CBPF-NT-008/2000

SEGURANA NA WEB

Marita Maestrelli Email: marita@cbpf.br Bernardo Trovo Email: bernardo@cbpf.br Fernanda Jannuzzi Email: fernanda@cbpf.br

Segurana na Web

CAT-Informtica

-1-

CBPF-NT-008/2000

Prefcio

Uma rede local conectada a Internet exige a implementao de vrias normas de segurana. Com o surgimento da Internet comercial, o acesso aos detalhes sobre falhas de segurana em qualquer aplicao ficou muito mais fcil. Segurana tem se tornado uma das principais atribuies dos administradores de redes, pois a cada dia surgem novos vrus e vulnerabilidades so descobertas nos diversos sistemas de rede. Esta Nota Tcnica uma introduo a segurana na World Wide Web, abordando desde o protocolo primrio utilizado na Internet (TCP/IP), at as estatsticas das pixaes feitas nos sites mundiais.

Esta a primeira das Notas Tcnicas que abordaro o tema Segurana, e derivou do projeto de Vocao Cientfica do aluno Bernardo do CAP/UFRJ.

Segurana na Web

CAT-Informtica

-2-

CBPF-NT-008/2000

NDICE
1. Introduo ----------------------------------------------------------------------------------------2 2. Comunicao na Internet ----------------------------------------------------------------------3 2.1. Protocolo TCP/IP---------------------------------------------------------------------3 -Aplicao----------------------------------------------------------------------------------3 -Transporte---------------------------------------------------------------------------------3 -Rede----------------------------------------------------------------------------------------3 -Fsico-------------------------------------------------------------------------------------- 4 2.2. A aplicao WWW ----------------------------------------------------------------- 4 2.2.1. Definio ------------------------------------------------------------------ 4 2.2.2. Web server----------------------------------------------------------------- 5 -Apache----------------------------------------------------------------------------6 -IIS --------------------------------------------------------------------------------7 2.2.3. Executando programas na Web------------------------------------------8 -CGI--------------------------------------------------------------------------------8 2.2.4. Web Chats------------------------------------------------------------------9 2.2.5. Invasores -----------------------------------------------------------------11 -Hackers--------------------------------------------------------------------------11 2.2.6 Segurana ---------------------------------------------------------------- 12 -SHTML -------------------------------------------------------------------------12 -Criptografia---------------------------------------------------------------------12 2.2.7 Insegurana----------------------------------------------------------------13 -Java applets hosts--------------------------------------------------------------13 3. Estatsticas de pixaes em pginas na internet ------------------------------------------ 14 4.Concluso----------------------------------------------------------------------------------------17 5.Bibliografia--------------------------------------------------------------------------------------18 Glossrio------------------------------------------------------------------------------------------- 19 Apndice 1 ---------------------------------------------------------------------------------------- 22

Segurana na Web

CAT-Informtica

-3-

CBPF-NT-008/2000

INTRODUO
Atualmente as empresas e instituies que integraram internet tm enfrentado uma srie de problemas relacionados a segurana de seus Web Servers, que so as mquinas que oferecem o servio de HTTP para determinada rede. Isto decorrente do crescimento descontrolado da Web. Explicaremos no decorrer desta nota tcnica de que maneira estes Web Servers podem permanecer mais seguros. Existem uma srie de Servers (servidores) disponveis no mercado, apresentaremos dois dos principais com algumas das caractersticas relativas parte de segurana, assim como, o tipo de plataforma que operam, alm de algumas sugestes de configurao destes servidores. Ser explicado de maneira geral como as informaes trafegam na rede, o perfil de um invasor, as falhas mais comuns na configurao de um Web Server, e dos protocolos utilizados para enviar, receber e intermediar as relaes servidor/cliente (usurio).

Segurana na Web

CAT-Informtica

-4-

CBPF-NT-008/2000

2-COMUNICAO NA INTERNET 2.1-TCP/IP -( TRANSMISSION CONTROL PROTOCOL/INTERNET PROTOCOL)

um padro de comunicao que rene um conjunto de protocolos tais como tcp, ip, ftp (file tranfer protocol), telnet, icmp, arp e nfs. As informaes que trafegam na rede necessitam do TCP/IP, por isso ele utilizado como protocolo primrio da rede na internet. Este protocolo foi dividido em camadas bem definidas, cada uma realizando sua parte na tarefa de comunicao (aplicao, transporte, rede, e fsico). Este modelo tem a seguinte vantagem: por ter os processos de comunicao bem definidos e divididos em cada camada, qualquer alterao poder ser feita isoladamente, no precisando reescrever todo o protocolo. O TCP/IP tem como principal caracterstica a transmisso de dados em mquinas que diferem em suas arquiteturas . Estas so as camadas que compem o modelo TCP/IP. Aplicao Transporte Rede Fsico

-APLICAO
Nesta camada so necessrios protocolos de transporte para garantir o funcionamento das aplicaes reais (DNS, WWW, SMTP, POP, NFS, FTP). Esta camada trabalha com a porta a qual esta ligada a aplicao. Ex: FTP (porta 21), HTTP (porta 80), Telnet (porta 23), etc.

-TRANSPORTE
Utiliza dois protocolos para a comunicao Host-to-Host (TCP/UDP). Esta camada tambm tem como funo organizar e controlar o fluxo de dados transmitidos para que o protocolo no se perca no meio de tantos pacotes.

-REDE
A camada chamada de rede ou Internet, tem como principal funo direcionar os dados aos seus respectivos endereos. Esta caracterstica chamada de roteamento, que tambm tem como vantagem evitar o congestionamento da rede, pois trabalha com endereo IP de origem e destino.

