[ SEGURANÇA ]
Conhecendo seu Inimigo
Data do Documento: 25/03/1999
Ultima atualização: 25/03/1999 Palavras Chave: script kiddie, intrusão, hacker, segurança Autor: Lance E. Spitzner <lance@ptizner.net> Tradutor: Cristiano Gerlach <vexxor@iname.com > Arquivo: seg_inimigo.htm Status: completo Observação: O texto original pode ser encontrado em: http://www.enteract.com/~lspitz/enemy.html Tradução retirada de: http://vexxor.virtualave.net/artigos/seguranca/inimigo.htm Boa leitura!
Introdução
O que é o Script Kiddie?
Alguns deles são usuários avançados, que desenvolvem suas próprias ferramentas e deixam para trás as backdoors sofisticadas. Alguns não tem a mínima idéia do que estão fazendo, sabem somente digitar "go" no prompt de comando. Embora o nível técnico deles possa ser diferente, todos eles usam uma estratégia comum, procurando alternadamente por falhas específicas, para que posteriormente eles possam explorar estas falhas. A ameaça
Se o ataque for limitado a algumas "escaneadas individuais", as estatísticas estão a seu favor. Com milhões de sistemas na Internet, a vantagem seria de que ninguém poderia encontrar você facilmente. Mas este não é o caso. Muitas das ferramentas são fáceis de usar e também são facilmente encontradas, qualquer um pode usá-las. O rápido crescimento do número de pessoas que estão usando estas ferramentas é alarmante. Como a Internet não tem fronteiras geográficas, esta ameaça foi rapidamente expandida pelo mundo todo. Repentinamente a lei dos números está se voltando contra nós. Com o número crescente de usuários da grande rede, não mais uma questão de "Se" mas sim de "Quando" você será testado ou escaneado. Este é um excelente exemplo de como a "segurança por obscuridade" pode falhar. Você pode acreditar que se ninguém sabe sobre seus sistemas, você está seguro. Outro acreditam que seus sistemas não são importantes, então, porque alguém iria escaneá-lo?. São estes sistemas que os script kiddies estão procurando, pois um sistema não protegido é fácil de exploitar, e também é fácil de derrubar. A metodologia
Por exemplo, vamos dizer que um usuário possuía uma ferramenta que poderia exploitar o imap do Linux. Primeiramente, eles construirão uma base de dados dos IPs que serão escaneados (IPs válidos). Uma vez que esta base de dados estiver construída, o usuário deve determinar quais sistemas estão executando o Linux. Muitos scanners atuais podem facilmente determinar isto enviando bad packets para o sistema e observando como eles respondem. Agora o usuário irá executar ferramentas que determinem quais dos sistemas Linux. Agora tudo que ele precisa é exploitar os sistemas vulneráveis. Você talvez pense que o scanning seja algo "ruidoso" que desperte atenção enquanto está ocorrendo. Entretanto, muitas pessoas não estão monitorando seus sistemas, e não percebem que estão sendo escaneadas (não se preocupe, às vezes, nem os administradores desconfiam disso). E também, muitos script kiddies procuram silenciosamente por um único sistema para exploitarem. Uma vez que eles tenham exploitado o sistema, eles podem usar este sistema como plataforma de lançamento para outros ataques. Assim eles podem corajosamente escanear a Internet inteira sem ter medo de serem descobertos. Se por ventura forem descobertos o culpado será o administrador dos sistema e não o hacker. Os resultados do scanning são também arquivados ou compartilhados com outros usuários (ou script kiddies), para que possam ser utilizados em uma data posterior. Por exemplo, o usuário constrói uma base de dados de quais portas estão abertas em sistemas Linux remotamente alcançáveis. No nosso exemplo que foi citado a cima, o usuário construiu uma base de dados dos sistemas Linux que possuem uma vulnerabilidade no imap. Entretanto, digamos que um mês depois é descoberto uma vulnerabilidade diferente no Linux em uma porta diferente também. Ao invés de construir uma nova base de dados com sistemas que possuam este problema (isto certamente consumiria um bom tempo), o usuário em questão pode rapidamente revisar sua base de dados arquivada e então testar os sistemas vulneráveis. Como alternativa, os script kiddies, trocam entre si essas bases de dados, logo, eles podem explorar sistemas vulneráveis sem nem mesmo ter escaneado tais sistemas. Isto nos leva a concluir que se o seu sistema não sofreu algum scan attack recentemente, não significa que ele está seguro!. Os hackers mais sofisticados implementam trojans e backdoors na primeira vez que eles invadem o sistema. As Backdoors permitem acesso fácil e "furtivo" ao sistema, sempre que o hacker quiser. Já os trojans tornam o hacker indetectável. O intruso não apareceria em qualquer log, processo ou estrutura de arquivo do sistema. Assim, ele constrói uma "casa" confortável e segura, onde ele pode escanear a Internet inteira descaradamente. Estes ataques não são limitados a uma certa hora do dia. Muitos administradores procuram nos seus logs por testes ou scannings que possam ter ocorrido tarde da noite, acreditando que é nestas horas que os hackers atacam. Script Kiddies atacam a qualquer hora do dia. Eles também podem ficar escaneando 24 horas por dia. Você não pode ter idéia de quando o scan ocorrerá. Pois estes ataques são lançados de qualquer lugar do mundo, e, assim como a Internet não tem fronteiras geográficas, também não existe um tempo fixo (anime-se, já existe uma proposta de tempo fixo). O hacker pode lançar um ataque a meia noite no país dele, mas para você, aqui no Brasil podem ser 3 da tarde. As ferramentas
Uma vez descobertos, os IPs são então escaneados por ferramentas para determinar as vulnerabilidades, assim como as versões do named, sistema operacional ou serviços que estejam sendo executados naquela máquina. Quando sistemas vulneráveis são descobertos, o hacker ataca. Existem várias ferramentas que combinam todos estes recursos juntos, tornando o trabalho ainda mais fácil. Como proteger-se contra esta ameaça?
Uma outra maneira de você se proteger é executar somente os serviços que são necessários. Se você não precisa de um serviço, desligue-o. Se você precisa do serviço, então verifique se você possui a última versão ou se você tem todos os patches/fixes instalados. Como você aprendeu na seção de ferramentas utilizadas, os servidores DNS são muito usados para construir bases de dados dos sistemas que podem ser testados/escaneados. Limite os sistemas que podem fazer a transferência de zona dos seus Name Servers. Logue qualquer tentativa de transferência para zonas não autorizadas e siga-as. É altamente recomendado atualizar para a última versão do BIND, que você pode encontrar em http://www.isc.org/bind.html. E por último, observe se os seus sistemas sofrem ataques de scanning. Quando identificados, você pode rastrea-los e entender melhor o funcionamento destas ameaças e então reagir a elas. Conclusão
|