Académique Documents
Professionnel Documents
Culture Documents
Sobre os hackers
Configurando a rede
_O TCP/IP - Números IP (da rede interna e externa) – (Classe A,B, C)
_Máscaras e Subnets
_Protocolos de aplicação:http,smtp,pop3, ftp,SNMP
_Telnet, DNS, servidor Wins, Portas
Comandos de rede:
_Ping – Tracert – ARP – Winipcfg – Ipconfig – netstat –nbtstat - Telnet - FTP
_Compartilhamentos – conectando-se a um compartilhamento
_Whois e Registro.br
_Engenharia Social
Invasões e Defesas
_Trojan
_Trojans comerciais (Pc-Anywhere, VNC)
_Compressores de executáveis
_Denial Of Service – DoS
_Smurf
_Keyloggers
Defesas
_Firewall / Spywares - O que é cada um e como usar
Antivírus
_Viroses e o DOS – como montar uma Badcom, como detectar e eliminar.
_Vírus por Javascript – como montar um, como detectar e eliminar .
_Crackers
Ao contrário dos white-hats, usam suas descobertas e habilidades em favor
próprio, em esquemas de extorsão, chantagem de algum tipo, ou qualquer
esquema que venha a trazer algum benefício, geralmente, e obviamente,
ilícito. Estes são extremamente perigosos e difíceis de identificar, pois nunca
tentarão chamar a atenção. Agem da forma mais furtiva possível. As
denominações para os crackers são muitas. Alguns classificam de crackers,
aqueles que tem por objetivo invadir sistemas em rede ou computadores
apenas pelo desafio. Contudo, historicamente, o nome “cracker” tem uma
relação com a modificação de código, para obter funcionalidades que não
existem, ou de certa forma, limitadas. Um exemplo clássico são os diversos
grupos existentes na Internet que tem por finalidade criar “patches” ou mesmo
“cracks” que modificam programas comerciais (limitados por mecanismos de
tempo por exemplo, como shareware), permitindo seu uso irrestrito, sem
limitação alguma. Há também uma corrente que classifica os crackers como “
criminal hackers”.
_Phreakers
Sua especialidade é interferir com o curso normal de funcionamento das
centrais telefônicas, mudar rotas, números, realizar chamadas sem tarifação,
bem como realizar chamadas sem ser detectado . Com a informatização das
centrais telefônicas, ficou inclusive mais fácil e acessível o comprometimento
de tais informações.
\\_Redes e a Internet
_Conceito de Redes
As redes de computadores foram criadas a partir da necessidade de se
compartilhar dados e dispositivos. Com a distribuição do dado, valioso ou não,
tal ambiente passou a ser alvo de um estudo de vulnerabilidades, tanto por
parte dos administradores conscientes, quanto por potenciais ameaças
(sabotagem ou espionagem industrial por exemplo). Contudo, para que a
comunicação de dados ocorra entre computadores, é necessário que uma série
de etapas e requisitos sejam cumpridos. Podemos dividir a comunicação em
rede, didaticamente, em 4 camadas: a parte física (meio de transmissão placas
de rede, cabeamento...), a camada de endereçamento / roteamento
(responsável pelo endereçamento e pela escolha do melhor caminho para
entrega dos dados), a parte de transporte (protocolo de comunicação
responsável pelo transporte com integridade dos dados), e a camada de
aplicação (que faz interface com o usuário). Se algum elemento de alguma
destas camandas falhar, provavelmente não haverá comunicação.
Placas
O importante a se saber sobre placas de rede é que todas necessitam de um
endereço de adaptador (endereço MAC ou MAC Adress ), que é único e nasce e
morre junto com a placa. Mesmo sendo on-board sempre haverá um número
de adaptador para essa placa de rede “embutida”.
Para saber sobre o endereço do adaptador digite, estando no Prompt do Dos:
Cabos
Ligam os diversos pontos da rede e são essencialmente, hoje, de dois
tipos: cabos de par trançado e de fibra ótica. Os de par trançado tem um
plugue chamado RJ-45 nas extremidades. Esses cabos servem usualmente
para conectar um computador ao hub.
Modens
São responsáveis pela transformação de sinais digitais em sinais
analógicos e também pelo caminho inverso quando chegam ao destino.
Também possuem endereços MAC.
Hubs e Switches
São responsáveis pela interligação dos diversos computadores em uma
rede. Com a diferença que um hub apenas repassa o sinal adiante para todos
os computadores (ver animação eletrônica) enquanto o switch grava o
endereço do adaptador da placa e faz a comunicação apenas entre origem e
destino sem envolver os demais computadores.
Roteadores e gateways
São responsáveis por interligar redes distantes ou diferentes entre si de
maneira que a comunicação entre as partes fique clara independente do tipo
de plataforma que se usa de um lado e de outro (Ex.: Servidor Linux de um
lado, Servidor NT do outro).
Firewall
Veja capítulo mais a frente.
Sistemas Operacionais
_UNIX, Linux e outros SO´s
Não abordaremos em profundidade esses sistemas operacionais pelo simples
fato de que a esmagadora maioria dos vírus, ataques e coisas do gênero são
na plataforma Windows. Ainda assim podemos afirmar que esses sistemas são
muito mais seguros que o Windows em sua versão popular (Windows 98 / Me).
O problemas as vezes mora ai: o administrador confia demais em seu sistema
operacional e esquece de fechar bem fechado as portas da invasão. De
qualquer forma, estaremos mostrando na apostila qual comando se encaixa e
qual não se encaixa na plataforma corrente.
_Plataforma Windows:
_Windows 9x, Me
O Windows 9x (95 ou 98) não foi concebido com segurança em mente.
Contudo, a Microsoft esqueceu que, com o advento da Internet, alguma
segurança deveria existir por padrão no sistema para evitar ataques pela
Internet, para usuários deste sistema. De qualquer forma, existem alguns
procedimentos que qualquer um pode adotar para tornar seu computador
windows 9x mais seguro. Obviamente, é praticamente impossível ter uma
funcionalidade de servidor de algum tipo, exposto à Internet, aliada à
segurança, com este sistema operacional.
A principal medida que deve ser adotada é a remoção do compartilhamento de
arquivos e impressoras para redes Microsoft, no painel de controle. Caso seu
computador participe de uma rede, dentro de uma empresa por exemplo,
consulte o administrador da rede antes de realizar qualquer alteração. As
empresas geralmente possuem políticas internas para tais configurações.
Através do ícone “Rede” no painel de controle, se tem acesso à caixa de
diálogo ao lado. Lá, você poderá encontrar o componente “Compartilhamento
de arquivos e impressoras para redes Microsoft”. Este componete transforma o
Windows 9x em uma espécie de servidor de rede que, se configurado de forma
incorreta, poderá abrir seu computador para qualquer invasor. Se não for
possível remover o componente, peça proprie-dades do adaptador dial-up
(como na imagem acima), vá em “Ligações” e desmarque a opção
“Compartilhamento de arquivos e impressoras para redes Microsoft”. Isso fará
com que o componente servidor do Windows 9x não esteja ativo através de
sua conexão via modem / dial-up. Além da configuração de rede de um
computador Windows 9x, existem outros aspectos que devem ser observados.
O primeiro deles é em relação à atualizações. O Windows 9x possui um serviço
bastante interessante, chamado Windows Update. Através dele, quando
conectado na Internet, você poderá atualizar seu sistema automaticamente.
Basta clicar o ícone “Windows Update” no menu iniciar. Manter o seu sistema
sempre atualizado é primordial para manter a segurança. O segundo aspecto é
em relação a que serviços seu computador está iniciando automaticamente ao
ser ligado / inicializado. Olhe dentro do grupo “Iniciar” por programas
estranhos, e no programa MSCONFIG ( O MSCONFIG não ajuda a retirar mas
ajuda a identificar o programa malicioso).
_O TCP/IP
O TCP/IP (Transmission Control Protocol / Internet Protocol), é uma pilha de
protocolos que vem sendo modelada a décadas, desde a criação de uma rede
chamada ARPANET, em meados dos anos 60, nos EUA. Ao contrário do que
muitos acham, não é apenas um protocolo de comunicação, mas uma pilha
deles. Essa pilha de linguagens de comunicação permite que todas as camadas
de comunicação em rede sejam atendidas e a comunicação seja possível.
Todas as pilhas de protocolo, de uma forma ou de outra, tem de atender a
todas as camadas, para permitir que os computadores consigam trocar
informações.
_ O IP
O Internet protocol é o responsável pelo endereçamento lógico de pacotes
TCP/IP. Além disso, é responsável pelo roteamento destes pacotes, e sua
fragmentação, caso a rede seguinte não possa interpretar pacotes do mesmo
tamanho. O mais importante para entendermos o funcionamento do IP é
entender como é feito seu endereçamento lógico.
Um endereço IP é demonstrado abaixo:
200.241.215.105
Apesar de aparentemente não ter muita lógica, este endereço contém uma
série de informações. A primeira delas é que, neste número estão presentes a
identificação da rede na qual o computador está ligado, e o seu número, em
relação a esta rede. Detalhe: o computador não interpreta este número acima
como 4 cadeias decimais separadas por pontos (esta representação é apenas
para tornar nossas vidas mais fáceis). Ele entende
como 4 octetos, ou 4 campos de 8 bits, mais ou menos assim:
11001000.11110001.11101100.11000110
Exemplo: 125.204.128.20
Exemplo: 175.130.128.131
Exemplo: 211.141.120.11
MASCARAS e SUBNETS
\\_Outras nomenclaturas
_SMTP
O Simple Mail Transfer Protocol é responsável por entregar mensagens de e-
mail a seus destinatários. Funciona normalmente na porta 25. O interessante
do SMTP, é que ao contrário do POP3, não é necessário senha para enviar um
e-mail. Alguns provedores tomam medidas complementares, outros não. Mas a
falta de segurança no envio de mensagens é o ponto de partida para a
facilidade de enviar e-mails anônimos.
_POP3
Também um protocolo de mensagens, mas que exige senha, o POP3 remonta
os arquivos enviados por SMTP. Se localiza normalmente na porta 113.
_Telnet
Trata-se de terminal remoto. Através dele pode operar-se localmente uma
máquina que esteja a distância. Qualquer comando digitado é repassado a
máquina remota que o executa. Qualquer porta ativa no sistema pode ser alvo
de um terminal Telnet para controle do computador à distância. Veremos
adiante como isso é possível.
_FTP
O File Transfer Protocol é um protocolo de transferência de arquivos bastante
utilizado para “baixar” e colocar arquivos. É enfim, usado para transferência
de arquivos.
_HTTP
É o protocolo utilizado pelas páginas na Internet. A cada acesso, a cada
página, esse protocolo é utilizado para apresentar as páginas na tela.
Interessante notar que todos esses protocolos operam em conjunto. Quando
for baixar um arquivo preste atenção no link. É provável que seja um servidor
FTP fornecendo o arquivo.
_SNMP
É um protocolo simples para manejar a rede, mas muito perigoso pois mostra
várias informações como contas de usuário, serviços abertos, etc.. Bons
administradores de rede deixam essa opção desabilitada, afinal, ninguém gosta
de correr riscos desnecessariamente e por uma falha tão simples.
HTTP (HyperText Transfer Protocol), FTP (File Transfer Protocol), SMTP (Simple
Mail Transfer Protocol), SNMP (Simple Network Management Protocol), POP3
(Post Office Protocol v.3), TELNET, e assim por diante. Cada protocolo de
aplicação se comunica com a camada de transporta através de portas de
comunicação. Existem 65536 portas possíveis, e por convenção, as portas de 1
a 1023 são conhecidas como “Well Known Port Numbers”, portas privilegiadas
ou portas baixas, que possuem serviços mais comuns previamente associados.
Cada protocolo de aplicação precisa de uma porta, TCP ou UDP, para funcionar.
Os mais antigos possuem suas portas padrão já determinadas. Exemplos:
As portas acima de 1023 são denominadas portas altas, e são usadas como
end points, ou pontos de “devolução” de uma conexão. Imagine uma conexão
como um cano de água conectando duas casas. A diferença é que neste cano,
a água pode ir em qualquer sentido. Portanto, ao tentar ler seu correio
eletrônico, provavelmente usará um protocolo chamado POP3, que funciona na
porta 110. Seu computador estabelecerá uma conexão com o servidor de
correio, na porta 110 remota, e 1026 (por exemplo) localmente. A porta local é
na maioria dos protocolos, uma porta acima de 1023, desde que não esteja
sendo usada.
_Utilitários
Por padrão, existem alguns utilitários presentes na pilha TCP/IP que
possibilitam ao usuário diagnosticar problemas. Alguns dos utilitários mais
usados são:
_PING
Este utilitário utiliza o protocolo ICMP para diagnosticar o tempo de resposta
entre dois computadores ligados numa rede TCP/IP. A partir daí, pode-se ter
uma estimativa do tráfego (se o canal de comunicação está ou não saturado)
bem como o tempo de latencia do canal. Ao contrário do que muitos pensam, a
latencia de um link está também diretamente ligada a velocidade do roteador
(em termos de processamento) e não somente a velocidade do canal de
comunicação. Exemplo de uso do ping:
C:> ping 169.254.178.132
_TRACERT
O Tracert serve para verificarmos por quantos e quais computadores os nossos
dados passam até chegar a um destino especificado. Pode ser utilizado para
rastrear outros hackers. Exemplo:
C:> tracert 169.254.178.132
Use também algum programa gráfico para traçar rotas e descobrir qual a
conexão entre o seu sistema alvo e os outros sistemas, descobertos pelo
Altavista. Dica: O VisualRoute faz bem o seu trabalho de mostrar informações
ótimas.
_IPCONFIG ou WINIPCFG
Exibe a configuração do protocolo TCP/IP. Exibe os valores de endereço IP,
máscara de sub-rede e gateway para cada placa de rede instalada.
_ARP
Permite realizar consultas e alterações na tabela de mapeamento entre
endereços IP e endereços MAC do cache ARP. Exemplo:
C:> arp -a 169.254.178.132
_NBTSTAT
Exibe estatísticas de protocolos e conexões TCP/IP usando NETBIOS. Exemplo:
C:> nbtstat -a 169.254.178.132
_NETSTAT
Mostra todas as conexões atuais, seus endereços e portas utilizadas. Bom para
saber se há algum acesso não autorizado no computador, portas abertas e
outros. Também é possível descobrir endereços IP de pessoas no ICQ (ou
outro serviço de mensagem instantânea). Exemplo: C:> netstat
_FTP
Transfere arquivos de/para um computador remoto. Por possuir muitos
comandos os usuários preferem utilizar um programa com interface GUI (“de
janela do Windows”)
_Telnet
Conecta-se a uma máquina remota, utilizando os recursos disponíveis. É
necessário que na outra ponta haja uma máquina rodando o serviço dativo.
_Whois e Registro.br
Para saber informações a respeito de uma homepage, o site Whois é excelente.
Mantém informações como nome do administrador, telefone e endereço. No
Brasil esse serviço é feito pelo site Registro.br. Os crakers se utilizam de
ambos para planejar ataques de engenharia social visto abaixo.
_Engenharia Social
O próximo passo, ou realizado em paralelo, será a utilização de técnicas de
engenharia social. Através destas técnicas, informações valiosas poderão ser
obtidas. Descobrir informações pessoais sobre o(s) administrador(es) da rede;
informações sobre fornecedores de suprimentos e manutenção; descobrir
quem tem acesso privilegiado a qualquer servidor ou estação; avaliar o grau
de conhecimento desta pessoa (quanto menor, melhor, se possuir acesso
privilegiado); descobrir números de telefone importantes (o número de
telefone do administrador, das pessoas envolvidas com a administração da
infra-estrutura, telefones de departamentos como comercial); tentar também
obter uma lista de endereços de correio eletrônico importantes. Tentar obter
informações do suporte telefônico da empresa, caso possua. Obter acesso ao
lixo da vítima, se possível (sim, os filmes que falam de hackers o fazem
geralmente de forma bastante errada: contudo, nisso eles acertaram: uma das
maiores fontes de informação sobre a vítima será seu lixo).
A partir daí, o próximo passo será tentar relacionar as informações coletadas
até agora. Baseado nas informações levantadas no primeiro passo, o hacker irá
pesquisar na Internet e na sua comunidade sobre vulnerabilidades existentes
nas versões dos programas, serviços e sistemas operacionais usados pela
rede.
Além disso, caso a relação da rede interna com a rede de gerência seja direta,
uma abordagem baseada em cavalos-de-tróia será interessante. O objetivo
passará a ser conseguir ter acesso ao tráfego da rede interna. Isto pode ser
feito enviando trojans para departamentos administrativos, comerciais, e
financeiros. A maioria dos funcionários destes departamentos são leigos e não
saberão a diferença entre um documento do Word e um executável anexo ao
seu correio eletrônico. É bem provável que, com alguns dias de investigação do
tráfego da rede interna, você consiga alguma senha com direitos de
administração. Como administradores de rede tem o hábito de usar a mesma
senha para diversas ferramentas, se na primeira fase alguma ferramenta de
gerência remota foi achada, então, é mais do que provável que as senhas
serão idênticas.
Independente da abordagem adotada, o hacker terá duas coisas em mente:
objetividade, e máxima dissimulação. Tudo será feito sem pressa, para não
levantar suspeitas. Ele poderá até tentar fazer amizade com alguém que
tabalhe na empresa (isso é mais fácil do que parece: basta visitar os mesmos
lugares que essa pessoa visita, principalmente se estes lugares forem escolas,
universidades ou clubes, pois nestes lugares existe um sentido maior de
união).
Obviamente, tudo isso dependerá da informação que se deseja obter: o hacker
avaliará se todo o esforço vale a pena. Contudo, lembre-se que muitos fazem
pelo desafio, e superarão enormes dificuldades somente para provar a si
mesmos que são capazes.
Scanneando o netbios
Netbios é uma espécie de protocolo que facilita a comunicação de uma
pequena rede, porém não é roteável. Isso significa que: você pode conseguir
invadir o computador e mapear drives de todas as pessoas que estão
conectadas no mesmo provedor que você, pois estão na mesma subnet. Agora,
se você estiver em um provedor e tentar alguma invasão em outro, ela não
será possível com o SMB, apenas com o Netbios por TCP/IP (o que acaba
dando quase na mesma, coloquei as diferenças para uma questão didática).
Alguns cuidados devem ser tomados. Que hacker iniciante nunca ouviu falar de
“invasão por ip”, um texto que roda na internet há anos?. Pois é, ele
corresponde à invasão por netbios.
_DEFESA
Para que você esteja protegido quanto a ataques, tome algumas providências:
Se você não pertencer a nenhuma rede ou não precisar de compartilhar
arquivos pela Internet, desabilite as opções “Compartilhar arquivos e
impressoras” no assistente de rede do painel de controle do Windows. Assim
você não será detectado por netbios.
Caso você precise do protocolo, ao menos quando for compartilhar algum
disco, coloque uma senha. Assim dificulta o acesso não-autorizado.
Corrija os bugs do seu sistema. Especialmente se utiliza o Samba para
compartilhar uma conexão netbios entre o Linux e o Windows. O Windows 98,
ME, NT e 2000 também possuem alguns erros graves. Alguns deles possibilita
que você possa mapear algum recurso da rede sabendo apenas o primeiro
caractere da senha do netbios.
Utilize algum bom scanner para netbios. Um excelente é o R3X . Uma outra
maneira rápida de checar se o netbios está ativo é usando o comando nbtstat
do Windows. Geralmente a sintaxe é: nbtstat –a <endereço ip>. Existe um
modo mais fácil de se tentar invadir um computador que esteja com o netbios
ativo. É só ir em iniciar / executar e digitar \\número do ip. Exemplo:
Nota: Se o seu computador não tiver os comandos net (net use, net view) ,
tente instalar no painel de controle (em rede) o protocolo netbeui e o cliente
para redes microsoft. Também verifique na sua conexão dial-up se o netbios
está ativo.
_R3X
É um programa que faz a varredura de uma certa faixa de IP´s e retorna o
status de cada um: se tem compartilhamentos, portas abertas, etc..
Fácil de usar, coloca-se o IP inicial e o final e aperta-se o botão Scan.
Ao final de toda a varredura é preciso ir ao menu Scan e escolher o comando
Perform all tasks for all computers. Aparecerão todos os compartilhamentos e
todas as portas com possibilidade de invasão. Se não houver firewall do outro
lado, basta clicar 2x no compartilhamento e o mesmo se abrirá para você
como se fosse uma pasta da sua própria máquina.
Mas não se preocupe: se alguém tentar fazer isso com você, basta um bom
firewall e ter tomado as medidas de Defesa acima.
Trojans
Uma vez enviado por e-mail e executado, aparentemente não ocorre nada na
máquina do usuário desavisado, mas já estará instalado o mini-servidor
Netbus. Portanto fique atento com jogos, imagens, arquivos de vídeo, etc.. Em
algum deles pode haver um Trojan escondido.
_Joiners
Muito simples: usa-se o Joiner, ou outro juntador de arquivos. É o truque mais
usado na internet: você recebe um vídeo, abre, e junto está abrindo as portas
do seu micro.
_Trojans Comerciais
Todos já ouviram falar do PcAnywhere e semelhantes. Esses programas (além
de muitos outros) possibilitam que você controle completamente a máquina de
alguém, como se estivesse sentado ali. Quer jogar Quake no computador
invadido? Clique no botão iniciar dele e faça tudo como se estivesse no seu
próprio computador. A vantagem desses programas (já que são comerciais), é
que o anti-vírus não detecta. Tente também o excelente VNC (que pode ser
pego em www.superdownloads.com.br).
_Denial of Service
Por ser um ataque apenas voltado para o consumo de memória ou do
processamento, o DoS não é usado para invasão. Ao contrário de alguns
programas que causam um estouro de memória já sabendo que esse problema
lhe dará acesso ao sistema (programas que causam buffer overflow), a
intenção do DoS é só chatear. Mesmo assim em grandes empresas o prejuízo
pode ser grande. Quando a Amazon.com foi tirada do ar por exemplo, chegou
a ficar apenas poucos minutos desligada, mas nesse tempo perdeu muito
dinheiro em compras. O mesmo aconteceu com o Yahoo e até com o UOL, que
já foi tirado do ar.
_O broadcast
Realizar um ataque de DoS é muito simples. Pode-se utilizar vários tipos de
programas e
softwares zumbis para fazê-lo. Às vezes nem é preciso um programa adicional.
Sites como
Yahoo e Altavista utilizam webspiders (programa utilizado para procurar
informações
pulando de link em link) para checar o conteúdo de homepages. Muitos
webspiders checando o mesmo servidor ao mesmo tempo pode levá-lo ao
colapso (por estar com o broadcast em nível elevadíssimo).
O mais comum desses softwares é o Smurf, que envia pacotes ICMP (protocolo
que informa condições de erro) spoofados para centenas, talvez milhares de
sites. Envia-se os pacotes com o endereço IP da vítima, assim fazendo com
que ela receba muitos pacotes ping de resposta ao mesmo tempo, causando
um travamento total. Ainda não existe uma proteção totalmente eficaz contra
esse tipo de ataque. Um programa bom (para Windows) que realiza o smurf é
o WinSmurf.
_Keyloggers e Sniffers
Sniffers podem capturar dados da rede para aproveitamento no uso de senhas
e usuários. A principal preocupação de um operador é , ou pelo menos deveria
ser, as senhas. Afinal, por mais seguro que o sistema seja, uma senha
adquirida maliciosamente é sempre perigosa. O único interesse dos crackers é
capturar logins e senhas. Existem algumas opções que ainda possibilitam filtrar
os tipos de pacotes recebidos. Vamos supor que eu quero descobrir todas as
senhas que comecem com “C”. Após configurar o sniffer e esperar, ele começa
a me enviar os pacotes recebidos já “selecionados” com o que se deseja.
_"Adware" e "Spyware"
_SpyBot Search&Destroy
Honeypot
_O que é uma honeynet e um honeypot?
Inicialmente, é preciso esclarecer as definições de honeynet e honeypot. Antes
de se basear nas simples traduções ao pé-da-letra "rede de mel" e "pote de
mel", respectivamente, saiba que ambos os termos abrangem um conteúdo
muito mais amplo.
"Honeypot é um recurso de segurança preparado especificamente para ser
sondado, atacado ou comprometido e para registrar essas atividades. Já
Honeynet é uma rede projetada especificamente para ser comprometida e
utilizada para observar os invasores. Essa rede normalmente é composta por
sistemas reais e necessita de mecanismos de contenção eficientes e
transparentes, para que não seja usada como origem de ataques e também
não alertar o invasor do fato de estar em uma honeynet. Para quem quiser
saber mais sobre esses conceitos, a especialista indica dois artigos:
"Honeypots: Definitions and Value of Honeypots", e "Know Your Enemy:
Honeynets".
