UNIVERSIDADE TUIUTI DO PARAN

Luiz Carlos Roth

TESTE DE INVASO COM USO DE SOFTWARE LIVRE E

FERRAMENTAS OPEN SOURCE EM REDES CORPORATIVAS

CURITIBA
2011

Luiz Carlos Roth

TESTE DE INVASO COM USO DE SOFTWARE LIVRE E

FERRAMENTAS OPEN SOURCE EM REDES CORPORATIVAS

Monografia apresentada ao Curso de

Especializao em Redes de Computadores, da
Universidade Tuiuti do Paran, como requisito
parcial para obteno do grau de Especialista.
Orientador: Prof. Msc. Roberto Neia Amaral

CURITIBA
2011

Luiz Carlos Roth

TESTE DE INVASO COM USO DE SOFTWARE LIVRE E

FERRAMENTAS OPEN SOURCE EM REDES CORPORATIVAS

Esta monografia foi julgada e aprovada para a obteno do grau de

Especialista em Redes de Computadores no Programa de Ps Graduao da
Universidade Tuiuti do Paran.

Curitiba, 17 de Novembro de 2011.

Orientador: Prof. Msc. Roberto Neia Amaral

Coordenador: Prof. Msc. Roberto Neia Amaral

AGRADECIMENTOS

Agradeo a Deus, que me deu vida e inteligncia, e que

me d fora para continuar a caminhada em busca dos
meus objetivos.
Aos Professores pela dedicao no ensino, que sem suas
importantes lies e ajudas no teria sido concretizado.
Aos meus pais, que me ensinaram a no temer desafios e
a superar os obstculos com humildade.
minha noiva pelo incentivo e apoio durante a realizao
do trabalho.
Aos amigos da rea de Tecnologia, pelas sugestes
dadas para a realizao da pesquisa.
E aos demais, que de alguma forma contriburam na
elaborao desta monografia.

RESUMO
A presente pesquisa apresenta os principais meios de se invadir redes corporativas,
utilizando de ferramentas de cdigo aberto. Busca tambm mostrar aos
administradores de rede as tcnicas e ferramental que podem ser usados por
atacantes ao invadir redes e sistemas. Alm de apresentar as ferramentas os
conceitos utilizados tambm so explorados, possibilitando ao leitor um melhor
entendimento para correto uso e aplicao de um conjunto de ferramentas. Com
essa avaliao proposta na pesquisa, pode o administrador de rede focar nos
potenciais problemas e brechas existentes no ambiente digital, direcionando os
recursos e investimentos para correo de vulnerabilidades antes de serem
exploradas.

Palavras chaves: Teste de invaso, correo de vulnerabilidades, redes

corporativas.

ABSTRACT
This paper presents the main ways to break into corporate networks using open
source tools. It also seeks to show network administrators the tools and techniques
that can be used by attackers to break into networks and systems. In addition to
presenting the concepts used tools are also explored, allowing the reader a better
understanding for the correct use and application of a set of tools. With this proposed
evaluation research, the network administrator can focus on potential problems and
gaps in the digital environment, directing resources and investments to correct
vulnerabilities before they are exploited.

Keywords: Penetration testing, vulnerability remediation, corporate networks.

LISTA DE FIGURAS
FIGURA 1 VARREDURA TCP Connect() ....................................................................... 25
FIGURA 2 VARREDURA TCP SYN (half-open) ............................................................ 26
FIGURA 3 VARREDURA TCP Null ............................................................................... 27
FIGURA 4 VARREDURA TCP FIN ................................................................................ 28
FIGURA 5 VARREDURA TCP Xmas ............................................................................. 29
FIGURA 6 VARREDURA TCP ACK .............................................................................. 31
FIGURA 7 VARREDURA DE JANELA TCP .................................................................. 32
FIGURA 8 VARREDURA TCP Maimon ......................................................................... 33
FIGURA 9 VARREDURA TCP OCIOSA (IDLESCAN) PASSO 1 ............................... 35
FIGURA 10 VARREDURA TCP OCIOSA (IDLESCAN) PASSO 2 ............................. 36
FIGURA 11 VARREDURA TCP OCIOSA (IDLESCAN) PASSO 3 ............................. 37
FIGURA 12 VARREDURA FTP Bounce ......................................................................... 38
FIGURA 13 VARREDURA UDP ..................................................................................... 39
FIGURA 14 METASPLOIT FRAMEWORK: GUI .......................................................... 46
FIGURA 15 METASPLOIT FRAMEWORK: INTERFACE WEB ................................... 47
FIGURA 16 MANTENDO O ACESSO ............................................................................ 49

LISTA DE TABELAS
TABELA 1 COMANDOS PARA BUSCA DE HOSTS VIVOS ....................................... 22
TABELA 2 EXEMPLO USANDO A FERRAMENTA DNSSPOOF E ETTERCAP ........ 44
TABELA 3 SINTAXE EXPRESSES METASPLOIT FRAMEWORK .......................... 45

SUMRIO
1 INTRODUO ....................................................................................................... 9
2 SEGURANA EM REDES CORPORATIVAS .................................................... 11
2.1 PORQUE REALIZAR O TESTE DE INVASO.................................................. 12
2.2 DIFERENAS ENTRE UMA SIMULAO E UM ATAQUE REAL....................12
3 OBTENO DE INFORMAES ....................................................................... 13
3.1 ENGENHARIA SOCIAL..................................................................................... 13
3.2 TRASHING......................................................................................................... 14
3.3 WHOIS............................................................................................................... 15
3.4 DNS.................................................................................................................... 15
3.4.1 COLHENDO ENTRADAS DNS....................................................................... 16
3.5 GOOGLE HACKING.......................................................................................... 18
4 VARREDURAS .................................................................................................... 20
4.1 WARDRIVING................................................................................................... 21
4.2 MAPEAMENTO DE REDES.............................................................................. 21
4.2.1 Busca por hosts vivos....................................................................................... 22
4.2.2 Deteco de Servios....................................................................................... 22
4.2.3 Deteco de Sistemas Operacionais............................................................... 23
4.2.4 Port Scan.......................................................................................................... 23
4.3 VUNERABILIDADES......................................................................................... 39
5 INVASO............................................................................................................. 40
5.1 SNIFFING.......................................................................................................... 40
5.2 SEQUESTRO DE DNS..................................................................................... 41
5.3 ATAQUES A AQUIVOS HOSTS....................................................................... 43
5.4 SEQUESTRO DE DNS..................................................................................... 43
5.5 METASPLOIT FRAMEWORK........................................................................... 44
5.6 QUEBRA ONLINE DE SENHAS....................................................................... 47
6 MANTENDO O ACESSO .................................................................................... 49
7 CONCLUSO ...................................................................................................... 51
REFERNCIAS......................................................................................................... 52
GLOSSRIO ............................................................................................................. 54

9
1

INTRODUO

Com a crescente utilizao e necessidade de Tecnologia da

Informao nas empresas, o nmero de dispositivos de Sistemas de
Informao tem crescido assim como seu uso tem se tornado maior. Sejam
eles: Computadores, Notebooks, Netbooks, Tablets ou Smartphones. Com
todos esses dispositivos sendo utilizados conseqentemente existem vrios
meios de acesso a rede corporativa, atravs da rede local ou Internet, tendo o
departamentos de tecnologia da informao a funo de prover recursos e
mecanismos que facilitem o uso das informaes pelos usurios, que utilizam
de tecnologia nas suas operaes dirias, assim como contribuir para a
tomada de deciso de gestores que fazem uso da informao digital.
Para garantir que as informaes de empresas no sejam acessadas
por pessoas indevidas, ou at mesmo comprometidas, criou-se um conceito
definido como Teste de Invaso, onde preferencialmente um Profissional
Snior da rea de redes, com grande conhecimento da rea utiliza de
tcnicas usadas por Hackers para simular e efetivar uma invaso na rede da
empresa, procurando identificar e documentar as brechas existentes na
empresa alvo para posterior correo.
Procurando desmistificar as metodologias utilizadas por atacantes e
algumas das principais ferramentas utilizadas, este trabalho apresenta a
metodologia utilizada para o ataque,

em que um profissional assume a

funo de um hacker tentando acessar e comprometer os sistemas de uma

empresa. Vemos neste documento a Fase de Planejamento, obteno da

10

informao, mtodos de varreduras, ao de invaso e formas de manter o

acesso.

11

SEGURANA EM REDES CORPORATIVAS

H diversas formas de se tratar a segurana de uma rede, sistema ou

aplicao, e o teste de invaso apenas uma delas. Cada uma tem suas
caractersticas, vantagens e desvantagens, ento muito importante entender as
semelhanas e diferenas entre elas para saber se de fato o que a empresa
precisa realmente um Pen Test (simulao de um acesso sem autorizao,
burlando servidores e mecanismos de defesa em uma rede) ou outro tipo de
avaliao. Ao fazer um Pen Test feito uma simulao de um ataque real aos
alvos selecionados, de acordo com as caractersticas pr-determinadas com o
responsvel pela ao na empresa. importante reforar o quanto isso
diferente, por exemplo, de uma simples avaliao de segurana, que identifica
pontos potencialmente vulnerveis sem testar de fato se aquilo representa um
risco real a empresa, bem como o impacto e risco associado quela
vulnerabilidade.
Algumas vezes difcil justiar o ROI (Return of Investimet) de um teste
de invaso para os tomadores de deciso. preciso mostrar os custos
resultantes de um ataque bem sucedido (ou mesmo, por exemplo, a falta de
lucro que um site comercial fora do ar causa) e compar-lo ao custo de um teste
de invaso, que pode indicar o quo protegida e infreaestrutura de TI est deste
risco (http://www.seginfo.com.br/auditoria-teste-de-invasaopentest-planejamentopreparacao-e-execucao/. Acesso em: 24 jul. 2011).
Cada vez mais, normas internacionais esto pedindo teste de invaso
peridicos procurando regulamentar corporaes que querem entrar em
conformidade com as mesmas.

12

2.1

PORQUE REALIZAR O TESTE DE INVASO

Muitas vezes existe um esforo grande dos administradores de rede para

tonar um sistema extremamente seguro de um lado e acaba sendo esquecido
um ou outro elemento. Para um atacante, no importa quanta segurana foi
colocada no componente X ou Y. Se h uma brecha em Z, por l que o sistema
ser invadido. De nada adianta, por exemplo, firewalls duplos, redundncia e
IDSs distribudos se o usurio usa a senha 1234. Embora parea srdico um
dos mtodos mais eficientes de se entrar em sistemas adivinhando a senha,
conforme ser visto ao longo desta pesquisa.

2.2

DIFERENAS ENTRE UMA SIMULAO E UM ATAQUE REAL

Embora parea haver semelhana entre um ataque real e uma

simulao, h uma srie de diferenas entre os dois tipos de ataques, dentre
elas: Metodologia utilizada com a rvore de ataques, documentao das aes
realizados com registros dos comandos realizados e telas. Existe tambm uma
preocupao com a empresa em no expor os dados sensveis encontrados
durante o ataque, bem como limitao de at onde o ataque pode ser avanar de
forma que no comprometa a integridade dos dados. Alm destes itens no teste
de invaso planejado deve existir uma documentao com autorizao para esta
ao.

13

OBTENO DE INFORMAES

H muita informao que se pode obter de forma ativa ou passiva sobre

alvos potenciais, e fcil se perder em meio a uma enxurrada de dados no
necessariamente teis para o ataque, portanto para obteno de informaes foco
essencial.

3.1

ENGENHARIA SOCIAL

O modo mais simples de ser obter uma informao pedindo por ela,
podendo ser usado da tecnologia como Cavalos de Tria ou Phishing ou at mesmo
contato pessoal direto ou telefnico.
Ao modelo o ataque de engenharia social importante utilizar-se dos 7 tipos
de perssuao, conforme descrito no livro de MITINICK.
Conformidade: Mostrar a Vitima que todo mundo est fazendo o que foi
proposta a vitima a fazer.
Lgica:

Apontar

duas

ou

trs

afirmativas

verdadeiras

sugerir

(erroneamente) que o que est sendo requerido a vitima faa uma conseqncia
natural dessas afirmativas;
Necessidade: O ser humano, salvo excees, gosta de ajudar o prximo.
Faz as pessoas se sentirem bem com elas mesmas e isso pode ser explorado em
seu ataque.
Autoridade: No precisa (e normalmente no deve) ser agressiva, mas uma
leve indicao informal de autoridade (um cargo ou ttulo na assinatura de um e-mail,

14

por exemplo) pode ajudar a ganhar a cooperao de pessoas interessados em

aumentar sua rede de relacionamentos.
Reciprocidade: Sugerir que, se a pessoa fizer o que est sendo proposta
que ela faa, ser ajudada com o que quer ela queira ou precisa. Ou ao contrrio.
Similaridade: Muitas pessoas tendem a responder positivamente ao se
identificarem com o interlocutor de forma consciente (experincias de vida) ou
inconsciente (mimetismo discreto).
Informacional: s vezes o simples ato de estar integrado ao ambiente,
dominando terminologia e linguajar do local, citando coisas que uma pessoa com
acesso legtimo informao saberia, o suficiente para ganhar a confiana do
alvo.

3.2

TRASHING

Para proteo de dados corporativos importante a adoo da cultura de

classificao da informao. Essa classificao faz com que, atravs de rtulos, os
colaboradores saibam exatamente como lidar com tais informaes. Os principais
controles utilizado so: Armazenamento, Compartilhamento e Descarte. Este ltimo
sumariamente negligenciado o que torna os ataques de trashing mais eficientes do
que se imagina. preciso ter cuidado com o descarte de dados estando eles
impressos ou em mdias digitais, em funo do lixo corporativo expor muita
informao.

15

3.3

WHOIS

O Whois um protocolo utilizado para determinar o dono de um nome de

domnio, endereo, contato, servidores DNS ou rede IP. Os registros de Internet
Regionais (RIR) so regidos pelo ICANN e podem ser acessados para obter
diversas informaes sobre um IP ou domnio. So Eles:
ARIN: whois.arin.net
RIPE NC: www.tipe.net/whois
APNIC: whois.apnic.net
LACNIC: whois.lacnic.net
AfriNIC: Whois.afrinic.net
O site DomainTools permite uma srie de buscas avanadas em domnios
de Whois, entre outras.
Embora o Whois fornea as informaes sobre derminado endereo deve-se
ter cuidado ao confiar nas informaes, pois h pouco controle das informaes
mantidas em suas bases. Alm disso, algumas empresas de servios Web fazem o
registro por seus Clientes de modo que, de modo que no possvel obter todas as
informaes que se gostaria.

3.4

DNS

Uma solicitao Whois dar, entre outras informaes importantes, o

endereo dos servidores DNS responsveis pelo domnio do alvo. Consultar tais
servidores uma boa estratgia para se obter ainda mais dados sobre a
infraestrutura a ser atacada. As principais entradas DNS so descritas abaixo.

16

Registros A: So usados para mapear hosts a endereos IPv4, enquanto

registros AAAA so IPv6;
CNAME: Mapeia o host a um nome cannico;
MX (Mail Exchange): Indica para quem trata e-mails enviados ao domnio.
SOA: Vem de Start Of Authority e indica o servidor DNS que da informaes
autoritativas sobre o domnio.
NS: registros NS apontam para os servidores que tratam consultas DNS
para o domnio;
TXT: Entradas TXT so utilizadas para incluir qualquer texto (normalmente
informacional) a um registro DNS;
HINFO descreve o tipo de computador e Sistema Operacional usado no host
em questo;
SRV: indica quais servios esto disponveis no host (normalmente utilizado
para balanceamento de carga);
PRT: Associa um IP ao um nome de host ( o contrrio de uma entrada A ou
AAAA);

3.4.1 COLHENDO ENTRADAS DNS

Uma das ferramentas para obter informaes de servidores DNS o DIG
(Domain Information Groper).
O DIG uma ferramenta com a qual pode ser feita consultas sobre um
determinado

servidor

DNS

de

forma

interativa

ou

modo

'batch'

(http://penta.ufrgs.br/uel/mksuguim/mksunk02.htm. Acesso em: 22 jul. 2011).

A sua estrutura de sintaxe : $ dig @servidor_dns maquina (-x IP) tipo.

17

Para rastrear um caminho: $ dig +trace www.site.com.br

Transferir uma zona: $ dig @servidor_dns domnio axfr
Outras poderosas ferramentas para colher dados de servidores DNS so
nslookup e host. H tambm sempre a possibilidade de realizar consultar diretas em
sites web como o www.dnstools.com
As ferramentas dig, nslookup e host foram desenvolvidas pelo Internet
Software Consortium (www.isc.org) e fazem parte da sute que compe o servidor
DNS BIND. O nslookup tambm possui verso nativa no sistema operacional
Windows. Abaixo apresentado a transferncia de Zona com NSLOOKUP.
C:\> nslookup
> server [servidor_DNS]
> set type=any
> ls d [dominio]

18

3.5

GOOGLE HACKING

Outra maneira de se obter informao sobre uma empresa atravs da

pgina de buscas do Google. Atravs deste em alguns casos possvel obter
identificao de servidores, servidores negligenciados, listagem de diretrio, senhas,
banco de dados, relatrios de segurana, informaes sensveis entre outras.
Padres de busca detalhados usados para retornar resultados no protegidos de
sites previamente indexados so conhecidos como Dorks. Usando-os
itenligentemente, pode se encontrar resultados que mostram questes relevantes de
segurana ou dados sensveis e confidenciais a respeito dos alvos.
Goolag Scanner (Windows) Http://goolag.org
Para buscas no Google pode-se ser usados dos operadores abaixo:
Coringas;
Incluso / excluso (+ -)
Asterisco (*)
Sinnimo (~)
Restries;
Site:
Filetype: (ou ext:)
Link:
O Google exclui palavras comuns ou com apenas um caractere, e ignora
acentos. Deve-se usar o +PALAVRA (devendo ser colocado sempre um espao
antes do sinal) para garantir que PALAVRA ser includa na busca. possvel
tambm usar OR para escolher sites tenham uma ou outra palavra. No entanto, no

19

h como fazer o Google diferenciar maisculas at a data em que esta monografia

foi escrita.
Tirar uma pgina previamente indexada no ar nem sempre o suficiente par
esconder uma informao. O Google possui registro de verses antigas de sites
disponvel em cach que pode ser analisado.
Uma ferramenta muito interessante para levantamento de informaes o
MetaGoofil, que faz buscas automticas no Google a respeito de seu alvo e extraem
metadados de documentos acessveis como arquivos do Office e PDFs. Os
resultados podem incluir nomes de usurios, caminhos no sistema de arquivos e at
endereos MAC.
Existe um projeto, com nome de Hackers for Charity desenvolvido por Jhonny
Long onde o mesmo demonstra uma srie de buscas no Google que implicam em
exposio de informao sensveis. Atravs de operadores do Google possvel
filtrar buscas de maneira a encontrar resultados bem especficos sobre determinados
tipo de informao que se deseja obter.

