Quem é vulnerável?
Redes de computadores são usadas todos os dias por corporações e várias outras organizações. As redes de computadores permitem que os usuários troquem uma vasta quantidade de informações ou dados muito eficientemente.
Usualmente redes corporativas não são desenvolvidas e implementadas com uma certa segurança em mente, mas sim para terem uma funcionalidade e eficiência máximas, embora isto seja bom do ponto de vista empresarial, os problemas de segurança certamente aparecerão depois, e as empresas gastarão muito dinheiro para resolvê-los, na direta proporção do tamanho de suas redes.
Muitas redes corporativas e privadas funcionam baseadas no princípio Cliente-Servidor, onde os usuários utilizam workstations para conectarem-se as servidores e compartilharem as informações. Este documento irá concentrar-se na segurança do servidor, que é o alvo primordial dos crackers pois se ele consegue acesso a este computador, que geralmente é o mais bem protegido da rede, é muito fácil conseguir acesso as restante da rede.
leia mais!...
Os elementos vulneráveis de um ataque em grande escala, normalmente incluem:
- Instituições financeiras e bancos; - ISPs (provedores de internet); - Companhias farmacêuticas; - Governo e agências de defesa; - Empresas multinacionais.
Embora muitos desses ataques são feitos pelos próprios funcionários da empresa, que já tem senhas de acesso a determinados setores, nos concentraremos nas técnicas utilizadas pelos invasores de fora da rede.
Instituições financeiras e bancos são testados e atacados justamente para cometer fraudes, como desvio de dinheiro, transferências, etc. Muitos Bancos já foram atacados desta forma, colocando em risco seus fundos monetários. A política adotada pela maior parte dos bancos é a de não revelar que sofreram um ataque, pois certamente perderiam clientes e a confiança se o ataque for levado ao conhecimento público.
Provedores Internet são sem dúvida o alvo mais comum dos crackers, pois são facilmente acessados através própria Internet e muitas vezes eles têm acesso a conexões de fibra óptica velozes que podem ser utilizadas para transferir grandes quantidades de dados pela rede. Os grandes provedores possuem uma base de dados dos clientes, que usualmente contém números de cartões de crédito, e outras informações confidenciais como nomes e endereços. Estas informações podem ser de muita valia para o cracker.
Companhias farmacêuticas são vítimas das principais tentativas de espionagem industrial, onde os crackers serão muito bem pagos em troca de dados confidenciais dessas companhias. Como todos sabem, tais companhias gastam milhões em pesquisa e desenvolvimento de novas drogas e tudo isso pode ser perdido se ocorrerem roubo de dados.
Nos últimos 6 anos as agências do governo e de defesa dos Estados Unidos foram vítimas de milhares de ataques originários da Internet. Devido ao baixo orçamento destinado a segurança da informação e às fracas políticas de segurança de tais agências, a segurança da informação tem sido um campo de batalha e os servidores do governo e servidores militares têm sido constantemente testados e atacados pelos crackers.
Empresas Multinacionais são os principais exemplos de tentativas de espionagem industrial. Multinacionais possuem escritórios e filiais espalhadas pelo mundo todo, e geralmente são instaladas grandes redes para que a comunicação e troca de dados entre estes escritórios ou filiais seja possível. A NSS têm feito testes de invasão em muitas destas corporações e nós concluímos que muitas delas (e não são poucas) estão com sua segurança comprometida.
Assim como as companhias farmacêuticas, as multinacionais que estão operando com o ramo de eletrônica, software ou relacionado com computadores também gastam milhões na pesquisa e desenvolvimento de seus produtos, e é muito tentador para um competidor contratar uma equipe de crackers para roubar dados da corporação-alvo. E tais dados podem ser usados para dar um grande "empurrão" em tal corporação, fazendo com que esta absorva a tecnologia e conhecimento da outra empresa, resultando em enormes perdas para a corporação-alvo, já que a empresa que contratou os crackers não precisará gastar para desenvolver sua própria tecnologia.
Uma outra forma de ataque adotado pelos competidores "infiéis" das outras corporações e derrubar a rede corporativa por certo período de tempo, E isso pode causar a perda de um bom dinheiro, dependendo do tipo da empresa-alvo. Em muitos casos é extremamente difícil localizar a fonte de tal ataque. Dependendo da segmentação interna da rede, este tipo de ataque pode ser altamente eficiente e resultar, como já foi dito antes, em uma perda massiva de dinheiro. Este "Joguinho sujo" é comum hoje em dia, e precisa ser considerado seriamente.
Perfil de Cracker de sistemas típico
Os estudos têm mostrado que um cracker de sistemas típico é usualmente do sexo masculino, com idade entre 16 e 25 anos. Os crackers geralmente estão interessados em entrar nas redes para aumentar suas habilidades ou utilizar os recursos da rede para seu próprio propósito. Muitos crackers são bastante persistentes em seus ataques, isto é devido a quantidade de tempo livre que ele possuem (alguns trabalham no setor e os mais jovens não trabalham, sobrando muito tempo livre para a execução dos ataques).
Uma alta porcentagem de crackers são oportunistas, e rodam scanners para checar um número massivo de hosts ou redes a procura de vulnerabilidades no sistema remoto. Identificando os hosts ou redes vulneráveis, o cracker poderá obter acesso root ao sistema, logo ele poderá instalar backdoors e alguns chegam até a instalar patches no host, para evitar que outros cracker invadam esta mesma máquina usando as mesmas técnicas.
Os oportunistas operam primariamente dois domínios: o primeiro sendo da Internet e o segundo sendo de redes telefônicas.
Para escanear hosts internet a procura de vulnerabilidades remotas comuns, o cracker irá preferencialmente lançar o seu ataque a provedores que tenham conexão de fibra ótica ou a backbones rápidos.
Para escanear máquinas ligadas à redes telefônicas, como Terminal Servers, BBSs ou sistemas de Correio de voz. O cracker usará um tipo de programa chamado de "Wardialing", que escaneará automaticamente um grande quantidade de números telefônicos por sinais de "carrier" (um sinal de carrier seria quase como aquele sinal que você ouve quando seu modem disca para seu provedor internet), que no caso identificam tais sistemas.
Uma porcentagem pequena de crackers definem antes os alvos e os tipos de tentativas para o ataque, tais indivíduos são mais qualificados e adotam técnicas de "cutting-edge" para atacar uma certa rede. Estes tipos de crackers geralmente atacam redes de grandes empresas, que possuem proteção de firewalls, explorando vulnerabilidades não publicadas ou não conhecidas e também explorando os recursos que essas redes possuem.
As redes e hosts que são alvos deste tipo de cracker possuem usualmente dados confidenciais, como dados de pesquisa e desenvolvimento de projetos ou quaisquer tipos de dados que sejam úteis a ele.
Alguns crackers também têm acesso a exploits e ferramentas utilizados por analistas de segurança de grandes companhias, e as utilizam para escanear máquinas definidas a procura de vulnerabilidades remotas. Este tipo de cracker é geralmente muito paciente, e perde muitos meses coletando dados antes de tentar acesso a estas redes e/ou computadores.
Metodologias de Networking adotadas por muitas companhias
Uma corporação típica uma certa presença na Internet pelos seguintes propósitos:
- A hospedagem de servidores corporativos; - E-mail e outras comunicações globais via Internet; - Fornecer aos funcionários o acesso a Internet.
A NSS têm executado testes de invasão para algumas empresas podemos ver que um ambiente de rede diferente é adotado, onde a rede corporativa e a internet são separadas por firewalls e proxies.
Em tais ambientes, o webserver corporativo e os mail-servers são às vezes deixados "do lado de fora" da rede da empresa e as informações são transmitidas por canais confiáveis para a rede interna.
No caso, estes canais confiáveis presentes em mailservers externos e hosts da rede interna da corporação, uma política bem pensada de "filtragem" deve ser posta em ação, como por exemplo configurar os mailservers para somente conectar à porta 25 de um único servidor seguro da rede corporativa, isto já irá diminuir massivamente a probabilidade de acessos não autorizados, quando um mailserver externo for comprometido.
Em uma das redes corporativas que a NSS executou testes de invasão, tinha um bocado de "dual-homed" hosts, estes hosts possuem as interfaces de rede ativas tanto na Internet como na rede interna da empresa. Do ponto de vista de segurança, tais hosts que operam em redes múltiplas podem ser uma séria ameaça à segurança da rede, pois estes hosts fazem simplesmente uma "ponte" entre as duas redes, portanto se você tem acesso a este host, tem acesso a rede da empresa (remotamente!).
Entendendo as vulnerabilidades destes sistemas de rede.
Na Internet, a corporação tem 5 webservers externos, 2 mailservers externos e um firewall ou algum sistema de filtragem implementado.