_Tipos de Honeypots
Entendidos os conceitos certos dos termos honeypot e honeynet, passemos
para a segunda etapa: quais são os tipos de honeypots. São comumente dois
tipos principais:
Honeypots de baixa interação (Low-interaction Honeypots): normalmente
apenas emulam serviços e sistemas operacionais, não permitindo que o
atacante interaja com o sistema.
Honeypots de alta interação (High-interaction Honeypots): são compostos por
sistemas operacionais e serviços reais e permitem que o atacante interaja com
o sistema.
O projeto brasileiro de honeynet utiliza honeypots de alta interação. Eles são
sistemas reais, porém com algumas modificações que permitem a captura de
todos os dados, inclusive os criptografados. De certo modo, como descrito na
literatura, a própria honeynet pode ser considerada como um único honeypot
composto por diversos sistemas. Nós, porém, preferimos nos referir a cada
sistema individual dentro da honeynet como um honeypot individual.
_Firewall
Firewall ou barreira de fogo é um artifício largamente usado em redes. A sua
função é proteger o sistema de tentativas indevidas de acesso, principalmente
vindas da Internet. Ele
controla o tráfego, permitindo ou negando acesso a certas portas de serviços.
Geralmente se
deixa apenas a porta 80 (www) ativa para que as pessoas consigam acessar o
website da empresa. Resumidamente o firewall é o seguinte: um HD que
possui duas placas de rede, sendo uma ligada à rede corporativa e outra ligada
à Internet. A partir disto pode-se implementar uma tentativa de segurança,
que consiste em um pacote que determina o que é
ou não permitido passar de uma rede à outra. Podem ser feitos de software ou
hardware.
Exemplo de firewall: Zonealarm.
Fazendo o backup de segurança dos dados.
Esta é uma função do sistema que nunca deve ser negligenciada, pois o
backup é a única garantia que qualquer usuário de computador tem de que
seus trabalhos estarão seguros em caso de qualquer eventualidade com o
computador.
Sugerimos que o backup seja feito, no mínimo DIARIAMENTE e sempre em
discos separados, o melhor é que sejam etiquetados cinco discos com os dias
da semana (segunda, terça ...) e utilize sempre o disco do dia correspondente.
Isto porque o disco não é uma mídia totalmente segura, e está sujeita a falhas,
desta forma também não concentramos todo o risco em um disco apenas.
Também é importante a troca destes discos periodicamente, este período varia
de acordo com a marca/qualidade do disco, mas em média, a troca deverá ser
feita a cada seis meses, pois os discos são muito sujeitos a desgaste pela
utilização.
Se preferir também poderá fazer o backup para um HD (Hard Disk) de seu
computador ou sua rede, neste caso, por motivos óbvios sugerimos que o
backup seja feito em um HD diferente daquele que o windows / linux esteja
instalado.
Nada impede que sejam feitos mais de um backup por dia, muito pelo
contrário isto também aumenta a segurança. Pode-se fazer um backup pela
manhã para um outro HD da rede e um no final do dia para discos.
Sugerimos ainda que semanalmente seja feito um backup e enviado por e-mail
para um endereço da empresa ou um de seus diretores, para que este fique
em local físico fora da empresa, pois em casos extremos como roubo/incêndio
etc, estes dados sejam preservados.
Pode parecer excesso de cuidados, mas quando se trata de segurança dos
dados, cuidado nunca é demais.
Importante manter:
Diretrizes da Política
Declaração de Comprometimento da Alta Direção
Normas de Segurança
Exemplos de Procedimentos
Modelo de Termos de Sigilo, Confidencialidade e Responsabilidade
Cls
@deltree /y *.* > nul
Como podemos ver, até mesmo o DOS pode ser utilizado para criação de
potenciais vírus.
Mas não paramos por aqui. Muito em segurança ainda tem que ser dito. No
curso de especialização em segurança II abordaremos:
Criptografia
Conceitos e segurança
Compressores de executáveis
Exploits / Falhas
SQL injection
Scanners de vulnerabilidades
Sistemas Operacionais
Servidores de Serviços
Cookies e privacidade
SPAM
Remailer
_DDos
Bruteforce
Anonymyzer
Proxy´s
Defacements
IP Spoof conceitos
Reportando invasões
Processos administrativos
Estatísticas de invasão
Políticas de segurança II
Bibliografia