20

VARREDURAS

Aps ter sido feito o levantamento de informaes o profissional que

simular os ataques passa a etapa de varreduras, utilizando das tcnicas descritas a
seguir.

21

4.1

WARDRIVING

Ataques a rede sem fio visando quebrar a chave de criptografia baseiam-se em

vulnerabilidades e fraquezas nos mtodos de codificao dos protocolos. Para quebrar
chaves WEP utilizado um ataque a cifra RC4 (usada pelo WEP) que permite que a
chave seja recuperada com 500.000 a 2.000.000 de pacotes de rede capturados. A
sute Aircrack tornou possvel a recuperao da chave com apenas 40.000 pacotes
capturados com probabilidade de sucesso de 50%. Se o nmero de pacotes subir
apenas 60.000, a probabilidade sobe para 80%. Com 85.000 pacotes, chegamos a
impressionantes 95% de probabilidades de recuperao de chave Se o nmero de
pacotes parece grande, somente causa a impresso, no . Usando tcnicas ativas de
reinjeo, possvel capturar 40.000 pacotes em uma rede cm fluxo Wireless bom em
menos de um minuto.

4.2

MAPEAMENTO DE REDES

Para invadir uma rede necessrio antes entender sua topologia, mapear os
dispositivos, redes internas, Gateways, DMZ entre outros.

22

4.2.1 Busca por hosts vivos

Varrer todas as portas de todos os IPs de uma rede alvo lento e muitas
vezes desnecessrio. Durante a busca por hosts vivos enviamos sondas solicitando
respostas que indiquem se um dado endereo IP est ativo (se est associado
naquele momento a algum host ou dispositivo). Uma rede 10.0.0.0/8 possui 16
milhes de endereos possveis, ento antes de procurar pelas portas abertas em
cada um deles, importante saber se o endereo est de fato vivo.

TABELA 1 COMANDOS PARA BUSCA DE HOSTS VIVOS

COMANDO

ICMP Echo
TCP SYS Pin
TCP ACK Ping
UDP Ping
ARP Ping
FONTE: O autor

4.2.2 Deteco de Servios

Uma forma simples, mas nem sempre vlida de se descobrir o tipo de servio
escutando por conexes em determinada porta a obteno do banner (Banner
Grabbing). Para isso, basta se conectar ao alvo na porta em questo via telnet ou nc
(netcat) e verificar se algo de interessante aparece. Ex.: $ cat /etc/services | grep
PORTA

23

Ferramentas como o nmap possuem grandes bases de dados com tcnicas

para identificao de mais de 2000 servios automaticamente. Para mais detalhes
sobre as tcnicas usadas, funcionamento e personalizao da deteco de servios
e verses podem ser consultados nos links de referencia desta monografia.

4.2.3 Deteco de Sistemas Operacionais

Sistemas Operacionais normalmente ao detectados por caractersticas nicas

na implementao de suas pilhas TCP/IP, detectadas atravs de sondas especificas.
A base de dados no nmap, por exemplo, contm mais de 800 assinaturas de
sistemas operacionais e exibe os detalhes do mesmo caso encontre uma
equivalncia com o sistema sendo sondado. Mais informaes podem ser obtidas
nos documentos citados nas referencias desta monografia.

4.2.4 Port Scan

Existem diversos tipos de varredura, para faz-la uma ferramenta muito

utilizada o Nmap.
Abaixo exibido um exemplo de comando utilizando a porta 53, sendo esta
interessante

para

varrer

sistemas

atrs

de

Firewalls,

visto

que

muitos

administradores de sistema acabam esquecendo ou ignorando o filtro de trfego

DNS.

# nmap sS sV f PN -0 v v g53 T1 172.16.1.254

24

Nesta varredura TCP SYN (Half-Open) enviando um pacote SYN, como se

estivesse tentando abrir uma conexo TCP. Se o alvo retornar SYN|ACK, mas a
porta como aberta e envia RST. Seno (alvo retornou RST), porta marcada como
fechada.
Alternativas:
-sT: Utiliza chamado de sistema connect(). Fcil deteco
-sP: Envia pedidos de ICMP echo (ping) para as portas.
Varreduras sub-reptcias, conforme RFC 793:
-sF: Envia pacotes FIN simples, e espera RST de portas fechadas.
-sX: Mesma funcionalidade que sF, mas marca FIN, URG e PUSH (Xmass
Tree).
-sN: Mesma funcionalidade que sX, mas no ativa nenhuma flag (Null Scan).

Quanto mais utilizado o parmetro V no nmap, mais informaes sero

exibidas.

25

Na figura 1 exibido a utilizao da Varredura TCP Connect ()

FIGURA 1 VARREDURA TCP Connect()

FONTE: O autor

Uma conexo TCP tradicional atravs da chamada de sistema (System Call)

connect () tentar fazer o tree-way-handshake completo e estabelecer uma conexo
real com o alvo. Caso seja bem sucedido, a porta est aberta. Se, pelo contrrio, o
alvo devolver um pacote RST, a porta est fechada. Finalmente, caso no haja
resposta, a porta est filtrada.
A varredura TCP SYN (ou half-open) uma das mais simples e populares por
sua rapidez, eficincia e por no depender de particularidades de implementaes
de protocolo de determinados sistemas operacionais. A varredura ilustrada na
figura 2.

26

FIGURA 2 VARREDURA TCP SYN (half-open)

FONTE: O autor

Nesta varredura, enviamos um pacote com a flag SYN ativa, como se fosse
requerido abrir uma conexo TCP legtima. No entanto, logo aps a resposta ser
recebida, a comunico com o servidor interrompida e seguido para o prximo alvo
(IP ou Porta). Exatamente como no caso anterior, uma resposta positiva (SYN+ACK)
do alvo indica que a porta est aberta; um RST sugere que esteja fechada e
nenhuma resposta indica que a porta est filtrada.
Segundo a RFC 793, que especifica o protocolo TCP, pacotes que no
contenham as flags SYN, ACK ou RST ativadas, ao serem enviados para uma nova
porta aberta devero ser simplesmente descartados pelo alvo. Se a porta estiver
fechada, no entanto, deve retornar um pacote RST. Isso pode ser visualizado na
figura 3.

27

FIGURA 3 VARREDURA TCP Null

FONTE: O autor

A varredura Null tenta explorar essa caracterstica enviando pacotes sem

nenhuma flag ativada (da seu nome). importante notar que no possvel
determinar com preciso se a porta est de fato aberta ou se foi filtrada por um
firewall.
Na varredura FIN tentado explorar a mesma particularidade da
especificao que a varredura NULL, s que ela envia pacotes apenas com a flag
FIN ativada, conforme ilustrado na figura 4.

28

FIGURA 4 VARREDURA TCP FIN

FONTE: O autor

Finalmente, a varredura Xmas (de Chistmas Tree) explora a mesma questo

de suas irms NULL e FINN, s que ativas no pacote todas as flags disponveis para
a varredura (que no pode ativar as flags SYN, ACK ou RST), ou seja: FIN, PSH e
URG, acendendo o pacote como uma rvore de natal (da seu nome). Essa
varredura pode ser vista na figura 5.

29

FIGURA 5 VARREDURA TCP Xmas

FONTE: O autor

A principal vantagem desses trs ataques que eles so capazes de

contornar alguns firewalls no-statefull e roteadores com filtros de pacotes. Outra
vantagem est em serem um pouco mais sub-reptcios que uma varredura SYN
embora ainda possam ser detectados por um NIDS com relativa facilidade.
importante notar, no entanto, que alguns sistemas (notadamente Windows e
muitos dispositivos CISCO, entre outros) no seguem o RFC corretamente e sempre
devolvem pacotes RST nessas trs varreduras, independente da porta estar aberta
ou fechada.
Na figura 6 ilustrado varreduras ACK, que costumam ser utilizadas para
mapear regras de Firewall (Firewalking), determinado quais portas esto filtradas.
Segundo o protocolo, pacotes ACK recebidos que no faam parte de uma conexo
pr estabelecida devem receber um pacote RST de volta, independente da porta
estar aberta ou fechada. Assim, se a sondagem no retornar nada, a porta est

30

filtrada. Mas se voc receber o RST de volta, o pacote provavelmente chegou a seu
destino com sucesso e a porta pode ser marcada como no filtrada. Mensagens de
erro recebidas via ICMP tambm costumam significar que a porta est filtrada.

31

FIGURA 6 VARREDURA TCP ACK

FONTE: O autor

Outra ferramenta conhecida para esse fim o Firewalk. Leance Spitzner

(projeto Honeynet) escreveu em 2000 um artigo a respeito de auditoria de firewall,
em que descreve como possvel bloquear certos tipos de varreduras.
Existe tambm a varredura de Janela TCP, exatamente igual varredura
ACK, mas explora adicionalmente uma pequena particularidade na implementao
do protocolo feita por alguns sistemas, que colocam valores positivos no campo de
janela TCP (TCP Windows do pacote RST, retornando caso a porta esteja aberta e 0
(zero) caso a porta esteja fechada. Esta varredura ilustrada na figura 7.

32

FIGURA 7 VARREDURA DE JANELA TCP

FONTE: O autor

Infelizmente cada vez mais raro encontrar sistemas com essa caracterstica
na Internet, ento no se deve confiar cegamente nos resultados. Em sistemas no
vulnerveis os resultadas dessa varredura indicaro todas as portas como fechadas
(o que no necessariamente verdade), e nesses casos importante confirmar com
outras varreduras, como a prpria ACK. s vezes, tambm, o resultado
exatamente o contrrio, portanto se a varredura de Janela TCP acusar todas as
portas abertas exceto uma ou outra (como a 80 e a 443) marcada como fechada ou
filtrada, o resultado por estar invertido.
A varredura TCP Maimon foi nomeado em homenagem a seu inventor, Uriel
Naimon, que descreveu a tcnica pela primeira vez na revista eletrnica Phrack
nmero 49 (1996). A varredura Maimon uma espcie de mistura entre a NUL, FIN,
XMAS e a varredura ACK. Uriel descobriu que, embora o RFC indique que um

33

pacote RST deve ser sempre enviado para um ACK sem conexo pr estabelecida,
alguns sistema simplesmente descartam o pacote ACK com a flag FIN ativa
(FIN/ACK) quando a porta est aberta. Assim, se o sistema for vulnervel a esse
ataque, no receber resposta indica porta aberta ou filtrada, e receber RST indica
que a porta est fechada. Essa varredura ilustrada na figura 8.

FIGURA 8 VARREDURA TCP Maimon

FONTE: O autor

O Idlescan foi demonstrado pela primeira vez por Antirez criador do hping, e
uma varredura completamente sub-reptcia j que nenhum pacote enviando ao
algo vindo do endereo real do atacante. Em vez disso, usamos algumas
caractersticas do protocolo TCP (j vistas anteriormente) para fazer com que uma
mquina qualquer na Internet faa a varredura por ns. Para que o Idlescan funcione
necessrio que essa mquina tenha duas caractersticas importantes: Esteja

34

ociosa, sem receber pacotes de rede que no os seus durante o tempo da varredura
e possua valor previsvel no campo ID dos pacotes retornados.
O comando acima do hping3 permite a rpida identificao de mquinas
suscetveis na Internet. Esse tipo de varredura ilustrado na figura 9.

35

FIGURA 9 VARREDURA TCP OCIOSA (IDLESCAN) PASSO 1

FONTE: O autor

Para fazer o ataque, precisa ser enviado pacotes SYN/ ACK para o zumbi, o
que trar de volta pacotes RST com um valor de ID incremental. Em paralelo, feito
o alvo real achar (por IP Spoofing) que recebeu um pedido da abertura de conexo
desta maquina zumbi. Se a porta estiver aberta, o alvo retornar um SYN/ ACK para
o zumbi, que por sua vez enviar um RST ao alvo. Ao fazer isso, no entanto, ele
tambm incrementar seu campo ID e na varredura em paralelo ao zumbi ser visto
o campo ID retornado logo aps o fato, sendo +2 e no +1, indicando que o zumbi
precisou responder outra mquina (alvo) e que, conseqentemente, a porta est
aberta. A ilustrao dessa varredura pode ser vista na figura 10.

36

FIGURA 10 VARREDURA TCP OCIOSA (IDLESCAN) PASSO 2

FONTE: O autor

Se, por outro lado, a porta estiver fechada, ao ser feito o alvo achar que
recebeu um pedido de SYN do zumbi, ele retornar um RST ao mesmo. Pela
especificao do protocolo, pacotes RST recebidos sem conexo relacionada devem
ser simplesmente descartados, no havendo portanto, resposta do zumbi ao alvo.
Conseqentemente na varredura paralela a mquina zumbi no ser
apresentando o pico anterior (+2), permanecendo na constate incremental do campo
ID e indicando, portanto, que a porta do alvo est fechada.

37

FIGURA 11 VARREDURA TCP OCIOSA (IDLESCAN) PASSO 3

FONTE: O autor

possvel tambm fazer varreduras utilizando o protocolo FTP.especificado

na RFC 959, este protocolo possui uma caracterstica muito interessante que
permite que um usurio conectado a determinado servidor FTP possa enviar
arquivos no a si prprio, mas a outros servidores. Isso permite a varredura passiva
de portas, j que se pode usar o servidor FTP para enviar um arquivo qualquer para
o alvo em uma porta qualquer e observar a mensagem de erro, que indicar se a
porta est aberta ou fechada.
Embora muito servidores de FTP tenham simplesmente abandonado o
suporte a essa caracterstica do protocolo devido aos diversos problemas de
segurana relacionados, ainda possvel encontrar sistemas vulnerveis.
Esta varredura particularmente interessante para contornar regras de
firewall quando a rede do alvo possui um servidor FTP vulnervel.

38

FIGURA 12 VARREDURA FTP Bounce

FONTE: O autor

Tambm possvel fazer varreduras UDP, enviando pacotes UDP vazios

para o alvo. Caso o sistema retorne mensagem ICMP port unreachable, a porta
est filtrada. Se, no entanto, no houver resposta em tempo hbil, a porta est
aberta ou filtrada. H uma srie de limitaes em varreduras UDP relacionadas
retransmisso de pacotes ou limites na quantidade de mensagens ICMP port
unreachable a serem enviadas.
As portas UDP mais interessantes para esse tipo de ao so: 53 DNS, 67
e 68 DHCP, 69 TPFP, 88 Kerberos, 111 sunrpc, 123 NTP, 137, 138 e 139
Netbios, 161 e 162 SNMP e 445 Microsoft CIFS.

39

FIGURA 13 VARREDURA UDP

FONTE: O autor

Para varreduras UDP e auditoria de sistemas VOIP baseados em SIP

possvel usar ferramentas como a Sute Sipvicious, que permite o mapeamento de
portas utilizadas para esse fim.

4.3

VUNERABILIDADES

Aps executar as varreduras e ter feio o levantamento da infraestrutura da

empresa deve ser avanando para o passo de identificar vulnerabilidades,
procurando o atacante por servios vulnerveis e senhas padres.
As vulnerabilidades encontradas devem ser enumeradas para posterior
ataque na fase de invaso.

40

INVASO

Aps ter sido feito o levantamento de informaes e varreduras o atacante

passar a etapa de invaso, utilizando das tcnicas descritas a seguir.

5.1

SNIFFING

Para realizar a invaso o atacante pode sniffar o trfego da rede fazendo um

Port mirroring do Switch ou usando de Arp spoofing. Nesta fase a ferramenta ideal para
captura o TCPDump, sendo feito posteriormente a anlise dos dados nas ferramentas
Wireshark que permite remontar sesses, estrutur-las em rvore e permite a criao
de filtros. Esta ltima ferramenta um excelente e robusto snifffer grfico, altamente
personalizvel. No entanto, por ser uma ferramenta pesada e complexa, tambm no
est imune a vulnerabilidades. De fato, alguns exploits contra o Wireshark j foram
lanados no passado, e por isso costuma ser recomendado que o trfego seja
monitorado pelo TcpDump.
Outro Sniffer muito poderoso o Ettercap, e h outros voltados
especificamente para o roubo de senhas que trafegam em texto puro pela rede, como o
dniff da sute dniff. O dniff captura automaticamente senha via FTP, Telnet, SMTP, Http,
POP, IMAP, SNMP, LDAP, RIP, OSPF, PPTP, NFS, X11, CVS, IRC, AIM, SMB, entre
outros.
Ainda na sute Dsniff, existe o Filesnarf, capaz de capturar arquivos inteiros
trafegando via NFS.

41

5.2

SEQUESTRO DE DNS

Os ataques de seqestro de DNS podem ser divididos em trs modalidades:

Ataques a servidores DNS, ataques a roteadores e ataques a hosts. Ambos possuem
suas caractersticas como a falsificao de sites, ataques de negao de servio e
ataques Man in the midle. Ambos os ataques sero descritos nos tpicos a seguir.

42

4.3 ATAQUES A SERVIDORES DNS

Servidores dns usados internamente no devem responder a solicitaes de

fora da rede do cliente, ainda mais se estiverem configurados com nomes especficos
da rede interna. possvel segmentar completamente as respostas de acordo com a
rede solicitante, mas muitos administradores ignoram a questo, deixando seus
servidores como open-resolvers.
O acaso com a configurao descrita acima pode causar em ataques como
DNS Cache Poisoning, em que o atacante adiciona informaes nas requisies para o
dns comprometido. Tambm existem casos em que feito o Reverse Domain Hijacking
em que a prtica consiste em atacar registros DNS acusando seus donos de violar
marcas ou leis.