Os webservers, usualmente não são atacados por crackers que esperam ganhar acesso a rede corporativa, a menos que um firewall está configurado de alguma maneira que permita ao cracker acessar a rede da empresa através do webserver. Embora seja sempre bom Ter seus webservers seguros e rodar TCP wrapers para permitir que somente clientes confiáveis se conectem as portas de telnet e ftp.
Os mailservers são alvos de crackers que tentam acessar a rede interna, pois o mailserver é uma máquina que necessita ter acesso a rede corporativa para trocar e distribuir as mensagens entre a rede interna e a Internet. Novamente dependendo da "filtragem" da rede em questão, o ataque pode ou não ser efetivo para o lado do cracker.
Roteadores de filtro também são alvos comuns de crackers, com ataques agressivos de SNMP-Scanning e password crackers do tipo força-bruta. Se tal ataque for efetivo, o roteador pode facilmente tornar-se um bridge, dando então acesso não autorizado a rede.
Neste tipo de situação, o cracker avaliará exatamente quais hosts externos ele ele teve acesso, e então tentará identificar qual o nível de confiança entre estes hosts e a rede corporativa. Então, se você instalar TCP Wrappers em todos os seus hosts externos, Você define que somente as partes confiáveis poderão comunicar-se em portas críticas de seus hosts, que são usualmente:
Código:
ftp (21), ssh (22), telnet (23), smtp (25), named (53),
pop3 (110), imap (143), rsh (514), rlogin (513), lpd (515).
SMTP, named e portmapper precisam ser configurados de acordo, dependendo da sua função na rede. Tudo isso pode reduzir bastante o risco de ataque a uma rede corporativa.
Nos casos de redes com uma política de "corporação para Internet" não muito clara, certamente existirão multiple-homed hosts e roteadores com configuração imprópria. A falta de uma segmentação da rede interna também existirá, e isto tornará muito fácil a um cracker baseado na Internet, Ter acesso não autorizado a rede interna.
O mapeamento da rede corporativa pode facilmente ocorrer se os servidores de DNS externos estão configurados de maneira imprópria. A NSS tem feitos testes de penetração bem sucedidos, e foi possível mapear a rede corporativa através de servidores DNS impropriamente configurados, por isso, é muito importante que servidores DNS não existam entre os hosts da rede corporativa e os hosts da rede externa, está muito longe de ser seguro simplesmente utilizar endereços IP para conectar as máquinas da rede corporativa com a rede externa e vice-versa.
Hosts inseguros com interfaces de rede ativas em redes múltiplas podem ser forçadas para obter acesso e rede corporativa muito facilmente.
Os Hosts inseguros nem mesmo precisam estar comprometidos, é muito fácil abusar do finger daemon em um host que permita o forwarding... assim como usuários, hosts e outras informações da rede podem ser coletadas para identificar hosts "exploitáveis" na rede corporativa, o sistema operacional de um host pode ser determinado em muitos casos pelo uso de um pedido de finger para root@host, bin@host e daemon@host.
Alguns crackers estão adotando agora, técnicas relativas ao "wardialling" nos próprios locais das empresas como edifícios e centros de operações.
Se um cracker conseguisse encontrar e comprometer um terminal server, ele poderia ter um certo grau de acesso a rede corporativa, obviamente "passando direto" por firewalls e filtros que separam a rede corporativa da Internet. Portanto, é muito importante identificar e certificar a segurança de seus terminal servers. Logar as conexões para os servidores é também extremamente recomendado.
Quando tentamos entender as vulnerabilidades dos sistemas de rede, um ponto chave para lembrar-mos é a "confiança" entre os hosts de sua rede e o uso de TCP wrappers, arquivos hosts.equiv, arquivos .rhosts ou .shosts. Muitas das grandes redes são usualmente atacadas justamante explorando a confiança entre os hosts.
Por exemplo, se um agressor usa um exploit CGI para visualizar o seu arquivo hosts.allow, ele pode encontrar todas as suas portas para conexões telnet e ftp para *.euconfio.com. É claro, o agressor pode então Ter acesso a qualquer host no sub-domínio euconfio.com, e obter acesso a eles facilmente.
Por estas razões, é sempre uma boa idéia certificar-se que os seus hosts confiáveis estão seguros contra um ataque remoto.
