Técnicas de invasão: Entendendo para se proteger

A melhor defesa é o ataque. (Sun Tzu)

Hoje, vemos muitas empresas de segurança digital empenhadas a proteger e desenvolver defesas contra novas técnicas de invasão, derrubada de servidores e etc. Porém muitas dessas empresas esquecem quanto é importante o investimento na descoberta de falhas no sistema, e acabam optando pela compra de algum software que possa resolver os problemas de segurança na empresa. A seguir veremos algumas técnicas de invasão e sua possível proteção.

Varreduras de portas – Consiste em enviar pacotes para todas as portas TCP e UDP de uma máquina para descobrir os serviços que estão em execução ou em estado de escuta. Com ela, é possível determinar o tipo de sistema operacional e o tipo dos aplicativos em uso.

Proteção – Existem firewalls que impedem este tipo de ataque permitindo que o administrador possa configurar quais serviços poderão ser visualizados para qualquer programa de varredura.

IP Spoofing – São falsificações de endereços IP, ele faz com que um pacote seja enviado com um endereço de origem de outra máquina. Com essa técnica é possível assumir a identidade de qualquer máquina da Internet.

Proteção – Um firewall pode impedir este tipo de ataque de acordo com a configuração feita pelo administrador de qual interface de rede um determinado pacote pode ser aceito. Caso um atacante envie um pacote para o firewall, como se o pacote viesse da rede interna, ele seria descartado, pois está vindo de uma interface de rede inválida.

Roteamento dirigido – Na maioria das vezes a validação de um serviço ou usuário é feito com base no endereço IP da máquina que está se conectando. Com o uso de pacotes direcionados, um atacante pode enviar pacotes para as máquinas da rede interna como se fossem enviados de uma máquina confiável. Desta forma, o atacante consegue estabelecer uma conexão válida para uma máquina da rede interna com os mesmos direitos se estivesse se conectando a partir de outra máquina.

Proteção – Este tipo de ataque é particularmente perigoso em serviços que utilizam apenas endereços IP para fazer a validação de usuários. Um firewall impede este tipo de ataque na medida em que permite que o administrador o configure para recusar todos os pacotes direcionados.

Ping O’Death – Esse ataque consiste enviar um pacote IP com tamanho maior que o tamanho máximo permitido (65535 bytes). O pacote é enviado de forma de fragmentos, pois nenhum tipo de rede permite o tráfego de pacotes deste tamanho. Quando a máquina de destino tenta montar esses fragmentos, ela poderá travar, ser reinicializada, outras mostram mensagens no console, etc.

Proteção – Um firewall impede este ataque na medida em que ele armazena e monta todos os fragmentos de pacotes IP recebidos, quando um pacote inválido é detectado, ele é descartado.

SYN Flood – O ataque consiste em enviar um grande número de pacotes de abertura de conexão, com um endereço de origem falso. Ao receber estes pacotes, o servidor coloca uma entrada na fila de conexões em andamento, envia um pacote de resposta e fica aguardando uma confirmação da máquina cliente. Como o endereço de origem dos pacotes não existe, esta confirmação nunca chega ao servidor fazendo com que a fila de conexões em andamento do servidor fica lotada. Quando o servidor percebe que a confirmação está demorando demais, ele remove a conexão da lista. Porém, se o atacante persistir em mandar pacotes seguidamente, o serviço ficará inutilizado.

Proteção – um firewall que possui um módulo especial de proteção contra ataques de SYN flood, oferece total proteção contra ataques deste tipo.

Cavalo de Tróia – é um programa disfarçado que executa alguma tarefa maliciosa. Por exemplo, ao abrir um programa x, ele instala um cavalo de tróia que abre uma porta TCP de uma máquina para invasão.

Proteção – a grande maioria dos antivírus protege a máquina desse tipo de invasão.

Mail Bomb – inunda uma máquina com diversos e-mails. Em geral, o atacante usa um script para enviar diversos e-mails e lotar a caixa postal de alguém. A sobrecarga pode provocar negação de serviço do servidor de e-mail. Um programa bastante utilizado é o Kaboom.

Proteção – existem planos de e-mail de empresas que protegem os protegem contra esses ataques, por exemplo, a Braslink.

Denial Of Service (DOS) – O ataque tem como objetivo sobrecarregar um servidor com uma quantidade excessiva de solicitações de serviços. Os ataques distribuídos de negação de serviço (DDoS) paralisaram sites como CNN, Yahoo! e ZD Net, nesses ataques são invadidos vários computadores e instalado um software, após são escolhidas as máquinas mestres (recebem comandos de ataque e comandam os agentes) e as agentes (zumbis, máquinas que concretizam o ataque). Para efetuar o ataque, o mestre fornece o IP que será atacado, o tempo de ataque e os agentes que entrarão na atividade. Alguns dos problemas causados pelo DDoS são: excesso de tráfego, pacotes UDP e TCP não fazem parte de uma conexão,  etc.

Proteção – não existe uma solução simples para resolver o problema, porém existem alguns métodos que podem ser utilizados para reduzir os riscos: Implementar mecanismos anti-spoofing, limitar a banda por tipo de tráfego, etc.

Sniffing – Sniffer é uma ferramenta utilizada para depurar problemas de rede, capturam, interpretam e armazenam pacotes que viajam por uma rede. Esses pacotes armazenam informações referentes a senhas de acesso, níveis de segurança e todas as informações sobre o que acontece no sistema. Elas foram criadas para auxiliar o administrador da rede, porém agora são usadas por crackers para roubar informações.

Proteção – uma das abordagens para derrotar sniffers seria a migração para topologias de rede comutadas. A ethernet comutada coloca cada host em seu próprio domínio, fazendo com que somente certos hosts e tráfegos de broadcast alcancem a placa de rede, evitando o armazenamento de informações relevantes.

Uma das melhores formas de proteção é montagem de uma equipe que tenha como função encontrar maneiras de burlar o sistema, para que a quebra da segurança seja descoberta antes mesmo dela acontecer. Normalmente as pessoas que cuidam da segurança do sistema acabam por pensar que não existem mais formas de invadir, porém a criatividade e o desejo do invasor por novas descobertas vão além. De nada adianta ter um sistema “todo protegido”, se sempre tem invasores buscando formas de burlar a segurança.

Autora Cristiane Del Sávio Stallivieri
Artigo do Seminário de Segurança em Desenvolvimento de Sistemas 2011-2
Revisão Thiarlei Macedo | Fonte Micreiros.com

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *