................................................... 15
1.2 CONTRIBUIÇÕES DO TRABALHO ........................................................................................ 16
1.3 ESTRUTURAS DA MONOGRAFIA.......................................................................................... 16
2.1 AMEAÇAS HUMANAS ............................................................................................................... 18
2.2 AMEAÇAS VIRTUAIS ................................................................................................................ 21
2.2.1 VÍRUS .......................................................................................................................................................21
2.2.2 WORMS ....................................................................................................................................................28
2.2.3 TROJANS .................................................................................................................................................32
2.2.4 EXPLOITS ................................................................................................................................................39
2.2.5 ENGENHARIA SOCIAL .......................................................................................................................41
3.1 SCANNERS DE IPS E PORTAS ................................................................................................ 48
3.2 SCANNERS DE REDES .............................................................................................................. 48
3.3 SCANNERS DE VULNERABILIDADES ................................................................................. 49
3.4 CAMUFLAGENS DE ARQUIVOS............................................................................................ 49
3.5 NAVEGANDO COM IP OCULTO NA INTERNET .............................................................. 50
3.6 CLONAGENS DE SITES ............................................................................................................ 51
4.1 ATUALIZAR O SISTEMA OPERACIONAL ......................................................................... 52
4.2 CRIANDO USUÁRIOS NO SISTEMA ..................................................................................... 52
4.3 TORNANDO AS ATUALIZAÇÕES AUTOMÁTICAS ......................................................... 53
4.4 PROTEGENDO CONEXÕES E DESABILITANDO SERVIÇOS DE CONEXÕES
REMOTAS. ............................................................................................................................................ 61
4.5 INSTALANDO ANTIVÍRUS E ANTI-SPYWARES............................................................... 69
4.6 INSTALANDO FERRAMENTAS COMPLEMENTARES................................................... 70
5.1 PROGRAMAS E SITES UTILIZADOS NOS TESTES ........................................................ 72
5.1.1 TESTE COM O NMAP............................................................................................................................72
5.1.2 TESTE COM O NESSUS ........................................................................................................................74
5.1.3 TESTANDO COM OS SERVIÇOS DO SITE SHIELDS UP! .............................................................75
1. INTRODUÇÃO
A evolução ao longo dos anos dos sistemas informatizados nos permitiu maior
facilidade na organização do volume de informações geradas todos os dias
nos mais diversos lugares, tais como, empresas, lojas, hospitais, órgãos
públicos, escolas e até mesmo em nossas próprias casas.
Devemos entender informação como um conjunto de dados, tais como: a
folha salarial da empresa, o banco de dados de clientes do banco, a planilha
eletrônica dos dados pessoais dos pacientes do hospital, o resumo de contas
a pagar no mês, a carta escrita no Word, a agenda eletrônica, etc.
A necessidade do compartilhamento das informações foi um dos fatores para
que as redes de computadores fossem criadas. Em conjunto com os sistemas
informatizados, as redes de computadores são responsáveis por fazer todo o
ciclo que passa a informação, desde sua criação em formato digital, seu
armazenamento, proteção, alteração, e sua divulgação para os demais
interessados.
Para o leitor interessado disponibilizamos no anexo 1 a evolução das redes
de computadores durante as últimas décadas.
Um dos mais expressivos resultados da evolução das redes de computadores
foi à criação da Internet. Segundo Kurose[1] não existe uma palavra que
possa definir o que é a Internet, pois essa está sempre em mudança e cada
vez mais complexa, tanto nos seus hardwares que as compõem tanto nos
seus serviços oferecidos.
A evolução da Internet proporcionou as pessoas facilidades jamais vistas pelo
homem. Hoje é possível fazer compras, gerenciar uma conta em uma
instituição financeira, estudar, interagir com diversas pessoas, entre outras
tantas atividades, sem a necessidade de sair de casa.
Devido às possibilidades oferecidas, o número de usuários da Internet
cresceu de forma significativa em todo o mundo. Os gráficos 1, 2 e 3
apresentam o rápido crescimento de usuários de Internet em seis grandes
países, de acordo com dados obtidos em MDGS[2] (Millenium Development
Goals Indicators).
GRÁFICO 1 – Número de usuários de Internet em 1995.
GRÁFICO 2 – Número de usuários de Internet em 2000
GRÁFICO 3 – Número de usuários de Internet em Jun/2010
Observando os gráficos 1, 2 e 3 acima, percebemos o constante crescimento
do número de usuários de Internet em 6 grandes países do mundo ao
decorrer de 14 anos, mostrando que estamos cada vez mais dependentes da
tecnologia.
No grupo desses milhões de usuários de Internet podemos encontrar pessoas
com intenção de obter informações de outras sem devida autorização. Com
isso, é cada vez mais comum a ocorrência de crimes, golpes e fraudes
eletrônicas. Em parte, isto se deve ao fato de que a grande maioria dos
usuários da grande rede desconhece os riscos encontrados no mundo virtual,
e muitas vezes não adotam as devidas medidas de segurança que devem ser
tomadas quando se estão nesse ambiente.
A Internet é um local que criminosos agem, devido à grande quantidade de
pessoas e sistemas vulneráveis a falhas. Muitas são as formas encontradas
para burlar a rede de informações, tais como: vírus, spywares, adwares,
worms, trojans, e isso devido a falhas de configuração encontradas nos
sistemas.
As figuras 1, 2 e 3 apresentam estatísticas dos números de incidentes virtuais
reportados nos anos de 2005, 2009 e 2010 respectivamente, de acordo com
dados obtidos em Cert.br[3] (Centro de Estudos, Resposta e Tratamento de
Incidentes de Segurança no Brasil).
FIGURA 1- Incidentes de segurança reportados ao CERT.br no ano de 2005.
Fonte: http://www.cert.br/stats/incidentes/2005-jan-dec/tipos-ataque.html
FIGURA 2 - Incidentes de segurança reportados ao CERT.br no ano de 2009.
Fonte: http://www.cert.br/stats/incidentes/2009-jan-dec/tipos-ataque.html
FIGURA 3 - Incidentes de segurança reportados ao CERT.br no ano de 2010.
Fonte: http://www.cert.br/stats/incidentes/2010-jan-dec/tipos-ataque.html
Devido às altas taxas de incidentes reportados, percebemos a necessidade
de novas tecnologias voltadas para segurança dos sistemas, tais como
antivírus, anti-spywares, paths de correção, firewall e outros softwares que
poderão auxiliar na proteção e serão estudados nos próximos capítulos.
1.1
MOTIVAÇÃO
De acordo com estatísticas obtidas em NetMarketShare[4], a maioria dos
sistemas operacionais encontrados nos computadores baseiam-se na
plataforma Windows, como mostrado na figura 4 que representa o ano de
2007 e figura 5 que representa o ano de 2010. Observando que desta
plataforma destaca-se o Windows XP como versão mais utilizada como
mostrado na figura 6 que representa o ano de 2007 e figura 7 que representa
o ano de 2010.
FIGURA 4 – Estatística de uso dos sistemas operacionais no ano de 2007 no mundo.
Fonte:http://www.netmarketshare.com/operating-system-market-share.
aspx?qprid=8&qpcal=1&qptimeframe=Y&qpsp=2000
FIGURA 5 – Estatística do uso do sistema operacional Windows e suas versões, assim
como de outros sistemas operacionais em dezembro de 2007.
Fonte:http://www.netmarketshare.com/operating-system-market-share.
aspx?qprid=10&qpcal=1&qptimeframe=Y&qpsp=2000
FIGURA 6 – Estatística do uso de sistemas operacionais no ano de 2010 no mundo.
Fonte: http://www.netmarketshare.com/operating-system-market-share. aspx?qprid=8
FIGURA 7 – Estatística do uso de sistema operacional Windows e suas versões, assim
como de outros sistemas operacionais em dezembro de 2010.
Fonte: http://www.netmarketshare.com/operating-system-market-share. aspx?qprid=10
Podemos observar nas figuras 5 e 7 acima, que no decorrer do ano de 2007
até o ano de 2010 houve aumento no número de usuários de outros sistemas
operacionais, porém ainda assim o Windows XP é maioria presente nos
computadores como visto.
Por ser o sistema operacional mais utilizado nos últimos anos, vários
programas e ferramentas foram criados para trabalhar baseado nessa
plataforma, e isto acaba trazendo uma consequência grave, o crescente
número de crackers1 preocupados em encontrar novas falhas nesse sistema e
novas maneira de enganar softwares e usuários.
1.2 OBJETIVOS DO TRABALHO
O objetivo geral deste trabalho é identificar os principais tipos de ataques e
métodos de burlar o sistema operacional Windows XP, e criar uma
metodologia para manter o sistema protegido destes ataques e proporcionar
uma utilização segura do ambiente no dia a dia.
Além do objetivo geral definimos os seguintes objetivos específicos para este
trabalho:

Apresentar as principais ameaças encontradas, algumas em formas de
softwares outras feitas através de métodos;

Produzir um roteiro em linguagem simples para que usuários comuns
possam se prevenir;

Identificar e testar softwares gratuitos de qualidade que podem ser
utilizados para proteção;
1
Chamado de Hacker do mal ou hacker sem ética.
1.2
CONTRIBUIÇÕES DO TRABALHO
Este trabalho propõe aos usuários da Internet e em especial do Windows XP
uma série de recomendações de segurança a serem tomadas. Indicamos ao
leitor cartilhas de segurança a ser lida, que em conjunto com softwares de
segurança e de correção do sistema, possa nos garantir uma navegação
segura no mundo virtual e prevenindo nosso sistema de possíveis brechas e
ameaças.
Para o leitor interessado as cartilhas podem ser encontradas no ANEXO 2
deste trabalho.
1.3
ESTRUTURAS DA MONOGRAFIA
Este texto está dividido em cinco capítulos e 15 anexos, onde o capítulo 1 é a
introdução, o capítulo 2 aborda as principais ameaças encontradas na
Internet, o capítulo 3 apresenta as principais ferramentas que podem ser
utilizadas para um possível ataque ao Windows XP, o capítulo 4 aborda as
principais técnicas e softwares de segurança para os usuários, o capítulo 5
apresenta um ataque ao sistema operacional Windows XP, o capítulo 6
conclui o trabalho.
Os anexos são os seguintes:
Anexo 1 – Evolução das redes de computadores
Anexo 2 – Cartilhas de Segurança
Anexo 3 – Histórico dos Vírus
Anexo 4 – Ameaças Virtuais
Anexo 5 – Teste do antivírus
Anexo 6 – Código fonte de vírus
Anexo 7 – Trojan
Anexo 8 – Scan de IPs
Anexo 9 – Scan de rede
Anexo 10 – Scan de rede
Anexo 11 – Unir arquivos de extensões diferentes
Anexo 12 – Trojan Indetectável
Anexo 13 – Código fonte de AVKILL
Anexo 14 – Navegar com IP oculto
Anexo 15 – Clonar site
2. AMEAÇAS EXISTENTES AOS COMPUTADORES
Este capítulo aborda as principais ameaças virtuais encontradas para quem
navega na Internet e explica como agem essas ameaças. As ameaças se
encontram em duas formas, as ameaças humanas e as ameaças virtuais.
As ameaças humanas partem de pessoas que possuem alto conhecimento
em informática, que usam dos seus conhecimentos como arma para descobrir
novas vulnerabilidades nos sistemas e novas maneiras de enganar o usuário,
mas também podem partir de pessoas que possuem pouco conhecimento em
informática, mas se utilizam de ferramentas automatizadas para realizar os
ataques.
Já as ameaças virtuais, são os softwares maliciosos criados pelos próprios
humanos, que buscam explorar possíveis falhas encontradas nos sistemas,
com intuito de realizar o ataque e tomar posse do sistema afetado.
Mas a final, quem são estas pessoas que utilizam a informática para
cometerem crimes virtuais? Porque as pessoas criam estes softwares
maliciosos? Como funcionam as ameaças virtuais? A seguir o texto apresenta
algumas características das pessoas que se encontram no grupo de ameaças
reais, quem são e como agem esses indivíduos.
2.1 AMEAÇAS HUMANAS
HACKERS
O conceito de hacker é definido como por HULBRICH e VALLE[6] da seguinte
forma:
[...]a palavra hacker já existia há muitos anos atrás, inicialmente esta
palavra era utilizada para denominar as pessoas que trabalhavam
como carpinteiros, fazendo móveis com seus machados – “hack”, é a
onomatopeia para essas ferramentas, em inglês. Nos anos de 40 e
50, a palavra hacker foi utilizada para categorizar radioamadores e
hobbystas de mecânica ou eletrônica. Já na década de 60, o nome
se popularizou como sinônimo de programador e especialistas em
computadores, embora fosse comum utilizá-lo para definir qualquer
especialista: havia hackers de astronomia, de mecânica de
automóveis ou de jardinagem, por exemplo.[...]
Porém atualmente o termo hacker, tende a se referir aos criminosos digitais.
Hackers são especialistas que dominam várias técnicas de invasão e são
conhecedores natos de pelo menos um sistema operacional, ótimos
programadores e excelentes administradores de redes e sistemas. ULBRICH
e VALLE[5].
Mas, diferentemente do que popularmente se acredita, os hackers possuem
um rígido código de ética e não utilizam de seus conhecimentos para
cometerem crimes virtuais, mesmo sabendo que seus conhecimentos são
contra
a
lei.
As
comunidades
hackers
mais
tradicionais
execram
completamente esta definição, preferindo se referir a eles como apenas
excelentes programadores e especialistas em informática. ULBRICH e
VALLE[5].
CRACKERS
O conceito de crackers é definido como por ULBRICH e VALLE[5] como:
[...]os crackers são conhecidos como os hackers do mal ou hackers
sem ética, normalmente estas pessoas são especialistas em quebrar
as travas de softwares comerciais para poder pirateá-los (chamados
de warez-d00dz), mas grande maioria utiliza dos seus conhecimentos
para invadir sites e computadores com objetivos ilícitos, como
vandalismo ou roubo de informação. Muitas vezes os crackers são
excelentes programadores e criam diversos programas que são
utilizados para infectarem ou destruírem completamente sistemas
alheios, e na maioria das vezes não deixando vestígios algum,
também criam ferramentas que roubam e destroem informações do
sistema.[...] pag29.
Os crackers são os criminosos virtuais mais temidos pelas pessoas que estão
envolvidas na questão da segurança da informação. O alto conhecimento na
área de redes lhes permite vandalizar websites e invadir outros sistemas, com
objetivos maliciosos e prejudiciais. São responsáveis pela maioria dos vírus e
pragas criadas, que causam prejuízos morais e financeiros a outras pessoas
e empresas. ULBRICH e VALLE[5].
LAMMERS
O conceito de lammer é definido como por ULBRICH e VALLE[5] como:
[...]são pessoas que não possuem de longe o alto conhecimento dos
crackers nem dos hackers, e grande maioria das pessoas deste
grupo são jovens que passam horas na frente do computador e
buscam na Internet programas criados pelos crackers para invasão, e
usam destes para tomar controle de um sistema desprotegido ou
algum site desprotegido. Porém na maioria são descobertos, pois
não tem habilidades suficientes para apagar os rastros deixados pela
invasão [...]. (pág29).
PHREAKER
O conceito de phreaker é definido como por ULBRICH e VALLE[5] como:
[...]pessoas que possuem conhecimentos avançados de eletrônica
e telefonia e conseguem fazer ataques à partir de servidores de
outros países explorando falhas nos sistemas de telefonia. Esses
também sabem fazer ligações gratuitas, conseguem acesso as
centrais telefônicas e modificam suas contas, passando para outra
pessoa o débito, ou alterando o valor da mesma [...].(pág30).
WAR DRIVER
O conceito de WAR DRIVER é definido como por ULBRICH e VALLE [5]
como sendo:
[...] Pessoas que possuem vasto conhecimento em informática
também, porém seus principais alvos são as vulnerabilidades
encontradas nas redes sem fio, que ainda não apresentam
requisitos de segurança 100% confiáveis. Eles exploram essas
vulnerabilidades para tomarem posse dessas conexões wireless
desprotegidas, podendo fazer ataques a partir destas. [...] (pág. 30)
2.2 AMEAÇAS VIRTUAIS
Nesta sessão são apresentadas as principais ameaças virtuais encontradas
na rede e suas formas de contaminarem os sistemas vulneráveis. Grande
maioria das pragas virtuais é criada pelos grupos dos crackers citados na
sessão anterior.
2.2.1 VÍRUS
Histórico dos vírus
De acordo com IdgNow[6], o primeiro vírus de computador surgiu no ano de
1982 nos Estados Unidos e foi criado por um estudante de 15 anos chamado
de Rich Skrenta. O vírus recebeu o nome de Elk Cloner e infectava máquinas
com sistema operacional da Apple II, exibindo na tela da máquina infectada
um pequeno poema. O vírus também contaminava discos inseridos na
máquina infectada, gerando clones dele nos respectivos.
Segundo matéria publicada na Revista Época [7], no ano de 2009 o vírus que
mais causou estragos foi o Conficker, e suas réplicas atingindo 150 milhões
de computadores em todo o mundo.
A figura 4 obtida em IdgNow[6], apresenta as regiões de todo o mundo que
foram atingidas pelo vírus Conficker.
FIGURA 8 - Regiões atingidas pelo Conficker no ano de 2009
Fonte:http://www.confickerworkinggroup.org/wiki/uploads/ANY/conficker_world_map.png
Para o leitor interessado o ANEXO 3 apresenta a evolução de 1983 até 2009
dos principais vírus criados em suas respectivas épocas
Como os vírus são criados?
Segundo SMITH[8], os vírus de computadores são desenvolvidos como
pequenos programas que tem o intuito de danificar ocultamente softwares ou
arquivos instalados no computador alvo, se hospedando na máquina,
multiplicando-se e procurando se tornarem invisíveis aos olhos do usuário do
sistema operacional afetado.
Os vírus contêm código malicioso e escondem cópias de si próprios em
programas ou arquivos, e estes quando executados na máquina alvo, iniciam
um processo de infecção. Os vírus afetam os sistemas de inicialização e de
arquivos do SO, os ambientes macros e se camuflam em hosts scripts.
Tipos de vírus e formas de se camuflarem
Existem diversos tipos de vírus diferentes que podem ser encontrados na
Internet, e estes podem afetar diferentes partes dos computadores. Neste
tópico são abordados os principais tipos de vírus encontrados e como estes
agem.
De acordo com fonte obtida em VIRUSLIST[9] e no livro Hacker Secrets And
Confessions do autor SMITH[8], existem os vírus de boot que infectam as
áreas de boot de disquetes e setores de inicialização, como também a MBR
(Master Boot Record) dos discos rígidos, utilizando-se de algoritmos que são
lançados ao sistema operacional quando iniciados ou reiniciados, quando
realizam rotinas de verificações de memória, quando lêem ou obtêm
informações dos setor primário dos discos de boot (disquetes, CDs, DVDs,
pen-drivers, etc.).
Após ser lançado ao sistema operacional o vírus de boot se instala na BIOS
do computador, forçando-o a ler a memória e não dar continuidade a
inicialização do sistema.
As maiorias dos vírus se camuflam em arquivos de diversos sistemas
operacionais diferentes, mas é fato que o Windows é a plataforma mais
afetada pelos vírus.
Os vírus de arquivos são divididos em:

Vírus que infectam arquivos executáveis;

Vírus que criam duplicatas de arquivos contaminados;

Vírus que criam cópias de si mesmo em diversos diretórios do sistema
infectado;

Vírus que utilizam os arquivos de sistema;
Os vírus de macro de acordo com VIRUSLIST[9] são escritos em linguagem
macro2 e infectam aplicações baseadas em macros, explorando propriedades
e vulnerabilidades da linguagem a fim de infectarem outros arquivos, e estes
na maioria são arquivos dos aplicativos do pacote Microsoft Office (Word,
Excel e PowerPoint). Vírus para outras aplicações de macro são bem mais
raros.
A figura 4 obtida em VIRUSLIST[9] abaixo mostra um arquivo de macro
infectado.
FIGURA 9 (a) - Exemplo de um arquivo de macro limpo. (b) - Exemplo de um arquivo de
macro infectado.
2
Linguagem de macro é uma linguagem simples que permite escrever e manipular
macros (sequência de comando, como cliques de mouse ou toques de teclado que são
gravados em um Módulo VBA) que podem ser executados sempre que necessário,
automatizando tarefas repetitivas.
3
Linguagens de scripts são executadas no interior de programas ou acopladas a
outras linguagens, que permite aumentar a funcionalidade de um programa ou controlá-lo por
API sem interação do usuário.
Os vírus de Script de acordo com VIRUSLIST [9] são um subconjunto dos
vírus de arquivos, estes são escritos em várias linguagens de scripts³
diferentes (VBS, JAVASCRIPT, BAT, PHP, etc.) Eles infectam tanto máquinas
Windows, quanto as máquinas Linux, quando estes usam comandos que
acionam o script de código malicioso.
Estes vírus podem infectar arquivos do tipo HTML, se este protocolo permitir a
execução de scripts, tornando assim a navegação em sites maliciosos muito
perigosa, pois se estes sites contiverem scripts maliciosos, esses são
executados na máquina sem percebermos, por conta da configuração dos
browsers que permitem que as linguagens de script sejam permitidas.
A figura 9 apresenta um exemplo de código de um vírus de script, o
Win32.Induc( criado para infectar aplicações desenvolvidas com a linguagem
Delphi em tempo de compilação, que é usada no desenvolvimento de
programas para Windows incluindo bancos de dados. A parte em destaque da
figura 9 mostra o código que infecta essas aplicações.
FIGURA 10 – Assinatura do vírus Win32.Induc
Métodos utilizados pelos vírus para contaminarem o sistema.
De acordo com VIRUSLIST[9], os vírus podem se anexar a arquivos de
diversas extensões, e comumente são anexos de arquivos de emails spams,
de emails de phisinhg e de emails de Spammers.
Arquivos recebidos de mensageiros instantâneos, arquivos do Microsoft
Office, download de fotos, vídeos, jogos, filmes, música, texto, etc. estes
feitos em sites duvidosos podem conter vírus anexados. Os vírus podem se
espalhar em diversas máquinas da mesma rede, e também podem se instalar
em disquetes, pen-drivers, HDs, CDs, DVDs, podendo até infectar uma
máquina quando esta for ligada ou iniciada com uma mídia removível
infectada.
Por esses motivos é fundamental estarmos atualizados as novas formas que
de infecção de vírus.
A seguir são apresentados os métodos utilizados pelos vírus para infectarem
o arquivo.

Método de Substituição;

Método Parasita;

Método de Companheirismos;

Método do Link;
Método de substituição
Este método é o mais simples e comumente utilizado, o vírus substitui o
código do arquivo original com o seu código malicioso, apagando o código do
arquivo original. Porém estes vírus são mais fáceis de serem detectados por
antivírus, pois o sistema operacional e os aplicativos afetados deixarão de
funcionar após a infecção.
Método parasita
O vírus que utiliza o método de parasita infecta o arquivo e altera o seu
código, tornando-o infectado, porém estes arquivos permanecem parcial ou
totalmente funcionais. Estes vírus são classificados de acordo com a seção
do arquivo que vai ser infectada, e posteriormente reescrita:

Prepending: código malicioso do vírus é escrito no início do arquivo
original.

Appending: código malicioso do vírus é escrito no final do arquivo
original.

Inserting: código malicioso é introduzido no meio do arquivo original.
Método de companheirismo
Os vírus que utilizam deste método não modificam os arquivos do sistema,
eles se duplicam, criando outros arquivos infectados. Quando o arquivo
infectado é acionado, a cópia contendo o vírus é executada primeira, gerando
novos arquivos infectados.
Esta categoria inclui os vírus que renomeiam os arquivos da máquina, gravam
o novo nome deste para referência futura e em seguida substitui o arquivo
original. Por exemplo, o vírus pode renomear um arquivo chamado blazer.exe
para blazer.exd e escrever o conteúdo do código malicioso para o arquivo
com o nome original, e cada vez que o usuário da máquina infectada executa
blazer.exe, o código do vírus será executado, blazer.exd será executado
posteriormente.
Existem outros tipos de vírus que utilizam este método, que utilizam técnicas
de infecção original ou exploram vulnerabilidades em sistemas operacionais
específicos. Estes vírus espalham suas cópias no diretório de sistema do
Windows, explorando o fato de que este diretório é o primeiro na lista do
caminho, e então o sistema irá começar a partir deste diretório quando iniciar
o Windows.
Muitos worms e cavalos de Tróia utilizam as técnicas de execução
automática.
Método do link
Não são apenas os arquivos executáveis que são infectados por vírus,
existem vírus que espalham cópias de si mesmos em vários diretórios e
pastas do sistema com diversas extensões diferentes, a fim de que em
determinado momento sejam executados pelo usuário.
Por exemplo, o criador do vírus chama-o de install.com ou autoexec.bat, com
o propósito de persuadir o usuário a abrir o arquivo infectado. Estes vírus
podem infectar arquivos de extensão ARJ, ZIP, RAR, etc. Estes vírus não
modificam os arquivos do sistema, porém forçam a execução do código
malicioso, modificando os campos apropriados no sistema de arquivos.
As consequências da infecção dos vírus ao computador são várias, entre
elas, alterar, copiar ou apagar arquivos de um disco rígido ou móvel, podendo
até apagar o disco rígido por inteiro, mostrar mensagens indevidas na tela do
computador, danificar o funcionamento de programas e do sistema etc...
Porém grande parte dos vírus é criada com o intuito de roubar recursos da
máquina, deixando-a lenta, ou também se propagando para outros sistemas
consumindo recursos de várias máquinas ao mesmo tempo e aumentando o
dano causado.
Curiosidades sobre os vírus
Para o leitor interessado o ANEXO 4 apresenta vídeo extraído de CGI[10],
mostrando de forma animada o que são os vírus e como eles agem.
Para o leitor interessado o ANEXO 5 apresenta vídeo com teste do antivírus
fornecido por EICAR[11], European Expert Group for It-Security.
Para o leitor interessado o ANEXO 6 apresenta código fonte de dois vírus para
estudo.
2.2.2 WORMS
Histórico dos worms
O termo Worm que em português pode significar “verme”, e de acordo com
SMITH[8] foi criado pelo escritor de ficção científica John Brunner, em um dos
seus romances, cuja história trazia um herói, um programador talentoso que
criava auto replicas de programas de computadores e os enviava através da
rede mundial. Robert Morris Jr foi a primeira pessoa a criar um Worm, e este
atacou as redes de computadores causando grandes danos.
Os Worms são considerados como um subconjunto dos vírus, mas se diferem
dos vírus, pois estes são programas que se reproduzem, mas não infectam ou
destroem outros arquivos do sistema. Geralmente se instalam na máquina e
em seguida,
procuram por
maneiras de
se
espalhar
para
outros
computadores da rede.
Do ponto de vista do usuário do sistema, existem diferenças entre os vírus e
os worms que são perceptíveis, pois no caso dos vírus, estes se passam por
mais tempo despercebidos e infectam vários arquivos da máquina, enquanto
os worms possuem apenas uma instância de código e não precisam de
arquivos hospedeiros, pois eles são capazes de se replicarem sozinhos não
precisando infectar outros arquivos de acordo com SMITH[8].
Os Worms são responsáveis por consumir recursos da máquina, degradando
sensivelmente o desempenho das redes, pois se espalham rapidamente por
ela lotando os discos rígidos de suas réplicas propagadas através de
vulnerabilidades exploradas por essas pragas SMITH[8].
Tipos de worms encontrados
Assim como os vírus, os worms são sub-dividos de acordo com os meios que
são utilizados para infectarem o sistema de acordo com VIRUSLIST[ 9].

Worms de e-mail;

Worms de mensageiros instantâneos;

Worms P2P.
Worms de email
Segundo VIRUSLIST [9], estes Worms se espalham através da Internet, via emails infectados, camuflados no anexo de um arquivo ou em um link que
redireciona para um site infectado.
Nesses dois casos, os e-mails maliciosos são os responsáveis pelo envio da
praga. No primeiro caso, o worm é ativado quando o usuário clicar, por
exemplo, no anexo do e-mail e fizer o download do arquivo infectado em
questão, no segundo caso o usuário será infectado quando clicar no link que
o conduzirá há um site nocivo que instala o worm na máquina.
Os worms de e-mails utilizam dos seguintes métodos de propagação:

worms
que
contém
biblioteca
de
API
e
aproveitam–se
das
vulnerabilidades do sistema para conseguirem uma conexão direta
com servidores SMTP;

worms que utilizam serviços do MS Outlook;

worms que utilizam funções MAPI do Windows;
Os worms conseguem recolher os endereços de e-mail das máquinas
infectadas, a fim de ganhar uma maior proporção de infecção na rede
espalhando-se por todos os contatos encontrados na máquina infectada.
Essas são uma das técnicas utilizadas pelos worms após infecção:

fazer varredura na máquina infectada, em busca dos locais onde se
encontram os arquivos que contêm os endereços da agenda e dos
contatos do MS Outlook;

enviar cópias de si mesmo para todos os remetentes de um endereço
de e-mail infectado (podendo até responder não lidos) aumentando
assim a área de infecção;

Alguns mandam cópias de si mesmo para uma base de endereços de
e-mail construída pelo próprio worm, utilizando técnica que combina
nomes de domínios comuns;
Worms de mensageiros instantâneos
De acordo com VIRUSLIST [9] estes worms possuem um único método de se
propagarem, e utilizam aplicativos de mensageiros instantâneos. O atacante
envia para todos os seus contatos de email, links falsos, que ao serem
clicados, levam a máquina alvo para um site contendo conteúdo malicioso.
Worms de Internet
De acordo com VIRUSLIST[9] estes Worms de Internet utilizam técnicas para
infectarem o máximo de máquinas possíveis, e estas técnicas utilizam:
1. espalharem o worm nos recursos oferecidos da rede;
2. explorarem vulnerabilidades que o sistema operacional ou a rede
possa apresentar;
3. penetrarem em sites ou servidores;
No primeiro caso, os worms localizam as máquinas remotas da rede e fazem
cópia de si mesmo em pastas abertas destas máquinas, com o intuito de ler e
escrever funções. Estes worms fazem a varredura de todos os recursos de
rede que estão disponíveis, utilizando os próprios serviços oferecidos pelo
sistema operacional local e, fazem varredura em vários endereços da Internet
a fim de encontrarem máquinas vulneráveis. Eles então se conectam a essas
máquinas para poder ter acesso total as mesmas.
No segundo caso, os worms varrem a Internet em busca de máquinas que
não foram corrigidas, ou seja, máquinas cujos sistemas operacionais ainda
apresentam vulnerabilidades críticas, pois não foi utilizada nenhuma forma de
correção destes erros, tais como os Services Packs do Windows.
O worm envia pacotes contendo dados ou solicitações para a máquina alvo
em formato de download. Quando este código é então executado ou
instalado, o worm infecta a máquina começando um ciclo de infecção por toda
a rede.
No terceiro caso, o processo de infecção do worm passa por dois estágios,
primeiro ele penetra, por exemplo, em um site estático da web ou em um
servidor FTP qualquer, depois espera o cliente acessar o(s) arquivo(s)
infectado(s). As máquinas alvos acabam se tornando plataformas de
lançamentos de novos ataques.
Worms de IRC
De acordo com VIRUSLIS [9], estes worms têm como alvos, as pessoas que
utilizam os canais de chat, conhecidos como IRC (Internet Relay Chat). O
atacante envia links falsos, ou envia arquivos contaminados para pessoas da
sala de bate-papo, esse meio é menos eficaz, pois requer que o receptor
confirme e execute o arquivo recebido.
Worms de redes de compartilhamento P2P
De acordo com VIRUSLIST [9], estes worms espalham-se em arquivos e
pastas compartilhadas na rede P2P (Peer-to-Peer), e normalmente são
localizados na própria máquina local do atacante.
Uma vez que o arquivo é infectado, os programas P2P, tais como Kazzaa,
Shareaza, etc... assumem o papel de espalhar o worm para todas as
máquinas que efetuarem downloads, podendo atingir milhares de usuários.
2.2.3 TROJANS
Histórico dos Trojans
De acordo com SMITH[8], o termo Trojan que em português significa Cavalo
de Tróia surgiu na mitologia grega, o Cavalo de Tróia foi uma grande estátua
que foi utilizada como instrumento de guerra pelos gregos para poderem obter
acesso a cidade de Tróia.
A estátua do cavalo foi recheada com soldados que durante a noite abriram
os portões da cidade possibilitando a entrada dos gregos e a dominação de
Tróia. Daí surgindo à expressão “Presente de Grego” e “Cavalo de Tróia”.
No mundo virtual o Trojan Horse(Cavalo de tróia) é um programa que além de
executar funções para as quais foi projetado, também executa outras funções
normalmente maliciosas e sem o conhecimento do usuário de acordo com
VIRUSLIST[9].
Para o leitor interessado o ANEXO 7 mostra o vídeo de um trojan em
funcionamento, conhecido como Prorat.
A seguir apresentaremos brevemente como agem os Trojans. De acordo com
VIRUSLIST[9] estas são algumas das funções maliciosas que podem ser
executadas por um cavalo de tróia:

Alterar ou destruir arquivos do sistema;

Furtar senhas e outras informações importantes, como números de
cartões de crédito;

Inclusão de backdoors, para permitir que um atacante tenha total
controle sobre o computador infectado.
A popularização da Internet e a facilidade de se criar um programa cavalo de
tróia fazem com que esse método de invasão seja atualmente o mais
perigoso de todos. Ele não depende de falhas nos sistemas, são quase
indetectáveis e pelas suas facilidades de uso podem ser operados por
qualquer pessoa que tenha um pequeno conhecimento em redes.
O trojan pode vir camuflado em fotos, arquivos de músicas, aplicativos, jogos,
etc. Muitas vezes o cavalo de tróia vem anexado ao email ou pode estar
disponível em algum site na Internet.
É importante ressaltar que existem programas de e-mail, que podem estar
configurados
para
executar
automaticamente
arquivos
anexados
as
mensagens. Neste caso o simples fato de abrir a mensagem já é suficiente
para que qualquer arquivo executável anexado seja executado.
Por definição, o trojan distingue-se dos vírus e worms, por não se replicarem,
ou infectarem outros arquivos, ou se propagarem automaticamente.
Normalmente o trojan consiste de um único arquivo que necessita ser
explicitamente executado. Existem casos onde um cavalo de tróia contenha
um vírus ou worm.
Tipos de Trojans encontrados
Segundo VIRUSLIST[9], os Trojans podem ser classificados de acordo com
as ações que realizam nas máquinas infectadas.

Backdoors;

PSW Trojans;

Trojan Clickers;

Trojan Downloaders;

Trojan Droppeers;

Trojan Proxies;

Spywares;

Trojan Notificadores;

ArcBombs;

RootKits;
Nesse trabalho abordaremos: Backdoors, Geral Trojans, PSW Trojans,
Spywares e RootKits.
Backdoors
Os backdoors são os tipos mais perigosos de Trojans e os mais difundidos
hoje em dia. Estes Trojans são utilitários de administração de máquinas
remotas infectadas que se abrem para o controle externo do atacante,
podendo ser através de uma rede local ou pela Internet. Estes funcionam da
mesma maneira que os programas de administração remota usados pelos
administradores de sistemas.
A única diferença entre a ferramenta de administração remota legal e um
backdoor, é que estes últimos são lançados ao sistema sem o conhecimento
ou consentimento do usuário da máquina alvo.
Uma vez lançado, o backdoor monitora todo o sistema local, sem
conhecimento do usuário, e muitas vezes este fica invisível nos registros dos
programas ativos. Como funções o backdoor pode:

Enviar/Receber arquivos;

Lançar/Excluir arquivos;

Executar arquivos;

Excluir dados;

Reiniciar a máquina;

Resultar notificações;
Em outras palavras, os backdoors são usados por criadores de vírus para
detectarem informações confidenciais de downloads, executarem códigos
maliciosos, destruir dados, incluir máquinas em redes zumbis e assim por
diante. Portanto o backdoor combina a funcionalidade da maioria dos outros
tipos de trojans em um pacote. Os backdoors podem se propagar como os
worms, porém estes somente se espalham após um comando específico do
mestre.
PSW Trojans
Esta família de Trojans rouba as senhas do sistema, normalmente nas
máquinas das vítimas. Eles possuem um sistema de busca de arquivos que
contêm informações confidencias como senhas e números de telefones,
acessam à Internet e enviam essas informações para um endereço e e-mail
codificado no corpo do Trojan. Nesta altura, as informações serão captadas
pelo criador da praga ou pelo usuário do programa ilegal.
Alguns Trojans PSW roubam outros tipos de informações, tais como:

Detalhes do sistema (memória, espaço em disco, detalhes do sistema
operacional);

Cliente de e-mail local;

Endereço IP;

Detalhes do registro;

Senhas de games online;
Spywares
Os Spywares que em português significa “espião”, e de acordo com
MICROSOFT[12],
são
programas
que
tem
por
finalidade,
recolher
informações pessoais ou alteração da configuração do computador, podendo
alguns provocar lentidão ou o bloqueio do computador, isto sem o
consentimento do usuário.
Os Spywares podem alterar a página inicial ou até mesmo a página de
pesquisa do browser do sistema afetado, e podem também adicionar
componentes desnecessários ou indesejados ao seu browser, dificultando a
reposição das configurações para a forma original.
Segundo Norton from Symantec[13], os spywares contaminam os sistemas
através de downloads feitos em web sites suspeitos, em mensagens de email, em mensagens instantâneas e também através de conexões diretas
para compartilhamento de arquivos. Alguns spywares podem vir camuflados a
contratos de licenças do usuário final de software.
A cartilha de segurança encontrada em CERT.br[3] apresenta algumas
funcionalidades implementadas em spywares, que podem ter relação com o
uso legítimo ou malicioso, tais como:

monitorar URLs acessadas enquanto o usuário navega na Internet;

alterar página inicial apresentada no browser do usuário;

varrer arquivos armazenados no disco rígido do computador;

monitorar e capturar informações inseridas em outros programas, como
IRC ou processadores de texto;

instalar outros programas spywares;

monitorar teclas digitadas pelo usuário ou regiões da tela próximas ao
clique do mouse;

capturar senhas bancárias e números de cartões de crédito;
Capturar outras senhas usadas em sites de comércio eletrônico. Ainda
segundo a cartilha, os spywares podem agir de modo legítimo tal como em:

monitorar hábitos dos seus funcionários, desde que tal monitoramento
esteja em contrato ou em termos de uso dos recursos computacionais
da empresa;

monitorar os usuários do seu computador, para saber se a utilização da
máquina é feita de forma responsável;
Porém, na grande maioria das vezes, os programas espiões são usados para
fins maliciosos, como:
 programas cavalo de tróia que instalam spywares, além de keylooger
3
ou screenlogger4. O spyware instalado monitora os acessos a sites
visitados durante a navegação do usuário. Ao acessar sites de bancos
ou de comércio eletrônico, o keylooger ou screenlogger é ativado para
capturar as senhas bancárias e números de cartões de crédito;
O ANEXO 7 apresenta vídeo mostrando a ação do trojan Prorat com função
de keylooger e screenlogger.
2.2.4 EXPLOITS
O que são exploits?
Segundo SMITH[8] o termo exploits, em português significa explorar, e na
linguagem da Internet, é usado para fazer referência aos códigos maliciosos
3
Keylooger
- (que significa registrador do teclado em inglês) é um programa de computador do tipo
spyware cuja finalidade é monitorar tudo o que a vítima digita, a fim de descobrir suas senhas de banco, números de
cartão de crédito e afins.
4
Screenlogger - Forma
avançada de keylooger, capaz de armazenar a posição do cursor e a tela
apresentada no monitor, nos momentos em que o mouse é clicado, ou armazenar a região que circunda a posição
onde o mouse é clicado.
que
são
desenvolvidos
especialmente
para
procurarem
falhas
de
programação em aplicativos.
Os exploits podem tanto funcionar local ou remotamente em uma máquina, e
são encontrados diversos tipos diferentes, uns especializados em encontrar
falhas em sistemas operacionais, outros especializados em encontrar falhas
de programação em aplicativos, na maioria vinda na forma de arquivos
executáveis, ou oculto em emails maliciosos.
Como agem os exploits?
De acordo com SMITH[8] a maioria dos exploits encontrados exploram falhas
encontradas nos códigos da programação dos aplicativos, e estas falhas são
conhecidas como buffer overflow (estouro de buffer). O estouro ocorre quando
o programa grava informação em uma determinada variável do código que
não suporta um tamanho maior de dados que o seu previsto.
Esse acontecimento pode possibilitar que um código arbitrário seja executado
se este estiver devidamente posicionado dentro da área de memória do
processo.
O código descrito abaixo mostra um exemplo simples de um programa
vulnerável a um ataque de buffer overflow:
Void ProcessaParm (char * arg);
Void main (int argc, char *argv[])
{
If (argc >1){
Printf (“Param: %s\n”, argv[1]);
ProcessaParm (argv[1]);
}
}
Void ProcessaParm (char * arg);
Char buffer(10);
Strcpy (buffer, arg);
Printf(buffer);
}
A parte do código descrito acima que está em destaque, mostra o problema
do programa em questão, pois se a string contida em arg tiver mais que 10
caracteres haverá um “buffer overflow”.
O problema deste código ocorre na segunda linha, na função ProcessaParm,
que não trata o tamanho do parâmetro recebido na variável arg. Conforme
SMITH[8].
O buffer overflow, quando acontece de forma aleatória, normalmente causa
um crash na aplicação, isso ocorre quando um programa executa uma
operação que não está permitida pelo sistema operacional, fazendo com que
trave toda a aplicação impedindo o seu funcionamento. Porém quando um
atacante com domínio do exploit consegue induzir o buffer, este poderá ter os
mesmos privilégios de execução do aplicativo afetado.
2.2.5 ENGENHARIA SOCIAL
Conceito
Segundo MITNICK[14] a engenharia social é uma nova forma de efetuar um
ataque de forma direta, ou seja, enganar diretamente ao usuário. O
engenheiro social quando usa suas técnicas de enganar, exploram as
qualidades encontradas no ser humano, tal como, a tendência natural de
ajudar o próximo, ser educado, dar apoio, etc...
Engenharia social é definida por TÂMEGA[15] como:
[...] a aquisição de alguma informação ou privilégios de acesso
inapropriado por alguém fora da empresa, baseando-se na
construção de relações de confiança inapropriadas com as pessoas
de dentro da organização. Ou seja, é a arte de manipular pessoas
para conseguir alguma informação. O objetivo da Engenharia social,
com técnica de ataque, é enganar alguma pessoa para que ela
diretamente forneça informações, ou facilite o acesso a estas
informações. [...]
Esta técnica é utilizada por criminosos virtuais, que buscam dados e
informações de rede e computadores alvos. Normalmente os criminosos
procuram instalar ocultamente algum tipo de spyware ou outro malware com
objetivo de penetrar na rede afetada.
Os Engenheiros Sociais também atacam as próprias pessoas que utilizam a
rede alvo, com propostas instigantes ou conversas que as manipulam, e
acabam conseguindo informações que podem servir de acesso a rede alvo,
tais como, nomes de usuários, informações de máquinas, endereços IPs etc..
Eles estudam primeiramente o alvo a ser atacado, recolhendo informações
das pessoas e local onde se encontra a empresa alvo, para depois se
passarem por pessoas que trabalham na mesma empresa, ou em empresas
que oferecem serviços de Internet.
Um exemplo de engenharia social por MITNICK[15], o engenheiro social pode
vestir um terno e gravata, entrar na empresa alvo, deixar por querer um pendrive cair no elevador, e nesse pen-drive encontra-se escrito folha de
pagamento. Pode ser que algum curioso pegue esse pen-drive e coloque-o
em sua máquina para investigar os arquivos. Mas ao acessar o pen-drive, um
spyware é instalado automaticamente sem levantar suspeitas, fazendo que o
engenheiro social tenha portas abertas para acesso na máquina.
Técnicas aplicadas
Existem algumas técnicas para aplicar a engenharia social ao mundo virtual.
São elas:

Phising;

Spears Phising;

Fraudes por e-mail;
Phishing
Segundo MICROSOFT[12], esta é a forma mais usualmente aplicada. O
phishing se passa por e-mails ou sites fraudulentos que tentam convencer o
usuário a passar suas informações pessoais. Um exemplo, a vítima recebe
uma mensagem de e-mail que parece ter vindo de sua instituição financeira
pedindo-lhe que forneça informações para atualização de sua conta. Tal
mensagem fornece um link que o redireciona para uma página falsa com o
mesmo formato do site original da instituição.
Se a vítima inserir suas informações de login, senha ou outras informações
confidenciais, o criminoso poderá usá-la para roubar sua identidade.
Normalmente, estas mensagens de e-mail de phishing apresentam erros de
ortografia e de gramática, ameaças e exageros.
As tentativas de phishing se encontram em:

e-mails, mesmo quando esses parecem vir de alguma pessoa
conhecida;

sites de relacionamento social;

sites falsificados;

sites clonados;