Um outro ataque que deve ser mencionado é a instalação de trojans e backdoors nos hosts corporativos (como máquinas Windows 95/98), se os funcionários tem acesso a Internet utilizando um proxy de aplicação e um firewall, as vezes eles podem visitar sites Warez para fazer o download de softwares piratas.
Tais sites Warez, muitas vezes tem um programa de screensaver e outros utilitários a oferecer, que em alguns casos podem conter trojans como o Back Orifice. Com a instalação do screensaver, o trojan infecta o registro da máquina e é carregado toda a vez que a máquina inicia.
No caso do Back Orifice, podem ser adicionados alguns plugins para fazer a máquina executar certas operações automaticamente, como por exemplo, conectar-se a servidores de IRC e entrar em determinados canais e coisas assim. Não parece mas isto pode ser muito perigoso e mostra que uma máquina da sua rede pode ser controlada remotamente por alguém na Internet facilmente.
O trojan BO é infinitamente mais efetivo se o cracker já tem acesso a rede corporativa, ou se o cracker em questão é um empregado da empresa que tem um acesso não autorizado aos hosts da corporação. O Trojan BO poderia ser instalado em cada máquina Windows 95/98 em poucas semanas se o cracker utilizar a estratégia correta, após ele ter o controle remoto total das máquinas em questão, ele pode manipular arquivos, reiniciar máquinas, formatar drives, etc, remotamente.
[editar]
Técnicas para ocultar a localização dos agressores
Crackers típicos usualmente usarão as seguintes técnicas para esconder seu endereço IP real:
- Conectar-se através de hosts comprometidos via. telnet ou rsh. - Conectar-se através de hosts windows via Wingates. - Conectar-se através de hosts utilizando proxies configurados impropriamente.
Se você desconfia que um cracker mantém sempre a rotina de escanear os seus hosts de máquinas já comprometidas, wingates ou proxies, é aconselhável contatar o administrador da máquina por telefone e notificá-lo dos problemas. Nunca mande um E-mail ao administrador se o seu caso for este, pois o cracker pode interceptar a mensagem antes que ela chegue ao seu destino.
Os crackers mais talentosos que estão aptos a invadir hosts através de telefone, podem usar as seguintes técnicas:
- Conectar-se através de números do tipo "0800" de centrais telefônicas privadas antes de se conectar a um Provedor Internet utilizando contas crackeadas ou roubadas;
- Conectar-se a um host por telefone, e conseqüentemente, à Internet.
Os crackers que adotam estas técnicas especiais de conexão (Bouncing) através de redes telefônicas são extremamente difíceis de rastrear, porque eles podem estar, literalmente em qualquer lugar do mundo, Se uma cracker pode fazer um dialup para um número 0800, ele pode conectar-se a máquinas em qualquer lugar do globo sem se preocupar com custos.
Network probing e coleta de informações
Antes de iniciar um ataque a uma rede corporativa através da internet, o cracker típico executará alguns testes preliminares nos hosts externos da rede que estão ligados de alguma forma à Internet. Ele tentará obter os nomes de hosts externos e internos, usando as seguintes técnicas:
- Usando nslookup para executar comandos tipo "ls ". - Visualizar o código HTML nos seus webservers para tentar identificar outros hosts. - Visualizar documentos armazenados em seus servidores de FTP. - Conectar-se aos seus mail servers e executar comandos tipo "expn ". - Dar um Finger e identificar os usuários em hosts externos.
Crackers normalmente tentam obter informações sobre o "layout" da sua rede em primeiro lugar, ao invés de tentar identificar as vulnerabilidades específicas.
Observando então os resultados dos "pedidos" acima mencionados, é geralmente fácil para o cracker construir uma lista de hosts e entender as relações existentes entre eles.
Quando executar estes testes preliminares, o cracker pode cometer, sem saber, alguns pequenos erros, como as vezes utilizar seu próprio IP para conectar-se a portas de suas máquinas para checar as versões do sistema o outros pequenos detalhes. Então, se você acha que talvez seus hosts estejam de alguma forma comprometidos, seria uma boa idéia checar os logs de FTP e HTTPD e verificar qualquer registro anormal.
Identificando componentes de rede confiáveis
Os crackers procuram por componentes de rede confiáveis para atacar, pois um componente da rede considerado "confiável" e usualmente uma máquina dos administradores ou um servidor qualquer que seja considerado seguro.
O cracker iniciará conferindo o fluxo de dados NFS para qualquer das máquinas que estejam executando nfsd ou mountd, o caso é que aqueles diretórios críticos em alguns hosts (como /usr/bin/, /etc, e /home por exemplo) podem ser somente acessados (e montados por um host confiável.
O finger daemon é freqüentemente abusado para identificar hosts e usuários confiáveis que se logam com freqüência em hosts específicos.
O cracker irá então verificar suas máquinas por outras formas de "confiabilidade". Por exemplo, ele pode "exploitar" uma máquina utilizando alguma vulnerabilidade no CGI e então Ter acesso ao arquivo /etc/hosts.allow.
Após analisar os dados decorrentes das checagens mencionadas acima, o cracker poderá iniciar a identificação das partes confiáveis da sua rede entre os hosts. O próximo passo seria então identificar quaisquer hosts confiáveis que possam ser suscetíveis a algum tipo de vulnerabilidade remota.
Identificando componentes de rede vulneráveis
Se o cracker elaborar listas de hosts externos e internos da sua rede, ele usará programas para Linux tais como ADMhack, mscan, nmap e alguns scanners simples para procurar por vulnerabilidades específicas nestes hosts.
Usualmente tais "escaneadas" em seus hosts externos terão origem de máquinas com conexões rápidas (geralmente conexões de fibras óticas), o ADMhack por exemplo, requer ser executado por um usuário root em uma máquina Linux, então logicamente o cracker utilizará uma máquina Linux com uma conexão rápida, da qual ele tenha conseguido algum acesso ilegal e tenha instalado um rootkit ou algo semelhante nela. Esse rootkit é usado para instalar backdoors em binários críticos do sistema, para tornar o acesso do cracker neste host indetectável.
Os administradores destes hosts que são usados para escanear hosts corporativos externos usualmente não fazem idéia que esta tarefa esteja sendo executada por suas máquinas, pois binários como "ps" e o "netstat" possuem trojans para ocultar os processos de scanning. Qual o administrador que inicialmente desconfiará que existe um trojan no comando ps?. Essa é a essência da coisa.
Outros programas tais como mscan e nmap não requerem ser executados como root, e podem ser lançados de máquinas Linux (ou outras plataformas, no caso do nmap), para identificar efetivamente vulnerabilidades remotas, todavia estes scanners são lentos e geralmente não podem ser ocultados muito bem (já que o agressor não necessita ter acesso root, que é o caso do ADMhack)
Tanto o ADMhack como mscan executam os seguintes tipos de teste em hosts remotos:
- Um TCP portscan neste host. - Dump do serviço RPC rodando através do portmapper. - Uma listagem dos dados exportados via nfsd. - Listagem dos compartilhamentos (shares) via samba ou netbios. - Pedidos de Finger múltiplos para identificar "contas default". - Escaneamento de Vulnerabilidades de CGI. - Identificação de versões vulneráveis de server daemons incluindo Sendmail, IMAP, POP3, RPC status e RPC mountd.
Programas como o SATAN raramente são usados pelos crackers atuais (ou melhor informados) pois estes tipos de scanners são lentos e procuram por vulnerabilidades já obsoletas.
Após executar o ADMhack ou mscan nos hosts externos, o cracker terá uma boa idéia dos hosts vulneráveis e dos hosts seguros.
Se existirem roteadores e estes possuírem capacidades para SNMP, então os crackers mais avançados adotarão técnicas do tipo "agressive-SNMP scanning" e também tentarão ataques "brute force".
Tomando vantagem dos componentes de rede vulneráveis
Se o cracker identificou qualquer host externo confiável então ele também identificou algumas vulnerabilidades deste host. Se algum componente vulnerável de sua rede foi identificado, então ele tentará comprometer seus hosts.
Um cracker paciente não invadirá seus hosts em hoas normais de expediente, ele usualmente lançará seu ataque entre 21:00 às 6:00 horas da manhã seguinte, isto reduzirá probabilidade de alguém descobrir o ataque, e dará ao cracker um bom tempo para instalar backdoors e sniffers em suas máquinas sem se preocupar com a presença de administradores de sistema. Muitos crackers tem a maior parte de seu tempo livre nos fins de semana e muitos ataques são feitos nos longos sábados e domingos.
O cracker poderá invadir um host confiável externo, que poderá ser usado como ponto de referência para lançar um ataque a uma rede corporativa. Dependendo da proteção entre a rede corporativa externa e interna, esta técnica pode ou não funcionar.
Se o cracker invade um servidor de e-mail externo, pode ser que ele consiga acesso total a um segmento da rede interna, e então ele pode iniciar um trabalho para tentar entrar em uma camada mais profunda da rede.
Para invadir ou comprometer muitos componentes da rede, os crackers usarão programas para explorar remotamente versões vulneráveis de server daemons executando em hosts externos, tais daemons incluem versões vulneráveis do Sendmail, IMAP, POP3 e serviços RPC como statd, mountd e pcnfsd.
Muitos exploits remotos usados pelos crackers são lançados de hosts previamente comprometidos, pois em muitos casos estes exploits precisam ser compilados na mesma plataforma usada pelo host do qual eles querem usar o exploit. Por exemplo, um exploit para solaris deve ser, necessariamente ser compilado em uma máquina solaris.
Ao executar tal programa remotamente para exploitar um server daemon vulnerável rodando em algum host extreno da sua rede, o cracker usualmente obtém acesso root ao seu host, que pode ser abusado para obter acesso a outros hosts da rede corporativa.
Quando o acesso a componentes vulneráveis da rede é obtido
Depois de explorar um server daemon, o cracker uma operação de "limpeza", cuidando dos logs e dos binários que contém backdoors, para que a sua presença não seja notada depois.
Primeiramente o cracker iniciará a implementação de backdoors, para que ele possa mais tarde Ter acesso ao sistema. Muitas backdoors que os crackers usam já são pré-compiladas, e as técnicas que são adotadas para mudar a data e a permissão dos novos binários que contém backdoors, em alguns casos sempre tem o mesmo tamanho e o novo binário têm o mesmo tamanho do binário original. Os agressores têm consciência dos Logs de transferências por FTP, então eles podem usar o programa "rcp" para transferir seus backdoors para os hosts em questão.
É improvável que tal cracker invadindo uma rede corporativa iniciará seu ataque instalando "patches de vulnerabilidades" em seus hosts, geralmente ele instalará backdoors e trojans em binários considerados críticos como o "ps" e o "netstat" para ocultar quaisquer conexões que ele por ventura venha fazer em seu host.
São instalados backdoors nos seguintes "binários críticos" em máquinas solaris 2.x:
Código:
/usr/bin/login
/usr/sbin/ping
/usr/sbin/in.telnetd
/usr/sbin/in.rshd
/usr/sbin/in.rlogind
Alguns crackers também sabem colocar um arquivo .rhosts no diretório /usr/bin para permitir acesso remoto ao host via rsh e csh. (em modo interativo).
A próxima coisa que o cracker precisa fazer é checar o host por qualquer presença de sistemas de logging que possam ter logado suas conexões a este host, então ele procederá editando tais conexões e apagando sua presença e assim sucessivamente até conseguir eliminar totalmente sua presença do sistema. Se você tem uma máquina "muito visada" ou se você desconfia que uma máquina sua possa estar sendo utilizada indevidamente, seria bastante aconselhável direcionar os logs a uma impressora, isto tornaria extremamente difícil para o cracker eliminar sua presença do sistema.
Ao certificar-se que sua presença não está mais logada de forma alguma, o cracker procederá com a sua invasão a rede privada corporativa. Muitos crackers não irão se aborrecer explorando vulnerabilidades em outros hosts externos se eles já possuem acesso a sua rede interna.
Fazendo o Download de informações sigilosas
Se a meta do cracker é fazer o download de informações sigilosas ou sensíveis de servidores FTP ou webservers na rede interna da corporação, ele pode fazer isto de um host externo que esteja atuando como um "bridge" entre a Internet e a rede interna.
Porem, se a meta do cracker e fazer o download de informação sensível armazenada entre os hosts da rede interna, ele tentará obter acesso e eles pelo abuso da confiança que o host externo que ele está utilizando possui.
Crackeando outros hosts e redes confiáveis
Muitos crackers simplesmente repetirão os passos descritos nas seções 3.2, 3.3, 3.4 e 3.5 para testar e obter acesso aos hosts de uma rede corporativa interna, dependendo do que o cracker está tentando obter, trojans e backdoors talvez não sejam instalados nos hosts internos da sua rede.
Se o cracker desejar obter acesso total aos hosts da rede interna, ele instalará trojans e backdoors e remover os logs citados na seção 3.6. Eles poderão também instalar sniffers en seus hosts, isto será explicado na seção 4.3.