43

4.3 ATAQUES A ROTEADORES

Roteadores so essenciais para toda a rede, dos mais simples aos mais
robustos, e grande maioria pode ser configurada remotamente. Mesmo com toda a
importncia e poder associados, muitos roteadores rodam com firmware desatualizado
e vulnervel, ou mesmo com a senha padro. Conseguir acesso ao roteador da
empresa, mais do que possibilitar uma mudana de DNS, libera o atacante para
diversos ataques fulminantes a rede interna aos mais explcitos, como derrubar a rota
de sada da rede para a internet. Para se saber o que possvel fazer com o roteador
atacado deve-se consultar seu manual.
H ainda diversos ataques especficos a roteadores, no necessariamente
associados DNS. Entre eles: cge-13 (Cisco Global Exploiter).

5.3

ATAQUES A AQUIVOS HOSTS

O objetivo sobrepor as consultas a servidores DNS, dando um nome

qualquer a um IP qualquer. Sempre que fazemos uma solicitao de um endereo de
rede, antes de perguntar ao servidor DNS qual o IP associado quele nome, o sistema
procura no arquivo de hosts local por uma equivalncia.

5.4

SEQUESTRO DE DNS

O seqestro de DNS um ataque que faz uma espcie de corrida contra o

servidor verdadeiro, onde se torce para a resposta maliciosa do atacante chegar antes
da resposta legtima. Esse mtodo traduz uma vulnerabilidade inerente do protocolo

44

DNS, sem correo evidente. O que se faz na indstria para mitigar o problema
adicionar dificuldade em criar respostas vlidas, usando valores aleatrios tanto para o
campo ID (de 16 bits, responsvel por identificar a transao solicitada) do header DNS
quanto para a porta de origem da solicitao. Assim a menos que o administrador de
rede esteja monitorando ativamente as requisies alvo do atacante, fica difcil prever
tais valores a fim de mandar respostas constantes ao alvo de envenenamento,
esperando que ele vena a corrida UDP.
Na tabela 2 mostrado exemplo usando a ferramenta dnsspoof e ettercap:
TABELA 2 EXEMPLO USANDO A FERRAMENTA DNSSPOOF E ETTERCAP
EXEMPLOS

# echo 127.0.0.1 *.alvo.com.br > hosts.txt

# dnsspoof i eth0 f hosts.txt
# ettercap Tq M arp // // -P dns_spoof (arquivos /usr/share/ettercap/etter.dns)
FONTE: O autor

5.5

METASPLOIT FRAMEWORK

O Metasploit Framework uma plataforma para desenvolvimento de Exploits,

uma ferramenta flexvel e porttil de se usar e extremamente poderosa.
Sua utilizao pode ser feita atravs de Console, GUI ou Web. Para o console
na tabela 3 est exemplo da sintaxe das expresses.

45

TABELA 3 SINTAXE EXPRESSES METASPLOIT FRAMEWORK

EXPRESSES

msf> search TIPO EXPRESSAO

msf> info MODULO
msf> use MODULO
msf exploit ()> show options
RHOST, RPORT, LHOST, LPORT, TARGET, ...
msf exploit ()> set VAR VALOR
msf exploit ()> exploit
FONTE: O autor

Na figura 14 exibido a interface GUI do Metasploit.

46

FIGURA 14 METASPLOIT FRAMEWORK: GUI

FONTE: O autor

Tambm na figura 15 podemos visualizar sua interface Web

47

FIGURA 15 METASPLOIT FRAMEWORK: INTERFACE WEB

FONTE: O autor

Os exploits devem ser sempre testados primeiramente em ambiente controlado

antes de expor os ativos da empresa ao mesmo.

5.6

QUEBRA ONLINE DE SENHAS

Atacantes sempre vo escolher o caminho mais fcil para uma invaso e

esse normalmente uma senha fraca ainda um dos principais problemas de
segurana de redes. Uma das ferramentas para fora bruta de senhas o THCHydra, que realiza ataques de fora bruta em logins remotos e suporta telnet, FTP,

48

HTTP, HTTPS, smb, Ms-sql, Mysql, ssh, cvs, snmo, smtp, pop3, imap, vnc, ldap,
entre muitos outros. No THC-Hydra possvel inserir um dicionrio, ou seja, arquivo
com palavras comuns que em muitos casos so utilizadas como senha. Por conta disso
como boa prtica para senha recomenda-se no usar nenhuma palavra existente.
Tambm possvel fazer um ataque de senha combinatria, em que ser feito a
combinao das senhas a serem testadas. Neste caso o ataque pode demorar muito e
at mesmo no poder ser concretizado, dependendo da complexidade da senha e
Tambm para a quebra online de senha pode se utilizar de varredura - sniffing
conforme discutido nos tpicos anteriores, em que possvel visualizar senhas em texto
puro trafegando pela internet ou rede.
Ataques Man In The Midle ou utilizando-se de engenharia social.

49

MANTENDO O ACESSO

Neste tpico veremos apenas um exemplo de como atacantes podem manter

o acesso aps uma infraestrutura invadida, na ilustrao demonstrado que um
atacante pode configurar o servidor para ficar ouvindo na porta 53 usando a ferramenta
Netcat, conhecido como um canivete suo das redes devido a sua grande flexibilidade.
Ela serve essencialmente para escrever e ler dados via TCP e UDP, e hoje
praticamente toda distribuio Linux vem com ele atravs do protocolo UDP.

FIGURA 16 MANTENDO O ACESSO

FONTE: O autor

50

Aps configurado no servidor o atacante poder utilizar do servidor com o

acesso aberto, usando do Netcat em uma mquina cliente e acessando o servidor na
porta definida, neste caso a 53.

