[ SEGURANÇA ] 

Conhecendo seu Inimigo  

Data do Documento: 25/03/1999
Ultima atualização: 25/03/1999
Palavras Chave: script kiddie, intrusão, hacker, segurança 
Autor: Lance E. Spitzner <lance@ptizner.net>
Tradutor: Cristiano Gerlach <vexxor@iname.com >
Arquivo: seg_inimigo.htm
Status: completo

Comentários e correções são sempre bem-vindos.


Observação:
O texto original pode ser encontrado em: http://www.enteract.com/~lspitz/enemy.html
Tradução retirada de: http://vexxor.virtualave.net/artigos/seguranca/inimigo.htm

Boa leitura!
..................................................................................................................................................................

Introdução
Meu comandante costumava me dizer que para eu me proteger contra o inimigo, primeiro eu deveria saber como é este inimigo. Esta doutrina militar se aplica prontamente para o mundo da segurança de redes. No exército, você possui certos recursos que você deve tentar proteger. Para ajudar a proteger estes recursos, você precisa saber qual é a sua ameaça e como ela vai atacar. Este artigo é sobre isto, ele discute as metodologias e ferramentas usadas pela mais comum das ameaças, o Script Kiddie

O que é o Script Kiddie?
O script kiddie é alguém procurando por um alvo fácil. Eles não procuram por informações ou companhias específicas. O seu objetivo e obter o acesso root da maneira mais fácil possível. Eles fazem isto focalizando em um pequeno número de exploits, então eles procuram pela Internet inteira, até que conseguem encontrar uma máquina que seja vulnerável (cedo ou tarde isto certamente acontecerá). 

Alguns deles são usuários avançados, que desenvolvem suas próprias ferramentas e deixam para trás as backdoors sofisticadas. Alguns não tem a mínima idéia do que estão fazendo, sabem somente digitar "go" no prompt de comando. Embora o nível técnico deles possa ser diferente, todos eles usam uma estratégia comum, procurando alternadamente por falhas específicas, para que posteriormente eles possam explorar estas falhas. 

A ameaça
A seleção randômica dos alvos é que torna o script kiddie uma ameaça. Cedo ou tarde seus sistemas e redes serão testados e escaneados, você não pode se esconder para evitar isto. Eu conheci administradores que ficaram pasmados ao ver seus sistemas serem escaneados, e eles estavam fazendo isto por dois dias e ninguém desconfiou. Não há nada de inacreditável nisso. A rede deste administrador provavelmente já tenha sido escaneada por um script kiddie, mas talvez não neste bloco, agora que ele percebeu... .

Se o ataque for limitado a algumas "escaneadas individuais", as estatísticas estão a seu favor. Com milhões de sistemas na Internet, a vantagem seria de que ninguém poderia encontrar você facilmente. Mas este não é o caso. Muitas das ferramentas são fáceis de usar e também são facilmente encontradas, qualquer um pode usá-las. O rápido crescimento do número de pessoas que estão usando estas ferramentas é alarmante. Como a Internet não tem fronteiras geográficas, esta ameaça foi rapidamente expandida pelo mundo todo. Repentinamente a lei dos números está se voltando contra nós. Com o número crescente de usuários da grande rede, não mais uma questão de "Se" mas sim de "Quando" você será testado ou escaneado. 

Este é um excelente exemplo de como a "segurança por obscuridade" pode falhar. Você pode acreditar que se ninguém sabe sobre seus sistemas, você está seguro. Outro acreditam que seus sistemas não são importantes, então, porque alguém iria escaneá-lo?. São estes sistemas que os script kiddies estão procurando, pois um sistema não protegido é fácil de exploitar, e também é fácil de derrubar. 

A metodologia
A metodologia do script kiddie é uma só. Escanear a internet por uma falha específica, quando encontrar, explorar. Muitas ferramentas que eles utilizam são automáticas, requerindo uma interação mínima. Você executa a ferramenta e então volta alguns dias depois para ver o resultados. Não existem duas ferramentas iguais, assim como não existem dois exploits iguais. Porém muitas das novas ferramentas se utilizam da mesma estratégia. Primeiro elas constróem uma base de dados dos IPs que serão escaneados e então elas escaneiam estes IPs por vulnerabilidades específicas. 

Por exemplo, vamos dizer que um usuário possuía uma ferramenta que poderia exploitar o imap do Linux. Primeiramente, eles construirão uma base de dados dos IPs que serão escaneados (IPs válidos). Uma vez que esta base de dados estiver construída, o usuário deve determinar quais sistemas estão executando o Linux. Muitos scanners atuais podem facilmente determinar isto enviando bad packets para o sistema e observando como eles respondem. Agora o usuário irá executar ferramentas que determinem quais dos sistemas Linux. Agora tudo que ele precisa é exploitar os sistemas vulneráveis. 

Você talvez pense que o scanning seja algo "ruidoso" que desperte atenção enquanto está ocorrendo. Entretanto, muitas pessoas não estão monitorando seus sistemas, e não percebem que estão sendo escaneadas (não se preocupe, às vezes, nem os administradores desconfiam disso). E também, muitos script kiddies procuram silenciosamente por um único sistema para exploitarem. Uma vez que eles tenham exploitado o sistema, eles podem usar este sistema como plataforma de lançamento para outros ataques. Assim eles podem corajosamente escanear a Internet inteira sem ter medo de serem descobertos. Se por ventura forem descobertos o culpado será o administrador dos sistema e não o hacker. 

