Os ataques a instalações de Informática têm se tornado cinematográficos. A
mera ameaça, ou boato a respeito, já merece destaque em órgãos da imprensa e da própria Internet. Denúncias de roubo de acervos, violações de privacidade, abertura ilegal de conteúdos, impedimento de serviços e outros têm sido freqüentes, aumentando a preocupação de usuários, sendo uma contrapartida à evolução dos próprios serviços eletrônicos.
Por exemplo, consideremos os casos envolvendo cartões de crédito. Sendo um meio de pagamento inegavelmente rápido, ágil e versátil, estes cartões têm sido alvo constante de abordagens e tentativas por parte dos espiões e malfeitores. Apesar da imagem de roubo de senhas e acessos, já foram encontradas milhares de senhas em poder de um único criminoso, que apenas as mantinha em seu poder como se fosse um “colecionador”.
Outros casos envolvem prestadores de serviços na rede, como os provedores de informações e serviços de e-mail, por exemplo. Os provedores de informações sofrem com as tentativas de alteração de suas páginas, envios de e-mails falsos, clonagem de sites, informações truncadas e dispersas, usuários fictícios, etc. Os novos sites de e-business tornam-se atrativos para roubos
e vandalismo eletrônico. Vamos abordar, neste artigo, alguns dos tipos mais habituais de ataques.
Alteração de domínios
Consiste na troca de endereçamento real de determinados domínios da Internet. Ao digitar, por exemplo, www.banco.com, um possível cliente do “Banco” é encaminhado para outro site, que não o original, porque algum criminoso alterou o endereço final de acesso. Desta forma, se o site for
“clonado”, o usuário poderá digitar informações e fornecer dados sigilosos, que estarão de posse dos detentores desta cópia.
Este mecanismo já foi utilizado para cópia de sites de acesso a bancos, órgãos públicos e serviços de mídia, levando usuários à confusão e causando transtornos para os reais detentores. Em 1997 ocorreu a distribuição na rede de uma tabela de tradução de domínios (serviço DNS) que continha erros.
Apenas este dano involuntário ocasionou indisponibilidade e grandes problemas no uso da Internet, sendo que seu impacto foi sentido por dias (muitos servidores são atualizados automaticamente, sem intervenção humana, e passaram a falhar, então).
Cavalos de Tróia (Trojan Horse)
Idêntico ao fato enunciado pelos contos épicos, estes arquivos – geralmente executáveis – têm um nome, uma hipotética identidade, mas realizam outras atividades. Entre as características, temos programas que, enquanto exibem informações ou animações vão, em paralelo, destruindo os seus arquivos em disco rígido, outros apagam arquivos com algumas extensões e assim por diante.
O problema com estes arquivos malignos é o fato de, com sua identificação falsa, iludirem aos usuários, pois têm nomes divertidos ou relativos a fatos recentes, que enganam os que os recebem. A prevenção, nestes casos, fica substancialmente dificultada. Casos como estes foram os recentes “Happy99”, “Iloveyou” e variações, onde os nomes e identificações de mensagens e
arquivos anexos a elas, iludiam os usuários, fazendo-os não só serem infectados, mas participarem involuntariamente do processo de distribuição dos mesmos, que se replicam de forma automática.
Roubos de senha
Os terminais de vídeo e as estações conectadas em rede habitualmente possuem um pequeno programa, por vezes chamado de “monitor” que permite um nível limitado de programação – para, por exemplo, utilizar recursos gráficos de tela, como vídeos reversos, piscantes, brilhantes, etc. Um recurso eletrônico utilizado para acesso indevido às senhas e códigos de usuários
(pode ser, por exemplo um número de conta bancária ou de cartão de crédito) é desenvolver e instalar ali um programa que simule o processo de “login” em uma rede.
Uma vez em execução, este programa irá permitir ao seu proprietário, conhecer todas as entradas emitidas pelo usuário, “abrindo” a identificação digitada, capacitando-o a usá-la posteriormente. Já presenciamos o uso de funções de suporte deste programa monitor em terminais de vídeo, que ao serem ativadas, emitiam os códigos hexadecimais dos caracteres digitados em tela. Ao invasor bastava traduzir os códigos, usando uma simples tabela de transcrição, e ter acesso aos dígitos informados, passando a poder se “logar” como aquele usuário.
Este tipo de ação deu origem a tipos de vírus e “vermes” que capturam códigos e senhas em redes e em sistemas multiusuário, “quebrando” a segurança dos mesmos, liberando estas informações aos invasores.
Ddos – Denial of Service
Verdadeiro “sucesso” de ataques no início do ano 2000, estes crimes consistiram na replicação de um programa que encaminharia requisições a sites de comércio eletrônico e prestação de serviços ininterruptamente, assim que ativados. Estas cópias ficaram armazenadas em instalações às quais os atacantes tiveram possibilidade de invadir.
Uma vez “chegada a hora”, os requisitores de serviços (como, por exemplo, chamadas de servidores de e-mail), iniciavam um processo sistemático de requisição, chegando, no total, a encaminhar centenas de milhares de solicitações a um mesmo endereço. Ao alocar, continuamente, recursos para o atendimento às requisições encaminhadas, o site de serviços acabava por não conseguir atender a demanda pela simples exaustão de capacidade, pela falta
de recursos de memória e banda. As demais requisições – muitas delas verdadeiras – não podiam, portanto, ser atendidas.
Alguns destes sites passaram horas indisponíveis, o que fez a contabilização de centenas de milhares de dólares em perspectivas de negócios não realizados. Ocorre, portanto, o impedimento ao uso dos serviços. Existem algumas variações deste tipo de dano, tendo como alvo instalações de difusão de sinais de áudio e vídeo, servidores de FTP e WWW.
Invasões de Sites (Backdoor)
Funciona ao instalar num computador conectado a uma rede um programa cliente que permite a um programa servidor utilizar esta máquina sem restrições. Estes programas foram desenvolvidos originariamente para tele-atendimento, útil função onde um profissional de suporte controla a máquina de um usuário visando esclarecer uma dúvida, ou verificar um problema operacional qualquer.
Algumas alterações maliciosas e este programa foi colocado a serviço “do mal”, pois como um programa cliente permite abrir, durante uma conexão Internet, uma “porta traseira” de acesso (backdoor) na estação usuária, habilitando o invasor a controlar a máquina completamente – eliminando, copiando e criando arquivos, impedindo o uso de periféricos, avariando o acesso à determinados serviços, tendo acesso à acervos e informações sigilosas, etc.
Alguns destes programas atingiram níveis perigosos de sofisticação e foram utilizados para ataques a grandes instalações. A exemplo dos vírus, o mecanismo de “abertura” de portas acha-se atualmente incorporado em diversos ataques de vírus e de invasões, sendo agora um mecanismo agregado a estas invasões, para que o atacante consiga acesso às informações do computador
invadido.
Sugador de pacotes (“Packet Sniffer”)
Programas e agentes (programas diminutos, que rodam em ambientes de pequeno porte e em redes, com poucos recursos), capturam “pacotes” TCP/IP transmitidos em redes, interceptando-os. Neste momento, cópias destes podem ser feitos, partes de transmissões serem interceptadas e eliminadas, impedindo a comunicação, etc.
Teoricamente, estes programas permitiriam que informações encaminhadas na Internet ou em redes diversas, pudessem ser clonadas, copiadas e destruídas. O princípio também foi retirado de programas de suporte e auxílio ao usuário, levando a criar outra ferramenta de destruição de serviços.
Enchentes (“Flood”)
É um tipo de ataque Ddos, que objetiva solicitar todas as requisições disponíveis em um servidor, levando-o a não conseguir mais absorver o fluxo advindo dos usuários normais. O termo YNFlood vem sendo aplicado ao tipo de ataque que envolve a manipulação dos sinais de sincronismo (chamados de SYN) no início do estabelecimento de uma conexão TCP/IP.
Desta forma, a estação ficaria “em suspenso” aguardando uma mensagem de reconhecimento de conexão, que jamais chegará. Com muitas “esperas” deste tipo, um novo atendimento torna-se impossível ou a velocidade de atendimento normal cai para tempos inaceitáveis.
“IP Spoofing”
Assusta saber que este tipo de serviço é disponibilizado em sites da Internet com propagandas e links diversos, como se fora um site comercial. Este recurso objetiva que o número de IP de máquina conectada à rede não possa ser identificado. Desta forma, muitos dos serviços de segurança disponíveis deixam de funcionar, incluindo os “rastreamentos” que permitem a
identificação de segurança das fontes de origem de ataques.
Nas páginas consultadas, obviamente não incluídas, surpreendeu a existência de versões para sistemas operacionais diversos, informações do uso e patrocínio do uso dos “softwares” sendo oferecidos. A tese de que se destinariam a pesquisas, experimentos ou outras funções mais nobres não procede, uma vez que, geralmente, as próprias páginas recomendavam seu uso maligno.
“Ping da Morte” (Ping of Death)
Recurso que consiste no envio de pacotes TCP/IP de tamanho inválidos para servidores, levando-os ao travamento ou impedimento de trabalho. Este recurso foi muito utilizado no início dos provimentos Internet no Brasil, para o impedimento de serviços. Atualmente são bloqueados por boa parte dos sistemas básicos de segurança.
Exploração de “furos” em sistemas, servidores e clientes Não param de ocorrer casos e informações (verídicas, em sua maioria, posto que são reconhecidas pelos fornecedores) sobre mau funcionamento de programas deste tipo, que podem permitir aos invasores que atuem da forma como quiserem.
Tomamos conhecimento, recentemente, de um caso onde um invasor aproveitou-se de um “furo” (mau funcionamento) de um servidor de impressão de um sistema Unix, que havia sido informado num arquivo de atualização, em versão posterior. O atacante pôs-se a procurar um sistema que funcionasse à base daquela versão do Unix, conseguindo encontrá-la após alguma pesquisa. O
“furo” consistia numa operação inválida que o permitia ter acesso a funções privativas do sistema operacional, ao alcance do super-usuário.
De posse destas funções, sucessivamente, instalou ali um servidor de “chat” que visava atender – às custas do processamento em máquina alheia – às suas conversas com amigos. O servidor, após muitos problemas de atendimento aos seus reais usuários, foi recuperado com a eliminação do programa de “chat”, reinstalado em seqüência pelo invasor. Na segunda desinstalação, este
aproveitou novo acesso à máquina conectada para destruir arquivos e avariar a instalação do sistema de forma irrecuperável, levando à parada do sistema e conseqüentes prejuízos.
Vemos, noticiado na imprensa, constantemente que a versão X do servidor ou cliente Y, possui uma falha de segurança – através da qual um atacante ou invasor poderia se servir para perpetrar seus crimes – reconhecida pelo fabricante, que já teria disponibilizado sua correção em seu site. Este tipo de comportamento não deve ser visto como habitual, as questões de violação de segurança são críticas e como tais devem ser relevadas.
Conclusão
Mostramos aqui, com a intenção de consciência e da prevenção, diversos tipos de ataques promovidos hoje nos sistemas informatizados. Lamentavelmente esta relação cresce dia após dia, dada a criatividade de potenciais criminosos que atuam numa nova esfera, a da propriedade da informação e de serviços associados que, senso comum, é hoje um dos maiores patrimônios da
humanidade, quer nos negócios, quer na vida cotidiana.
O acompanhamento e manutenção da segurança patrimonial no tocante às informações e serviços de tecnologia da informação é responsabilidade dos profissionais de suporte e auditores de sistemas, que têm como prioridade de suas ações profissionais a garantia de funcionamento e propriedade de suas instalações. Porém, os cuidados na preservação e manutenção de acervos são problemas que afetam a todos, desde o operador, passando pelo usuário até mesmo chegando aos projetistas de soluções de TI que devem se preocupar com a segurança, incluindo-a como base em suas novas criações.
George Leal Jamil (glja…@brfree.com.br ou glja…@zaz.com.br) é Professor
Universitário, Engenheiro Eletricista e Mestre em Ciência da Computação.
Escritor, Articulista e Consultor de Tecnologia da Informação.
FONTE: http://www.malima.com.br
Dê sua opinião nos comentários.
Filed under: TI | Tagged: internet, segurança | Leave a comment »