51

CONCLUSO

Com esta pesquisa pode-se perceber que existem diversos recursos

explorados em invases a redes corporativas. Alguns deles so itens que muitas das
vezes so negligenciados por administradores de redes e usurios corporativos:
Softwares desatualizados e senhas fracas respectivamente.
Alm de todo o cuidado e recomendaes de boas prticas para a
configurao do ambiente, administradores de rede devem utilizar de programas de
gerenciamento de Patchs de atualizaes, com execuo automtica de rotinas
peridicas para verificar e aplicar as devidas atualizaes em computadores e
servidores da empresa, para evitar ataques explorando de vulnerabilidades nos
softwares. A fim de conter a fragilidade de senhas nas redes, os administradores
tambm devem implementar polticas de configurao mnima de senha, forando os
usurios a adotarem senhas mais complexas. No entanto essa poltica deve vir
acompanhada de uma conscientizao interna dos colaboradores, para que essas
senhas no sejam anotadas e mais tarde vista por atacantes ou obtidas atravs do
trashing.
Com essa pesquisa administradores de rede puderam ter uma noo
especfica dos meios que atacantes utilizam para acesso a redes corporativas, podendo
utilizar este estudo como documento auxiliar ao tomar orientaes de como melhor
proteger-se, a fim de manterem sua rede corporativa com possibilidades de invaso
externas reduzidas.
Ainda, como trabalho futuro recomenda-se um estudo sobre ferramentas
comerciais para testes de invaso, que esta pesquisa no contemplou.

52

REFERNCIAS

CASTRO, Carla Rodrigues Arajo de. Crimes de informtica e seus aspectos

processuais. Rio de Janeiro: Lumen Juris, 2003.
GONALVES, J.C. O Gerenciamento da informao e sua segurana contra
ataques de vrus de computador. 2002.Trabalho de Tese de Mestrado.Universidade
de Taubat UNITAU.
JAKOBSSON, Markus e RAMZAN, Zulfikar , Crimeware: Understanding New Attacks
and Defenses, Califrnia: Symantec Press, 2008.
JARGAS, Aurlio Marinho. Shell Script Profissional. So Paulo: Novatec, 2008.
KUROSE, James F. Ross, Keith W; Redes de Computadores e a Internet. 1 edio.
So Paulo: Campus, 2003.
LYON, Gordon Fyodor Nmap Network Scanning: The Official Nmap Project Guide to
Network Discovery and Security Scanning. Estados Unidos: Nmap Project, 2009.
MANDIA, Kevin e PROSISE, Chris e PEPE, Matt. Incident Response & Computer
Forensics, Estados Unidos: McGraw-Hill/Osborne, 2003.
MITNICK, Kevin. A Arte de Enganar, So Paulo:Pearson Makron, 2003.
MORAES, F. A; CIRONE.C.A Redes de Computadores, da Ethernet Internet.
So Paulo: rica, 2003.
PERLMAN, Radia e SPECINER, Mike Network Security: Private Communication in a
Public World 2. Edio, Califrnia: Prentice Hall, 2002.
RUFINO, Nelson M. de Oliveira.Segurana de Redes sem Fio. 2. Edio.So Paulo.
Novatec, 2005.
SOARES, Luiz Fernando Gomes. Redes de Computadores - das LANS, MANS
e WANS s redes ATM. 2. Edio. Rio de Janeiro: Campus, 1995.
STALLINGS, William. Criptografia e segurana de redes: Princpios e prticas,
2.edio, So Paulo: Prentice Hall, 2008.
STALLINGS, William. Network Security Essentials: Applications and Standards. 4.
Edio, Estados Unidos: Prentice Hall, 2010.
TANENBAUM, A. Operating Systems Design and Implemetation, 2.Edio, Estados
Unidos: Prentice-Hall, 1999.

53

WILSON, Marcia J. Demonstrating ROI for Penetration Testing (Part One). Symantec
Connect. Disponvel em <http://www.symantec.com/connect/articles/demonstratingroi-penetration-testing-part-one>. Acesso em: 09 de Julho de 2011.
ZWICKY, E.; COOPER, S.; CHAPMAN, D.B. Building Internet Firewalls. Estados
Unidos: O Reilly, 2000.

54

GLOSSRIO

Backdoor: Mtodo oculto para contornar contrles de segurana e obter acesso a um

sistema ou recurso.

Botnet: Coleo de computadores comprometidos (zumbis) rodando programas

maliciosos instalados normalemnte via worms e controlados remotamente.

Cavalo de Tria: Programa que parece realizar algum tipo de funo desejvel, mas
ocultamente realiza atividades maliciosas.

Criptografia: Condio/ Decodicao de informao, sejam senhas, arquivos,

pacotes de rede, sistema de arquivos inteiros ou quaisquer dados. A criptografia
simtrica utiliza a mesma chave para decodicao e decoficao, enquanto
assimtrica (ou criptografia de chave pblica) utiliza pares de chaves, uma de
conhecimento de todos para codificao e outra apenas para o dono (decoficao).

DMZ: Zona desmilitatizada, ou rede de permetro, a subrede fsica ou lgica que

contm e expe determinados servidoos para acesso a partir de redes no
confiveis, normalmente a Internet, de forma isolada da rede interna da organizao.

DoS/ DDoS/ DRDoS: Negao de Servios so ataques que visam tornar

determinado recurso indisponvel aos seus usurios legtimos.

55

Firewall: Dispositivo ou conjunto de dispositivos que controlam o trfego de dados

entre diferentes domnios.

Hash: Resultado de um procedimento ou funo matemtica que traduz um dado

qualquer em um nmero relativamente pequeno de forma determinstica e uniforme,
entre outras propiedades.

IDS/ IPS: Sistemas de Deteco e Preveno de Intruses, so software ou

hardware que, atravs de sensores, detectam (e respondem, no caso de IPSs)
tentativas no autorizadas de acessar, manipular ou desativar ativos de informao.

MiTM: Ataques man-in-the-middle so mtodos de escuta e manipulao de

informaes em que o atacante faz conexes independentes e simultneas entre as
partes legtimas, encaminhando mensagens de forma transparente.

Scanner: Ferramenta que varre rede ou sistema em busca de portas, servios e

sistemas ativos.

Sniffer: Programa ou dispositivo capaz de interceptar e registrar trfego passando

por uma rede ou parte dela.

Spoofing: Ataque em que pessoa ou programa consegue se fazer passar por outro,
ganhando vantagem de forma legtima.

56