Os resultados do scanning são também arquivados ou compartilhados com outros usuários (ou script kiddies), para que possam ser utilizados em uma data posterior. Por exemplo, o usuário constrói uma base de dados de quais portas estão abertas em sistemas Linux remotamente alcançáveis. No nosso exemplo que foi citado a cima, o usuário construiu uma base de dados dos sistemas Linux que possuem uma vulnerabilidade no imap. Entretanto, digamos que um mês depois é descoberto uma vulnerabilidade diferente no Linux em uma porta diferente também. Ao invés de construir uma nova base de dados com sistemas que possuam este problema (isto certamente consumiria um bom tempo), o usuário em questão pode rapidamente revisar sua base de dados arquivada e então testar os sistemas vulneráveis. Como alternativa, os script kiddies, trocam entre si essas bases de dados, logo, eles podem explorar sistemas vulneráveis sem nem mesmo ter escaneado tais sistemas. Isto nos leva a concluir que se o seu sistema não sofreu algum scan attack recentemente, não significa que ele está seguro!.

Os hackers mais sofisticados implementam trojans e backdoors na primeira vez que eles invadem o sistema. As Backdoors permitem acesso fácil e "furtivo" ao sistema, sempre que o hacker quiser. Já os trojans tornam o hacker indetectável. O intruso não apareceria em qualquer log, processo ou estrutura de arquivo do sistema. Assim, ele constrói uma "casa" confortável e segura, onde ele pode escanear a Internet inteira descaradamente. 

Estes ataques não são limitados a uma certa hora do dia. Muitos administradores procuram nos seus logs por testes ou scannings que possam ter ocorrido tarde da noite, acreditando que é nestas horas que os hackers atacam. Script Kiddies atacam a qualquer hora do dia. Eles também podem ficar escaneando 24 horas por dia. Você não pode ter idéia de quando o scan ocorrerá. Pois estes ataques são lançados de qualquer lugar do mundo, e, assim como a Internet não tem fronteiras geográficas, também não existe um tempo fixo (anime-se, já existe uma proposta de tempo fixo). O hacker pode lançar um ataque a meia noite no país dele, mas para você, aqui no Brasil  podem ser 3 da tarde. 

As ferramentas
As ferramentas são extremamente fáceis de usar. Muitas são limitadas a um único propósito, com várias opções de uso. Em primeiro lugar vem as ferramentas par construir bases de dados de endereços IP. Estas ferramentas são extremamente discretas e escaneiam a Internet indiscriminadamente. Por exemplo, uma ferramenta que possue as opções A, B e C. Uma letra que você escolher determina o tamanho da rede a ser escaneada. Esta ferramenta então escolhe randomicamente qual é o IP de rede para escanear. Outra ferramenta pode escanear nomes de domínio. Estas ferramentas constróem as bases de dados conduzindo transferências de zona de nome de domínio para o nomes de domínio e todos os seus sub-domínios. Os usuários podem construir bases de dados com mais de 2 milhões de IPs escaneando os domínios .com ou .edu, por exemplo.

Uma vez descobertos, os IPs são então escaneados por ferramentas para determinar as vulnerabilidades, assim como as versões do named, sistema operacional ou serviços que estejam sendo executados naquela máquina. Quando sistemas vulneráveis são descobertos, o hacker ataca. Existem várias ferramentas que combinam todos estes recursos juntos, tornando o trabalho ainda mais fácil. 

Como proteger-se contra esta ameaça?
Existem passos que você pode seguir para proteger-se contra estes problemas. Primeiramente, o que o script kiddie está procurando são invasões fáceis, eles procuram por exploits comuns. Certifique-se que o seu sistema e sua rede estão protegidos contra vulnerabilidades conhecidas. Tanto o CERT ( http://www.cert.org ) quanto o CIAC (  http://www.ciac.org ) são excelentes fontes onde você pode verificar sempre as vulnerabilidades que vão sendo descobertas. 

Uma outra maneira de você se proteger é executar somente os serviços que são necessários. Se você não precisa de um serviço, desligue-o. Se você precisa do serviço, então verifique se você possui a última versão ou se você tem todos os patches/fixes instalados. 

Como você aprendeu na seção de ferramentas utilizadas, os servidores DNS são muito usados para construir bases de dados dos sistemas que podem ser testados/escaneados. Limite os sistemas que podem fazer a transferência de zona dos seus Name Servers. Logue qualquer tentativa de transferência para zonas não autorizadas e siga-as. É altamente recomendado atualizar para a última versão do BIND, que você pode encontrar em http://www.isc.org/bind.html. E por último, observe se os seus sistemas sofrem ataques de scanning. Quando identificados, você pode rastrea-los e entender melhor o funcionamento destas ameaças e então reagir a elas.

Conclusão
O script kiddie é uma ameaça a todos os sistemas. Eles não tem nenhum preconceito,
 escaneiam qualquer sistema, em qualquer lugar do mundo, independente do valor do sistema. Cedo ou tarde seu sistema será testado/escaneado. Entendendo como funcionam, certamente você poderá proteger o seu sistema contra esta ameaça.


<=

http://www.absoluta.org      ---oOo---      verdade@absoluta.org

Copyright © 1998 - 1999  Verdade @bsoluta