programas mensageiros;
As Figuras 11 e a Figura12 mostram exemplos de tentativas de phishing.
FIGURA 11 - Relativa de phishing se passando por site de banco.
FIGURA 12 – Exemplo de uma mensagem de email de phishing, que inclui um endereço
da Web fraudulento que leva ao site do golpe.
Spear phishing
De acordo com MICROSOFT[12], o Spear phishing é um golpe de e-mail
altamente direcionado, geralmente aplicado em ambientes corporativos. Esta
técnica se passa por um e-mail que parece ser autêntico e é enviado a
funcionários de uma empresa, órgão governamental, organização ou grupo. O
e-mail parece ser enviado de alguém de dentro da empresa, e contém como
anexos cavalos de tróia ou até mesmo vírus, fazendo desta uma técnica mais
sofisticada da engenharia social.
Os Spear phishers personalizam e-mails com dados encontrados em sites da
Internet, blogs ou redes sociais como Facebook ou MySpace. Esses podem
criar páginas falsas de login em sites de redes sociais para incitar as pessoas
a entrarem com informações pessoais nos sites utilizados por eles. A
Figura13 apresenta exemplo de tentativa de spear phishing.
FIGURA 13 - Relativa de tentativa de spear phishing
Fraudes por e-mail
Os e-mails fraudulentos se encontram em diversas formas diferentes, desde
um golpe que pede ajuda financeira a vítimas de um desastre, até promessas
de que você ganhou algum prêmio, tal como um carro 0 km.
Estas fraudes podem oferecer ao usuário grande quantidade de dinheiro ou
prêmios em troca de pouco ou nenhum esforço. O criador do golpe tenta
persuadir o usuário a enviar dinheiro ou informar dados pessoais que serão
usadas para roubarem a identidade e o dinheiro da vítima.
As figuras 14,15 e 16 mostram exemplos de tentativas de fraude por email.
FIGURA 14- Exemplo de fraude aplicada por email.
FIGURA 15 - Fraude por email.
FIGURA 16 - Fraude por email.
Visite http://www.rnp.br/cais/fraudes.php e veja um catalogo com milhares de
fraudes já criadas para nos enganar.
3. FERRAMENTAS E PROCEDIMENTOS COMUMENTE
UTILIZADOS PARA ATAQUES.
Este capítulo apresenta diversas ferramentas e procedimentos que o atacante
pode usar para descobrir brechas no sistema Windows XP. Para o leitor
interessado os anexos 7, 8, 9, 10, 11 e 12, apresentam vídeos com o roteiro
destas ferramentas e procedimentos para maior entendimento.
As ferramentas utilizadas para ataque em grande parte foram criadas com o
objetivo de auxiliar o administrador de redes a descobrir possíveis falhas em
seus sistemas, porém o atacante mal intencionado utiliza dessas ferramentas
para um posterior ataque.
3.1 SCANNERS DE IPS E PORTAS
Os Scanners de IPs e portas permitem ao administrador do sistema definir um
ou mais endereços IPs em uma LAN, ou até mesmo na Internet, para
posterior análise de informações geradas pelo software.
O ANEXO 8 apresenta vídeo com funcionamento da ferramenta de código
aberto Angry IP Scanner[16] que permite à partir da escolha de um IP ou uma
faixa de IP diversas funções.
3.2 SCANNERS DE REDES
As ferramentas de varredura de redes proporcionam ao administrador
funcionalidades para se fazer exploração e auditorias em redes de
computadores, procurando por portas, serviços e diversas outras funções
disponíveis na máquina alvo.
Network Mapper ou simplesmente NMAP[17] é uma ferramenta open source
para exploração de rede e auditoria de segurança. Foi projetado para mapear
rapidamente redes de computadores, utilizando pacotes IP para determinar
quais hosts estão disponíveis na rede, quais serviços (nome da aplicação e
versão) os hosts oferecem, quais sistemas operacionais (e versões de SO)
eles estão funcionando, que tipo de filtros de pacotes / firewalls está em uso,
e dezenas de outras características.
Para o leitor interessado o ANEXO 9 apresenta o vídeo com funcionamento
da ferramenta open source Nmap[17].
3.3 SCANNERS DE VULNERABILIDADES
Estes scanners procuram vulnerabilidades encontradas na(s) rede(s) alvos,
em busca de brechas nas máquinas que as compõem, ou seja, o software faz
a varredura em busca de sistemas e serviços desatualizados ou vulneráveis,
que servem como porta de entradas dos atacantes.
O Nessus®[18] é uma ferramenta projetada para automatizar os testes e
descoberta de problemas de segurança conhecidos. Normalmente, alguém,
um grupo hacker, uma empresa de segurança, ou um pesquisador descobre
uma maneira específica para violar a segurança de um produto de software.
A descoberta pode ser acidental ou por meio de pesquisa dirigida, a
vulnerabilidade quando encontrada é detalhada em vários níveis e
posteriormente divulgada para as comunidades de segurança. O Nessus é
projetado para ajudar a identificar e resolver esses problemas conhecidos,
antes que um indivíduo mal-intencionado se aproveite delas.
Para o leitor interessado o ANEXO 10 apresenta vídeo com funcionamento da
ferramenta Nessus®[18].
3.4 CAMUFLAGENS DE ARQUIVOS
A camuflagem de arquivos é uma técnica empregada quando se quer que um
arquivo seja enviado ou armazenado de forma discreta, sem levantar suspeita
do seu verdadeiro conteúdo, por exemplo, enviar para alguém o banco de
dados de senhas da empresa juntamente com arquivo de uma foto,
parecendo como se fosse um único arquivo contendo apenas uma figura.
A camuflagem também é utilizada como técnica onde o atacante esconde o
trojan, ou qualquer outra praga virtual junto com foto, ou música, ou arquivo
executável, feito isso ele distribui os arquivos camuflados na Internet no intuito
de alguém baixar. Ao fazer o download do arquivo e acioná-lo, o usuário
automaticamente baixa para sua máquina a praga virtual infectando ou
corrompendo o sistema, e muitas das vezes as infecções se passam
despercebidas pelo usuário.
Algumas pragas virtuais utilizam o método conhecido como Avkill, que em
português significa matador de antivírus, essa técnica consiste em infectar a
máquina alvo, e executar o script que pode parar todos os serviços do
antivírus, podendo até mesmo apagá-lo do sistema. Fazendo isso, outras
pragas virtuais terão total acesso a máquina, pois o antivírus não o protegerá.
Para o leitor interessado o ANEXO 11 apresenta vídeo de uma técnica
bastante simples, onde dois arquivos de extensões diferentes geram único
arquivo.
Para o leitor interessado o ANEXO 12 apresenta técnica de camuflagem em
que o trojan consegue passar sem ser detectado pelo antivírus.
Para o leitor interessado o ANEXO 13 apresenta código fonte de um
Avkill.bat.
3.5 NAVEGANDO COM IP OCULTO NA INTERNET
Muitos dos crimes cometidos na Internet acabam impunes, pois é difícil o
rastreamento dos criminosos virtuais, que utilizam métodos para eliminar
rastros da máquina atacante.
Um dos métodos utilizados consiste em navegar com IP oculto na Internet, ou
seja, navegar com o endereço IP diferente daquele real que a operadora de
Internet nos fornece. Isso é possível utilizando-se Proxys anônimos, seja na
forma de site ou de programa, tal como o site http://www.ninjacloak.com/ e o
programa ANO Browser[19] , disponível em http://www.i2p2.de/ que ocultam a
identificação do computador na rede.
Pode-se utilizar mais de um Proxy ao mesmo tempo, tornando ainda mais
oculto o IP de origem, o que torna a tarefa de rastrear o IP de origem quase
que impossível. Para o leitor interessado o ANEXO 14 apresenta vídeo com o
funcionamento das duas ferramentas citadas anteriormente.
3.6 CLONAGENS DE SITES
Muito dos golpes aplicados na Internet utilizam-se de páginas falsas onde o
usuário é iludido a entrar nos links encaminhados nas mensagens de e-mails
de phishing citados no capítulo 3. Ao clicar no link, o usuário é redirecionado a
página falsa que aparenta ser igual à página original do site em questão.
Existem nos sites clonados os mesmos formulários utilizados dos sites reais,
porém as informações enviadas nos sites falsos são redirecionadas a
computadores administrados por criminosos virtuais, que se apropriam das
informações fornecidas dos usuários enganados.
Na verdade os sites clonados são hospedados em servidores controlados
pelos criminosos e que nada tem a ver com os servidores que realmente
hospedam os sites reais. Para o leitor interessado o ANEXO 15 apresenta
vídeo mostrando maneira de clonar um site.
4. PROPOSTA PARA DEIXAR AS ESTAÇÕES COM WINDOWS
XP MAIS SEGURAS.
Este capítulo apresenta os principais softwares de segurança gratuitos
encontrados na Internet, e que em conjunto com as orientações apresentadas
nas cartilhas de segurança do ANEXO 2, nos permite configurar o sistema
operacional com maior nível de segurança e termos real noção dos perigos da
Internet.
Partindo do ponto em que o sistema operacional Windows XP já esteja
instalado na máquina, podemos seguir as recomendações abaixo:
4.1 ATUALIZAR O SISTEMA OPERACIONAL
É importante ter instalado no sistema a versão Service Packs 3. Os Services
Packs são criados para corrigir problemas e vulnerabilidades, como também
para adicionar novos recursos ao sistema operacional.
A versão SP3 a mais recente, contem 113 atualizações de segurança e 958
correções do sistema operacional. Esse Service Pack possibilita uma série de
recursos, como por exemplo, a utilização de NAP (Network Acess Protection),
detecção de Black Hole Router, que permite o sistema se proteger de
roteadores que descartam pacotes, aumentado assim o desempenho do
mesmo, também utiliza suportes a redes wireless baseadas em WPA e
WPA2, novos modelos de criptografia de redes sem fio.
Para fazer o download do Service Pack 3, acesse:
http://technet.microsoft.com/pt-br/windows/bb794714.
4.2 CRIANDO USUÁRIOS NO SISTEMA
Com o Windows XP SP3 instalado, criamos então o usuário que irá utilizar a
máquina. Em painel de controle escolhemos a opção contas de usuários.
FIGURA 17– Acessando Contas de usuário
Por questão de segurança recomenda-se criar conta limitada, e não de
administrador, pois se sua conta for indevidamente utilizada, ela não terá
permissão total no sistema.
Já se criarmos a conta como Administrador, e por ocasião a conta for utilizada
por terceiro, o atacante terá plenos poderes na máquina, podendo até criar
outro usuário para ele sempre ter portas abertas na máquina para voltar.
Devemos utilizar na nova conta criada, uma senha forte e que só o usuário
responsável saiba dela.
4.3 TORNANDO AS ATUALIZAÇÕES AUTOMÁTICAS
Agora devemos tornar as atualizações do sistema de modo automático,
fazendo com que sempre que surja uma correção, o próprio sistema verifica e
faz o download da correção, quando a máquina está conectada na Internet.
Para realizar essa tarefa, devemos clicar no Menu Iniciar e escolher o Painel
de Controle.
FIGURA 18– Acessando Painel de Controle
Dentro do Painel de Controle acessamos Atualizações Automáticas. Vide
figura 19. Devemos marcar a opção Automática (recomendado) escolhendo
Todos os Dias e a hora que for mais conveniente, quando estivermos
conectados a Internet, o sistema busca as atualizações. Vide figura 20.
FIGURA 19– Marcando opção de atualização automática
FIGURA 20– Tornando as atualizações automáticas
CONFIGURANDO FIREWALL E BLOQUEANDO SERVIÇOS
Com as atualizações automáticas acionadas, devemos habilitar o firewall do
Windows para proteção de ameaças vindas de fora da rede, vide figura 16 e
figura 17 como acionar essa opção:
FIGURA 21– Acessando Firewall do Windows
FIGURA 22– Ativando Firewall do Windows
Alguns serviços oferecidos pelo Windows ficam ativos no sistema, e muitos
não são utilizados pelos usuários, mas podem servir de portas de entradas a
invasores e pragas virtuais.
Escolhendo a aba Exceções, iremos desmarcar os serviços de conexão
remota e de outros programas que podem não ser utilizados. Vide figura 23.
FIGURA 23– Desmarcando serviços e programas desnecessários
Agora devemos acessar a aba Avançado, escolher configurações vide figura
24, e desabilitar todos os serviços encontrados, vide figura 26.
FIGURA 24– Acessando aba Avançado do firewall
FIGURA 25– Desabilitando serviços de rede
4.4 PROTEGENDO CONEXÕES E DESABILITANDO SERVIÇOS DE
CONEXÕES REMOTAS.
Algumas
funções
oferecidas
pelas
conexões
de
rede
podem
ser
desabilitadas, como o compartilhamento de arquivos e impressoras para
redes, que funciona como meio de que outros computadores façam acesso a
recursos e arquivos da máquina.
Para bloquear essas funções, acessamos Conexões de rede em Painel de
Controle, vide figura 24. Escolhendo a conexão local com clique direito do
mouse, acessamos as propriedades dessa conexão, vide figura 25. Dentro de
propriedades podemos desmarcar o serviço de compartilhamento, vide figura
26.
FIGURA 26– Acessando Conexões de rede
FIGURA 27– Acessando as propriedades da conexão local utilizada
FIGURA 28– Desmarcar compartilhamento de arquivos e impressoras para redes
Outro serviço oferecido pelo Windows que pode também ser desativado, é o
Terminal Service, que permitir conexões remotas. Para isso dentro de Painel
de Controle escolhemos Sistema, vide figura 27.
FIGURA 29– Acessando configurações do Sistema.
Dentro de Sistema escolhemos a aba remota e demarcamos as duas opções
oferecidas, vide figura 28. Isso vai impedir tentativas de conexões remotas na
máquina.
FIGURA 30 – Desmarcando opções de conexões remotas do sistema.
Voltando ao Painel de Controle acessamos Ferramentas Administrativas, vide
figura 29.
FIGURA 31– Acessando Ferramentas Administrativas
Em Ferramentas Administrativas, acessamos Serviços, conforme figura 32.
FIGURA 32– Acessando Serviços em Ferramentas Administrativas
Em Serviços vamos procurar por Telnet e desabilitaremos esse serviço, pois o
mesmo também permite conexões vindas de fora, podendo o atacante ter
total controle da máquina por essa meio, vide figura 31.
FIGURA 33 – Desativando serviços de Telnet
4.5 INSTALANDO ANTIVÍRUS E ANTI-SPYWARES
Feito as tarefas citadas anteriormente, agora podemos instalar o programa de
antivírus, aumentando assim a segurança do nosso sistema contra possíveis
contaminações.
Comparamos os seguintes antivírus, AVG [20], Avast[21], Avira[22], Microsoft
Security Essentials[23]. No ANEXO 1 foi feito uma comparação do tempo de
varredura de cada um dos antivírus citados acima.
Após a instalação do antivírus, faz se necessário a atualização do software
em busca de novas atualizações de vacinas, essa tarefa é de vital
importância, pois o antivírus desatualizado não oferece proteção.
É importante utilizar juntamente com o programa de antivírus, algum software
Antispyware, que são programas utilizados na remoção de programas espiões
que podem contaminar a máquina.
Também comparamos as seguintes software Antispyware, Spybot Search &
Destroy[24], Ad-Aware[25], Microsoft Windows Defender 7.01593[26] e
Spyware Terminator[27].
O ANEXO 2 apresenta comparativo de tempos de varredura da verificação de
cada um destes Antispywares citados.
4.6 INSTALANDO FERRAMENTAS COMPLEMENTARES
Os profissionais da Microsoft criaram uma ferramenta chamada de Microsoft
Fix It [28], que possibilita a detecção e correção de diversos erros e
problemas que o Windows possa encontrar. Muito interessante visitar a
página dessa ferramenta, disponível em http://support.microsoft.com/fixit/pt-br,
e verificar a diversidade de soluções encontradas nela.
Para finalizarmos a configuração do nosso ambiente, é importante termos a
ferramenta PSI(Personal Software Inspector) instalada em nossa máquina.
Essa ferramenta possibilita fazermos uma varredura no sistema, em busca de
softwares desatualizados e plugins nocivos que podem ser utilizados como
porta de invasão e mostra qual medida deve ser tomada para correção.
Ferramenta disponível em http://secunia.com/vulnerability_scanning/personal.
Feito todas as tarefas deste capítulo, podemos garantir uma considerável
aumento na segurança do sistema operacional. Navegando na Internet mais
bem protegida.
Mas vale lembrar que temos que tomar cuidado com todos os tipos de
ameaças que são encontradas no mundo virtual, pois o fato é que não existe
um sistema 100% seguro. Se o usuário não tomar as precações necessárias
todo o sistema se torna vulnerável, independente de ferramentas e medidas
adotas para protegê-lo.
O usuário é o principal responsável por manter o sistema atualizado, com as
devidas ferramentas de segurança instaladas. E também é o único
responsável por manter o sistema seguro, evitando a todo o custo cair em
armadilhas virtuais.
5. TESTES DO MODELO APRESENTADO
Neste capítulo iremos verificar o modelo proposto no capítulo anterior, por
meio de uma série de testes com ferramentas de auditoria. Com isso iremos
mostrar ao leitor que o modelo proposto é realmente bastante interessante.
5.1 PROGRAMAS E SITE UTILIZADOS NOS TESTES
Os programas utilizados para se testar a máquina configurada de acordo com
o capítulo 4, são:

Nmap;

Nessus;
O site utilizado para complementar os testes são:

Gibson Research Corporation (http://www.grc.com/);
5.1.1 TESTE COM O NMAP
Iremos testar nossa máquina com o NMAP utilizando o Slow Comprehensive
Scan como opção de escaneamento:
O Slow Comprehensive Scan utiliza do seguinte argumento para fazer a
analise da máquina em questão:
nmap -sS -sU -T4 -A -v -PE -PP -PS80,443 -PA3389 -PU40125 -PY g 53 --script all 192.168.0.187
Onde:
 –sS : Utiliza pacotes TCP SYN para tentar conexão com a máquina em
questão;
 -sU: utiliza pacotes UDP Scan;
 -T4: Define qual tempo;
 -A: Habilita a detecção do sistema operacional e versão;
 -PE: Envia pacotes ICMP echo;
 -PP: Time Stamp(retorna dia,hora da maquina analisada);
 -PS: Envia pacotes TCP SYN, para portas 80(HTTP) e 443(SSL);
A figura 34 apresenta do resultado do Intense Scan.
FIGURA 34 – Resultado escaneamento do NMAP Intense Scan
Podemos ver que o NMAP verificou 1000 portas, e não conseguiu obter um
resultado expressivo, ou seja, a máquina não permitiu que o NMAP
vasculhasse suas portas, isso é muito bom.
O NMAP também não conseguiu verificar qual o sistema operacional, nem
nome de usuários, nem nome da máquina, nem outras informações
relevantes, mostrando que os protocolos que fornecem essas informações
estão devidamente bloqueados.
5.1.2 TESTE COM O NESSUS
Utilizando o NESSUS para procurar vulnerabilidades na máquina teste,
obtivemos os resultados apresentados na figura 35:
FIGURA 35 – Resultado do teste do NESSUS
Podemos observar no resultado do NESSUS, que a máquina apresentou
algumas portas abertas, porém a maioria de risco pequeno, ou seja, essas
portas não oferecem risco nenhum de serem invadidas, de acordo com
informações que o próprio NESSUS fornece.
Apenas uma porta apresentou risco médio, vide figura 36 abaixo, com a
respectiva vulnerabilidade.
FIGURA 36– Informações sobre vulnerabilidade encontrada
Essa vulnerabilidade descreve que a máquina não possui um certificado SSL
nela, porém no nosso caso, isso não é verdadeiramente um problema, pois
esse certificado serve para ser utilizado em aplicações WEB, e nossa
máquina não possui essa função.
Logo pelo resultado do NESSUS podemos concluir que nossa máquina está
segura, não apresentando nenhuma vulnerabilidade grave, nem porta aberta.
5.1.3 TESTANDO COM OS SERVIÇOS DO SITE SHIELDS UP!
Utilizando dos serviços disponíveis no site Gibson Research Corporation[29]
(http://www.grc.com/), efetuamos vários testes fornecidos por esse site.
O primeiro teste verifica possíveis vulnerabilidades nos compartilhamentos de
arquivos da máquina, e o resultado foi o seguinte, vide figura 37 abaixo:
FIGURA 37– Resultado de teste de compartilhamento de arquivos
O resultado deste teste nos mostra que, a Porta 139 da máquina está
desativada, essa porta executa o serviço de NetBIOS baseado no protocolo
TCP, e responsável por arquivos e impressoras compartilhadas, que são
portas de invasão para atacantes.
O segundo teste verifica por portas comuns, se estão abertas ou fechadas,
veja figura 38 abaixo:
FIGURA 38 – Teste de portas do Shield UP
Observando a figura 38 acima, vemos que os quadrados em azul,
representam portas fechadas, e os quadrados em verde representam portas
que operam em modo invisível, ou seja, portas que operam nesse modo não
são vistas pelo lado de fora da rede. O ideal seria que todas as portas
estivessem operando em modo Stealth, porém seria necessário o uso de um
firewall mais bem projetado.
Mas no nosso caso, como usaremos o sistema operacional para o uso no
nosso dia a dia, ou seja, para o uso comum, não necessitaremos de um
firewall desse porte.
Ainda sobre a figura 38, podemos observar que não existe nenhuma porta
aberta, que é representado pelos quadrados vermelhos, tornando assim
nossa máquina um alvo difícil de ser descoberto pelos atacantes.
6. CONCLUSÃO
Os
objetivos
deste
trabalho
foram
totalmente
atingidos
visto
que,
conseguimos mostrar as principais técnicas usadas pelos atacantes quando
estes querem burlar o sistema operacional Windows XP, assim como foi
mostrado as principais pragas virtuais e os meios que devemos tomar em
manter nosso sistema seguro e livre das ameaças.
É importante destacar que não existe um sistema 100% seguro, podemos
instalar os melhores softwares de segurança existentes, porém o usuário,
mesmo que sem intenção, pode comprometer todo o esquema de segurança
do sistema, normalmente, isto acontece quando se navega na Internet sem
dos devidos cuidados.
Como trabalhos futuros pode-se investigar as novas formas de ameaças
encontradas, bem como, investigar o impacto das pragas virtuais sobre as
novas versões do Windows que apresentam novos recursos de segurança.
REFERÊNCIAS BIBLIOGRÁFICAS
1
KUROSE, James F. Redes de Computadores e a internet: uma
abordagem top-down / James F. Kurose, Keith W Ross; Tradução
Arlete Simille Marques; revisão técnica Wagner Luiz Zucchi. – 3. ed. –
São Paulo : Pearson Addison Wesley, 2006. s
2
MDGS(Millennium Development Goals) [acesso em 2011 Jan 01].
Disponível em: http://www.un.org/millenniumgoals/.
3
CERT.BR(Centro de Estudos, Resposta e Tratamento de Incidentes
de Segurança no Brasil) [acesso em 2010 Abr 25]. Disponível em:
http://www.cert.br/.
4
NETMARKETSHARE(Global Market Share Statistics) [acesso em 2011 Jan
01]. Disponível em: http://marketshare.hitslink.com/Default.aspx
5
ULBRICH. Henrique. Universidade H4C3R / Henrique Ulbrich, James
Della Valle; Revisão técnica: Ângela das Neves, Cíntia Yamashiro e
Priscila Cassetari - – 6 ed. – São Paulo: Digerati Books, 2009. S
6
IDGNOW(Notícias de tecnologia, internet, segurança, mercado, telecom
e carreira) – [acesso em 2010 Mai 14] Disponível em: http://idgnow.uol.com.br/
7
Revista Época – [acesso em 2010 jun 30] Disponível em:
http://www.revistaepoca.com.br
8
Hackers Secrets And Confessions® (Veja o Mundo Pelos Olhos de Um
Hacker) Autor: Smith 2003.
9
VIRUSLIST – [acesso em 2010 Out 10]. Disponível em:
http://www.viruslist.com/sp/index.html
10
CGI.br(Comitê Gestor de Internet no Brasil) – [acesso em 2010 Fev 05]
Disponível em: http://www.cgi.br/
11
EICAR(European Expert Group for It-Security) – [acessado em 2010 Nov 21].
Disponível em : http://www.eicar.org/
12
MICROSOFT – [acesso em 2010 Nov 25] Disponível em:
http://www.microsoft.com/pt/br/default.aspx
13
NORTON FROM SYMANTEC [acesso em 2010 Dez 01] Disponível em:
http://www.symantec.com/pt/br/
14
MITNICK. Kevin D. A arte de enganar/ Kevin D. Mitnick; William L.
Simon;Tradução: Kátia Aparecida Roque; revisão técnica: Olavo José
Anchieschi – 3. ed. São Paulo: Pearson Education do Brasil, 2003. S
15
MITNICK. Kevin D. A arte de invadir/ Kevin D. Mitnick; William L.
Simon;Tradução: Kátia Aparecida Roque; revisão técnica: Olavo José
Anchieschi - – 3. ed. – São Paulo: Pearson Education do Brasil, 2006.
16
Angry IP Scanner [download na Internet] Anton Keks; 2008 – [acesso em 2010
Jun 10]. Disponível em: http://www.angryip.org/w/Download. Software atualizado
anualmente.
17
NMAP (“Network Mapper”) [download na Internet] Gordon “Fyodor” Lyon;
2009 – [acesso em 2010 Jun 15]. Disponível em:
http://www.angryip.org/w/Download. Software atualizado anualmente.
18
Nessus® (“Network Mapper”) [download na Internet] Gordon “Fyodor” Lyon;
2009 – [acesso em 2010 Jun 10]. Disponível em:
http://www.angryip.org/w/Download. Software atualizado anualmente
19
ANO Browser [download na Internet] Autor Desconhecido; 2009 – [acesso em
2010 Jun 20]. Disponível em:
http://www.baixaki.com.br/download/anobrowse.htm.
20
AVG [download na Internet] AVG Technologies, INC.,2010 – [acesso em 2010
Jul 25.] Disponível em: http://www.avgbrasil.com.br/download-avg-internetsecurity-trial.Software atualizado anualmente.
21
AVAST [download na Internet] Eduard Kucera e Pavel Baudis,2008 – [acesso
em 2010 Jul 25.] Disponível em:
http://www.superdownloads.com.br/download/108/avast-home.Software
atualizado anualmente.
22
AVIRA [download na Internet] Avira,2008 – [acesso em 2010 Jul 25.] Disponível em:
http://www.avira.com/pt-br/free-download-avira-antivir-personal.Software
atualizado anualmente.
23
MICROSOFT SECURITY ESSENTIALS [download na Internet]
Microsoft,2010 – [acesso em 2010 Jul 25.] Disponível em:
http://www.microsoft.com/security_essentials/ Software atualizado anualmente.
24
SPYBOT SEARCH & DESTROY [download na Internet] Spybot-S&D,2008 –
[acesso em 2010 Jul 25.] Disponível em: http://www.safernetworking.org/pt/mirrors/index.html Software atualizado anualmente.
25
AD-WARE [download na Internet] LAVASOFT, 2010 – [acesso em 2010 Jul 25.]
Disponível em: http://www.lavasoft.com/products/ad_aware_free.php
Software atualizado anualmente.
26
MICROSOFT WINDOWS DEFENDER [download na Internet] MICROSOFT,
2006 – [acesso em 2010 Jul 25.] Disponível em:
http://www.microsoft.com/downloads/details.aspx?displaylang=ptbr&FamilyID=435bfce7-da2b-4a6a-afa4-f7f14e605a0d. Software atualizado
anualmente.
27
SPYWARE TERMINATOR [download na Internet] CRAWLER,LLC, 2010 –
[acesso em 2010 Jul 25.] Disponível em:
http://www.spywareterminator.com/pt/download/download.aspx . Software
atualizado anualmente.
28
MICROSOFT FIX IT CENTER [download na Internet] MICROSOFT, 2010 –
[acesso em 2010 Jul 25.] Disponível em: http://support.microsoft.com/fixit/ptbr#tab0 .Software atualizado anualmente.
ANEXO 1 – EVOLUÇÃO DAS REDES DE COMPUTADORES
HISTÓRICO DAS REDES DE COMPUTADORES
ANO
FATO
1960
A rede telefônica, era a rede de comunicação que dominava o mundo,
nesta a voz era transmitida por comutação de circuitos a uma taxa
constante entre a origem e o destino
1961
Em busca de transformar a comutação de circuitos em comutação de
pacotes, três grupos de pesquisa separadamente iniciaram seus
estudos. Sendo o primeiro Leonard Kleinrock nos laboratórios MIT usou
a teoria das filas, a comutação de pacotes baseada no tráfego em
rajadas.
1964
Paul Baran do Rand Institute começou a estudar o uso da comutação
de pacotes para a segurança da transmissão de voz para redes
militares, e na Inglaterra Donald Davies e Roger Scantlebury
desenvolviam idéias sobre a comutação de pacotes no National
Physical Laboratory
Estes trabalhos, junto com Lawrence Roberts também no MIT
lideravam o projeto de ciência de computadores na ARPA (EUA Agência de Projetos de Pesquisa Avançada).
1967
Roberts por volta de 1967 publicou a Arpanet (a precursora da grande
rede mundial- a Internet), sendo a rede de computadores por
comutação de pacotes. Os primeiros comutadores de pacotes ficaram
conhecidos como IMPs (interface message processors), processadores
de mensagens
de interface, sendo fabricados pela empresa BBN.
1969
Em 1969 o primeiro IMP foi instalado na Universidade da Califórnia com
três IMPs adicionais, depois no Stanford Research Institute, em Santa
Bárbara e na Universidade de Utah, todos supervisionados por Leonard
Kleinrock, sendo a primeira utilização um login remoto entre a
Universidade da Califórnia com o Research Institute que acabou
derrubando o sistema então com 4 nós.
1972
Por volta de 1972 a Arpanet já tinha 15 nós e foi publicamente
apresentada por Robert Kahn na Conferência Internacional de
Computadores.
O primeiro protocolo de controle de rede deste sistema foi o NCP
(network-control protocol), sendo elaborado também o primeiro
programa de e-mail por Ray Tomlinson na BBN. Devido à Arpanet ser
única na época era uma rede fechada e para se comunicar com suas
máquinas era preciso estar ligado a um de seus IMPs.
1970 a Por volta de 70 começaram a surgir outras redes de comutação de
1980
pacotes como:

Alohanet: rede de microondas via rádio que interligava as ilhas
do Avaí.

Telenet: comutação de pacotes comerciais da bbn baseada na
tecnologia Arpanet;

Taymnet e transpac: rede de comutação de pacotes franceses
O número de pequenas redes crescia cada vês mais sendo
apresentado por Robert Metcalfe os princípios de uma rede local, uma
ETHERNET Que mais tarde originariam LANs de curta distância.
O trabalho pioneiro da interconexão de redes foi supervisionado pela
DARPA (Agencia de Projetos de Pesquisa Avançada de Defesa), por
Vinton Cerf e Robert Kahn, criando uma arquitetura, uma rede de
redes baseados na criação de um protocolo, o TCP (transmission
control protocol) responsável pela entrega seqüencial e confiável de
pacotes.
Outras empresas também desenvolveram suas próprias arquiteturas de
redes, a Digital Corporation que lançou sua primeira versão rede em
1975, a DECnet interligando apenas dois computadores PDP-11, que
continuou evoluindo com o conjunto de protocolos OSI (interconexão de
sistemas abertos). A Xerox com arquitetura XNS e a IBM com
arquitetura TM, cujos reconheciam os pacotes como células e tinham
tamanho fixo.
No final da década de 70 aproximadamente 200 máquinas estavam
conectadas a Arpanet não só devido a pesquisas, mas também por ser
utilizada para comunicação militar na Guerra Fria onde toda a
comunicação passava por um computador central que se encontrava no
Pentágono, ao passar esta época de guerra a Arpanet não tinha mais
importância para os militares sendo passada então para maioria das
universidades e outros pesquisadores que foram estendendo a
comunicação por outros países chegando à década de 80 com cem mil
máquinas interligadas formando uma grande rede mundial que passou
a ser conhecida como Internet.
1983
No dia primeiro de janeiro de 1983 o protocolo TCP/IP tornou-se oficial,
sendo obrigatório estar em todas as máquinas. Em 1986 surgiu o
NSFNET o backbone primário que fornecia acesso a outros centros de
computação. Também nesta época foi desenvolvido o DNS (Domain
Name System), usado para conversão dos endereços em forma de
letras e palavras, pois são de mais fácil memorização para nós, na
forma de endereço IP de 32 bits, a linguagem dos computadores.
No outro lado do mundo o governo Francês desenvolvia o projeto
Minitel, uma rede pública de comutação de pacotes baseada num
conjunto de protocolos chamado X.25 que usava circuitos virtuais,
terminais baratos e modems embutidos, porém de baixa velocidade,
disponibilizava sites de listas telefônicas e outros, havia também sites
particulares onde eram pagas taxas pelos usuários conforme o tempo
de uso
1990
Em 1990 a Minitel já oferecia 20 mil serviços diferentes, e já era usada
por mais de 20% da população Francesa, gerando mais de 1 bilhão de
dólares por ano, e 10 mil novos empregos.
Um fato interessante é que a grande rede de computadores na França
já estava presente nas empresas, no comércio, nas residências 10
anos antes dos norte-americanos ouvirem falar em uma rede de
computadores e menos ainda em uma desenvolvida Internet.
1990 a Na década de 1990 a Arpanet deixou de existir, a Milnet e a Rede de
Dados de Defesa passaram a controlar maior parte do tráfego do
1996
Departamento de Defesa dos EUA e a NSFNET passou a ser o
backbone de conexão entre os Estados Unidos e todas as redes do
exterior, mas perdeu seu valor comercial em 1995, pois essa tarefa
passou a ser encargo dos provedores de Internet.
O Brasil entrou na rede em 1990 criando a RNP (rede nacional de
pesquisas). Em 1992 foi criada a Internet Society e já existiam 200
servidores Web em operação, nesta época as pesquisas estavam mais
voltadas para o desenvolvimento de browsers com interface gráfica, por
exemplo, Marx Andreesen com a versão beta do GUIMosaic em 1993 e
James Baker com a Mosaic Communications em 1994 que mais tarde
transformou-se na Netscape Communications Corporation. Também
nesta época a Embratel disponibilizou o acesso à rede de empresas e
usuários
particulares.
Em 1995 os estudantes usavam diariamente os browsers Mosaic e
Netscape para navegar, e pequenas e grandes empresas começaram a
utiliza-los para transações comerciais, já existindo 10 milhões de
servidores.
Em 1996 a Microsoft entrou com tudo na Web com o browser Internet
Explorer. Como o desenvolvimento avançava a cada dia, iniciaram
pesquisas por roteadores e roteamento de alta velocidade para redes
locais. e recursos como o comércio eletrônico e textos, imagens ,
multimídia e outros
1997
Criação da Standard IEEE.
1999
Criação de Gigabit Ethernet.
Começa-se a falar em P2P (peer-to-peer) devido à Napster.
2001
Lançamento do primeiro iPod da Apple.
Convergência dos telemóveis e PDAs.
2003
Lançamento do Microsoft Windows 2003 Server.
2006
Criação da WEB 2.0
Apple lança o iPod Nano, o menor iPod com tela LCD e o iPod Vídeo,
com capacidade de armazenamento de até 200GB
ANEXO 2 – CARTILHAS DE SEGURANÇA
Os documentos apresentados por esse anexo encontram-se no CD que
acompanha este trabalho, dentro da pasta <Cartilhas-de-Segurança>.
As cartilhas descrevem uma série de cuidados, dicas e curiosidades que
devemos conhecer para deixar nosso ambiente operacional seguro.
Cartilha 1: Segurança na Internet
Cartilha 2: Safernet
Cartilha 3: Segurança em redes sociais
ANEXO 3 – HISTÓRICO DOS VÍRUS
O quadro abaixo apresenta histórico dos vírus. Onde mostramos por ano
alguns dos principais vírus de computador criados nas suas respectivas
épocas.
HISTÓRICO DOS VÍRUS
ANO
FATO
1983
Fred Cohen (doutorando de engª. elétrica da Univ. da Califórnia do
Sul), batizou programas de que continham códigos maliciosos como
Vírus de Computador.
1987
Surge Brain, um vírus de computador que infecta o setor de boot de
disquetes (na época de 360 Kb), e utilizando técnicas de se tornar nãodetectável pelo sistema.
Cria-se Stoned (primeiro vírus a infectar o registro mestre de boot,
MBR) danificando o MBR da unidade de disco rígido, corrompendo
ou até mesmo impedindo a inicialização do sistema operacional
1988
O primeiro antivírus é oferecido por um programador da Indonésia. Ele
detectava o vírus Brain, o extraí-a do computador e imuniza o sistema
contra outros ataques da mesma praga.
A Internet Worm é liberada na ainda emergente Internet e atinge cerca
de 6.000 computadores.
1989
Aparece o Dark Avenger, que contamina programas rapidamente, mas
o estrago subseqüente acontece devagar, permitindo que o vírus passe
despercebido por muito tempo.
A IBM fornece o primeiro antivírus comercial e é iniciada uma
pesquisa intensiva contra as pragas eletrônicas.
No início do ano, apenas 9% das empresas pesquisadas sofreram um
ataque de vírus. No final do ano, esse número saltou para 63%.
1992
Michelangelo, o primeiro vírus a causar agitação na mídia. É
programado para sobre gravar partes das unidades de disco rígido em 6
de março, dia do nascimento do artista da Renascença. As vendas de
software antivírus disparam, embora apenas alguns casos de infecção
real sejam reportados.
1994
O autor de um vírus chamado Pathogen, na Inglaterra, é rastreado pela
Scotland Yard e condenado a 18 meses de prisão. É a primeira vez que
o autor de um vírus é processado por disseminar código destruidor.
1995
Surge o Concept, o primeiro vírus de macro. Escrito na linguagem
Word Basic da Microsoft, pode ser executado em qualquer plataforma
com Word - PC ou Macintosh. O Concept desencadeia uma explosão
no número de vírus de macro, pois são muito fáceis de criar e se
disseminar.
1999
O vírus Chernobyl, que deixa a unidade de disco rígido e os dados do
usuário inacessíveis, chega em abril. Embora tenha contaminado
poucos computadores nos Estados Unidos, provocou danos difundidos
no exterior. A China sofre prejuízos de mais de US$ 291 milhões.
Turquia e Coréia do Sul também foram duramente atingidas.
2000
O vírus LoveLetter, liberado nas Filipinas, varre a Europa e os
Estados Unidos em seis horas. Infecta cerca de 2,5 milhões a 3 milhões
de máquinas, causando danos estimados em US$ 8,7 bilhões.
2001
A “moda” são os códigos nocivos do tipo Worm (proliferam-se por
páginas da Internet e principalmente por e-mail). São descobertos
programas que criam vírus. Um deles é o VBSWorms Generator, que
foi desenvolvido por um programador argentino de apenas 18 anos.
2003
O vírus de servidor de rede SQL Slammer espalhou-se pela Internet.
Muitas redes de computador não estavam preparadas para o ataque, e
como resultado, o vírus derrubou vários sistemas importantes. O
serviço de caixa automático do Bank of America caiu, a cidade de
Seattle sofreu cortes no serviço de atendimento de emergências e a