Se o cracker meramente quer fazer o download de dados de servidores "críticos" ele tentará diferentes tipos de aproximações para obter acesso aos seus hosts, Identificando e atacando então tais hosts que são confiáveis aos servidores também considerados "críticos".
Instalando Sniffers
Uma maneira extremamente efetiva dos crackers obterem rapidamente uma grande quantidade de usernames e passwords dos hosts da rede interna é usar programas especiais chamados de "Ethernet Sniffers". Os tais sniffers (farejadores) precisam operar na mesma ethernet usada pelo host do qual o cracker deseja obter acesso, ele não será efetivo se for executado em um host externo que esteja sendo usando como bridge por exemplo.
Para "farejar" o fluxo de dados em uma rede interna, o cracker precisa fazer uma invasão remota ao um host e obter acesso root, este host precisa ter também o mesmo número de Ethernet dos outros host internos. As técnicas mencionadas nas seções 3.2, 3.3, 3.4, 3.5 e 3.6 são adotadas aqui, já que o cracker precisa acessar e instalar backdoors no host para certificar-se que o sniffer possa ser instalado e usado efetivamente. Depois de invadir, instalar as backdoors e instalar trojans nos binários "ps" e "netstat", o cracker instalará o ethernet sniffer no host. Os sniffers usualmente são instalados nos diretórios /usr/bin ou /dev (no Solaris 2.x), eles são também modificados para que se pareçam com um binário do sistema qualquer.
Muitos ethernet sniffers executam em modo "background" e produzem um arquivo de log na máquina local, é importante lembrar que o cracker terá uma backdoor instalada no "ps", para que este processo não seja percebido pelo administrador.
Tais etherent sniffers funcionam mudando a interface de rede para o chamado "modo promíscuo", esta interface então "ouve" e manda os dados para o arquivo de log do sniffer quaisquer usernames, passwords ou outros dados que possam ser usados para obter acesso a outros hosts da rede.
Por estes programas estarem instalados em ethernets, literalmente quaisquer dados que trafegam na rede podem ser "farejados"; tanto o tráfego de dados que passa pelor este host como o tráfego que sai dele pode ser farejado.
O cracker usualmente retornará uma semana depois e fará o download do arquivo de logs que o sniffer produziu. No caso de uma rede corporativa ter uma brecha como esta, está mais do que claro que o sniffer funcionará muito bem, e dificilmente será detectado se uma boa política de segurança não for implementada.
Um excelente utilitário usado por administradores conscientes é o "TripWire" disponível no site do COAST (veja seção 5.2). O Tripwire faz uma espécie de MD5 (checkSum) em seu sistema de arquivo e notificará qualquer mudança feita neles.
Para detectar interfaces de redes promíscuas (um sinal comum de instalação de sniffers), a ferramanta "cpm" disponível no site da CERT é muito útil, veja o endereço http://www.cert.org/ft/tools/cpm/ para mais informações.
"Tomando" redes
Se o cracker pode comprometer servidores considerados críticos que estejam executando aplicações como bases de dados, operações de sistemas de rede ou outras "funções críticas", ele pode facilmente "tomar" a sua rede por um certo período de tempo.
Uma técnica cruel, mas não usual adotadas pelos cracker que tentam desabilitar as funções da rede, é a de deletar todos os arquivos dos servidores principais, usando o comando "rm -rf / &" neste servidor. Dependendo da política de backups do sistema, ele poderá ficar por horas inutilizável ou até meses.
Se o cracker obteve acesso a sua rede interna, ele poderá abusar das vulnerabilidades presentes em muitos roteadores como Cisco, Bay e Ascend. Em alguns casos ele pode resetá-los ou desligá-los até que o administrador tome providências e os reative. Isto pode causar grandes problemas com a funcionalidade da rede, já que o cracker montou uma lista dos roteadores vulneráveis que executam papéis fundamentais na rede (se eles forem usados em algum backbone corporativo, por exemplo). O cracker pode então facilmente desabilitar a rede da corporação por algum tempo. Por este motivo, é fundamental que os roteadores e servidores de "missão critica" sejam especialmente verificados, instalando patches e cuidando de sua segurança.
creditos:infor hacker
[Tutorial]tecnicas crackers para tomarem rede(Servidor)
Publicada 10/09/2009 10:24:00 da manhã
Categoria Tutoriais
Subscrever:
Enviar feedback (Atom)
0 comentários:
Enviar um comentário