Continental Airlines precisou cancelar vários voos devido aos erros no
sistema de passagens eletrônicas (em inglês) e de check-in.
Pelas estimativas, ele causou mais de US$ 1 bilhão em prejuízos antes
dos patches de correção e dos softwares antivírus identificarem o
problema [fonte: Lemos (em inglês)].
2004
O vírus MyDoom (ou Novarg) é outro worm que consegue criar uma
porta dos fundos no sistema operacional do computador da vítima. O
MyDoom
original
(existiram
várias
variantes)
possui
dois
desencadeadores. Um deles fazia o vírus iniciar um ataque no DoS,
começando em 1º de fevereiro de 2004. O segundo comandava o vírus
para que parasse de se distribuir em 12 de fevereiro de 2004. Mesmo
depois que parou de se espalhar, as portas dos fundos criadas durante
as infecções iniciais permaneciam ativas [fonte: Symantec].
Mais tarde, no mesmo ano, um segundo ataque do MyDoom deu à
várias empresas de sites de busca um motivo para chorarem. Assim
como outros vírus, ele buscava os computadores das vítimas com
endereços de e-mail como parte do processo de replicação. Mas,
também enviava um pedido de busca para um site de busca e utilizava
os endereços encontrados nos resultados. Eventualmente, sites de
busca - como o Google - começaram a receber milhões de pedidos de
busca partindo de computadores corrompidos. Tais ataques tornaram
os serviços mais lentos e até mesmo fizeram com que alguns travassem
[fonte: Sullivan (em inglês)].
O MyDoom se espalha através de e-mail e redes P2P (peer-to-peer).
De acordo com a firma de segurança, MessageLabs, um em cada 12
mensagens transportou o vírus pelo menos uma vez [fonte: BBC (em
inglês)]. Assim como o vírus Klez, o MyDoom podia fazer um spoof
nos e-mails para dificultar o rastreamento da fonte de infecção.
2006
O último vírus de nossa lista é o famigerado Storm Worm. Foi no fim
de 2006, que os especialistas em segurança de computadores
identificaram pela primeira vez o worm. O público começou a chamar
o vírus de Storm Worm porque uma das mensagens de e-mail tinha
como assunto: "230 mortos em temporal na Europa". Porém, as
empresas de antivírus o deram outros nomes. Por exemplo, a Symantec
o chama de Peacomm e a McAfee refere-se a ele como Nuwar. Isso
pode parecer confuso, mas já existe um vírus, de 2001, chamado
W32.Storm.Worm. Esse vírus e o worm de 2006 são programas
completamente diferentes.
O Storm Worm é um cavalo de Tróia. O seu payload é outro programa,
embora nem sempre o mesmo. Algumas versões desse vírus
transformam os computadores em zumbis ou robôs. E quando são
infectados, tornam-se vulneráveis ao controle remoto da pessoa
responsável pelo ataque. Alguns hackers utilizam o Storm Worm para
criarem um correio de botnet e usá-lo para enviar spam.
Muitas versões do Storm Worm enganam a vítima para que ela baixe o
aplicativo através de links falsos para notícias ou vídeos. O
responsável pelos ataques geralmente muda o assunto da mensagem
para refletir acontecimentos atuais. Por exemplo, um pouco antes das
Olimpíadas de Pequim 2008, uma nova versão do worm apareceu em
e-mails com assuntos como: "outra catástrofe arrasa a China" ou "o
terremoto mais letal da China". O e-mail dizia conter links para vídeos
e notícias relacionadas ao assunto, mas na verdade, clicar no link fazia
ativar o download do worm no computador da vítima [fonte: McAfee
(em inglês)].
Várias agências de notícias e blogs nomearam o Storm Worm como
um dos piores ataques de vírus em anos. Em julho de 2007, um oficial
da empresa de segurança Postini disse que a firma detectou mais de
200 milhões de e-mails contendo links para esse vírus durante um
ataque que durou vários dias [fonte: Gaudin (em inglês)]. Felizmente,
nem todas as mensagens fizeram com que alguém baixasse o worm.
Embora o Storm Worm seja largamente difundido, ele não é o vírus
mais difícil de detectar ou remover do sistema de um PC. Se você
mantém o antivírus atualizado e lembra-se dos cuidados ao receber emails de pessoas desconhecidas ou percebe links estranhos, você se
poupará de muita dor de cabeça.
2009
Conficker D que não precisa de um vetor de infecção e se propaga
através de
 HTTP
o
Downloads diários de qualquer um dos 500 dentre 50.000
domínios pseudo-aleatórios em 110 TLDs.
 Download/upload P2P
o
Usa protocolos padrões para escanear computadores
conectados em P2P via UDP, e então transfere via TCP ]
Ele bloqueia monitorações DNS e faz que uma parte do arquivo
DNSAPI.DLL bloqueie a monitoração de websites relacionados com
ferramentas
antimalware.
Desabilita
auto-atualizações.
Deleta
ferramentas antimalware Escaneia e termina processos com nomes de
ferramentas, patchs ou utilidades antimalware num intervalo de um
segundo.
ANEXO 4 – AMEAÇAS VIRTUAIS
Os vídeos apresentados por esse anexo encontram-se no CD que
acompanha este trabalho com o nome de arquivo <Ameaças-virtuais> dentro
da pasta <documentos>.
Vídeo 1: Navegar é preciso
Vídeo 2: Os invasores
Vídeo 3: Spam
Vídeo 4: Defesa
ANEXO 5 – TESTE DO ANTIVÍRUS
O vídeo apresentado por esse anexo encontra-se no CD que acompanha este
trabalho com o nome de arquivo <teste-Eicar> dentro da pasta <vídeos>.
O vídeo mostra download de um arquivo que se porta como um vírus, pois
tem seu código original alterado, porém sem risco de infectar o sistema. O
vídeo mostra como o antivírus reage ao baixar esse arquivo.
ANEXO 6 – CÓDIGO FONTE DE VÍRUS
O texto apresentado por esse anexo no CD que acompanha este trabalho
com o nome de arquivo <código-fonte-vírus> dentro da pasta <documentos>.
O texto apresenta código fonte de dois vírus, para termos idéia de como são
criados os vírus, e o que seu código malicioso faz.
ANEXO 7 – TROJAN
O vídeo apresentado por esse anexo no CD que acompanha este trabalho
com o nome de arquivo <prorat-trojan> dentro da pasta <vídeos>.
O vídeo apresenta o servidor Prorat, que pode atuar como trojan em mão
maliciosas.
ANEXO 8 – SCAN DE IP
O vídeo apresentado por esse anexo no CD que acompanha este trabalho
com o nome de arquivo <ANGRYIP> dentro da pasta <vídeos>.
O vídeo apresenta como funciona o ANGRYIP, e de que proveito o atacante
pode tirar dessa ferramenta.
ANEXO 9 – SCAN DE REDE
O vídeo apresentado por esse anexo no CD que acompanha este trabalho
com o nome de arquivo <NMAP> dentro da pasta <vídeos>.
O vídeo apresenta o funcionamento da ferramenta NMAP, e como o atacante
pode tirar proveito das informações oferecidas pelo programa rodando em um
alvo específico.
ANEXO 10 – SCAN DE VULNERABILIDADE
O vídeo apresentado por esse anexo no CD que acompanha este trabalho
com o nome de arquivo <NESSUS> dentro da pasta <vídeos>.
O vídeo apresenta o funcionamento da ferramenta NESSUS, e como o
atacante pode tirar proveito das informações oferecidas pelo programa
rodando em um alvo específico.
ANEXO 11 – UNINDO ARQUIVOS DE DIFERENTES
EXTENSÕES
O vídeo apresentado por esse anexo no CD que acompanha este trabalho
com o nome de arquivo <une-arquivos> dentro da pasta <vídeos>.
O vídeo apresenta técnica onde coloco um arquivo de foto (.jpg) junto a um
arquivo executável (.exe) qualquer, formando um arquivo(.zip) único.
ANEXO 12 – TROJAN INDETECTÁVEL
O vídeo apresentado por esse anexo no CD que acompanha este trabalho
com o nome de arquivo <Trojan-indetectável> dentro da pasta <vídeo>.
O vídeo apresenta como o atacante usando de Engenharia Social e técnica
de camuflagem de arquivos, para o antivírus da vítima e injeta o Trojan no
sistema dela, tendo total controle sobre a máquina alvo.
ANEXO 13 – CÓDIGO FONTE DO AVKILL
O vídeo apresentado por esse anexo no CD que acompanha este trabalho
com o nome de arquivo <AVKILL> dentro da pasta <vídeos>.
O vídeo apresenta um arquivo de lot(.bat) editado de forma ao ser acionado,
destruir ou parar o antivírus da máquina alvo.
ANEXO 14 – NAVEGAR COM IP OCULTO
O vídeo apresentado por esse anexo no CD que acompanha este trabalho
com o nome de arquivo <IP-oculto> dentro da pasta <vídeo>.
O vídeo apresenta o Anonymous Proxy, o programa que tem a função de
trabalhar como Proxy anônimo, que faz o número de IP da máquina utilizada
ao navegar na internet se tornar um número de IP diferente do real,
camuflando assim o verdadeiro número de IP. A segunda parte do vídeo
mostra o ocultamento de IP utilizando o serviço de Proxy anônimo em site da
Internet.
ANEXO 15 – CLONANDO SITE
O vídeo apresentado por esse anexo no CD que acompanha este trabalho
com o nome de arquivo <Clonagem-Site> dentro da pasta <vídeo>.
O vídeo apresenta técnica usada para clonar site, utilizando o Firefox e o
NetBeans. No vídeo escolho um site qualquer e clono o mesmo utilizando as
ferramentas citadas acima.