Segurana na Web

CAT-Informtica

-5-

CBPF-NT-008/2000

-FSICA
Esta camada est com o seu funcionamento baseado na placa de rede, que dependendo do meio em que est funcionando trabalhar com diferentes padres.

2.2- A APLICAO WWW 2.2.1 DEFINIO

World Wild Web ou Web o nome dado a todos os documentos HTML depositados nos servidores HTTP interconectados a internet. Esses documentos assim como os links que os compem, formam uma teia (web) de informaes.

(fig. 1)

A Web foi desenvolvida em 1989 e liberada em 1991 por seus criadores no CERN (European Laboratory for Particle Physics) com o objetivo de compartilhar os arquivos dos usurios de modo mais grfico. Os visualizadores grficos so utilizados para carregar pginas na Internet. o que chamamos de browser ou navegador. Podemos citar diversos exemplos de navegadores como o Netscape, Internet Explorer e at mesmo o pioneiro deles, o Mosaic. Com o crescimento explosivo da Web, houve a necessidade de aumentar as tcnicas utilizadas para a navegao, logo, falhas foram ficando mais claras e pblicas. Com isso o WWW comeou a ser um freqente alvo de invases realizadas por piratas da rede. Essas invases podem ser motivadas por exemplo, com algum descuido na hora de configurar um servidor web; ou causado pela inexperincia de alguns programadores das linguagens para WWW (Perl, Java, Java Script, Asp), que cometem erros sutis em suas programaes, gerando aberturas que facilitam o trabalho do invasor; ou at mesmo falhas dos prprios navegadores que quando so descobertas so bastante exploradas pelos invasores. Isso demora muito a acontecer, e quando a empresa informada, a mesma providencia um PATCH para a correo do problema. At todo esse processo se desenvolver, demora muito tempo, e os estragos causados neste espao de tempo, podem ser grandes.

Segurana na Web

CAT-Informtica

-6-

CBPF-NT-008/2000

2.2.2 - WEB SERVERS

um host com software apropriado que proporciona servios web a usurios de uma rede. Host Software Web Server (fig. 2) Cada Servidor Web possui tem caractersticas prprias, sendo necessrio observar os procedimentos includos na documentao de cada um. Entretanto, existem alguns tpicos comuns a qualquer servidor Web que permitem configurar os ambientes particulares de cada instalao. Alguns desses tpicos referem-se a especificaes do tipo: ! ! ! ! ! ! ! ! ! A pasta ou diretrio raiz do Servidor. A pasta ou diretrio onde vo residir os scripts, ou programas executveis. A pasta ou diretrio onde os documentos (textos HTML) e figuras esto. Nmero mximo de processos e usurios simultaneamente. Os "alias" para identificar, dentro dos programas, os componentes e recursos do Servidor, sem necessidade de saber o verdadeiro nome deles. O nome default da pgina inicial, ou Home Page. As opes de Log e segurana. Os filtros incorporados ao servidor. A estrutura de permisses e privilgios do Servidor.

Web Server

Cada tipo de plataforma necessita de um web server especfico Existem inmeros servidores web, no entanto apenas cinco se destacam realmente o Apache, IIS, Netscape, NCSA e Novell . Na figura 3 observa-se a utlizao deles na Internet. No apndice 1, enumeramos vrios Web Servers e as plataformas que eles atuam.
60% 40% 20% 0%
Apache
55% 32% 25% 6% 2% 10%

IIS

Netscape

NCSA

Novell

Outros

(fig. 3)
Segurana na Web CAT-Informtica -7-

CBPF-NT-008/2000

Abordaremos nesta nota tcnica os dois Web Servers mais utilizados. APACHE e IIS.

-APACHE
O APACHE o melhor e mais popular web server no mundo. Muitos sites na Internet o usam e isso se d pela sua grande segurana e excelente desempenho. At mesmo em sua verso Windows, ele pode ser usado para fazer grandes servidores. A tabela abaixo est mostrando a relao entre grandes instituies e os servers utilizados.

Servidor

Instituio
Javasoft, FBI, Financial Times, O Banco de dados de Cinema, W3 Consrcio, A Famlia Real, Servio de Automatizao da Biblioteca Universitria de Oxford M.I.T, Universidade de Harvard e a Universidade de Texas em Austin

Apache

IIS (Internet Information Server)

Compac, Nasdaq, A Liga de Futebol Nacional, Exxon e Tesco

A principal ameaa aos web server so os programas que procuram por vulnerabilidades nos servers, tais como bugs ou portas que estejam disponveis para invaso. Estes programas so perigosos principalmente pelo fato de serem muito fceis de usar. O que torna realmente um servidor seguro ou no a maneira a qual ele configurado, muitas vezes um site na internet invadido no por problemas do web server e sim da maneira como ele foi configurado. Existem alguns pontos na sua configurao que devemos analisar e configurar de forma correta para que no haja furos na segurana deste web server. A primeira maneira diz respeito no s ao Apache, mas a todos os servidores web. Consiste na maneira a qual o daemon de httpd e startado. Normalmente, o processo "pai" e startado com permisses de root, logo ele poder "escutar" a porta 80, que e a porta padro do servio http. Quando h solicitao de conexo na porta 80, e gerado um processo "filho" cujo dono e grupo so definidos no arquivo httpd.conf. A idia que para ficar mais seguro se troque o dono e o grupo do processo "filho" para nobody atravs deste arquivo de configurao. Uma outra preocupao e com relao permisso dos diretrios e dos arquivos. O diretrio CGI ter permisso 711, ou seja, ele pode ser executado e no listado, mas os scripts l contidos, tm que ter permisso 755 para poderem ser executados corretamente. Os arquivos de configurao contidos na raiz do servidor, devem ter apenas permisso para o root de ler e escrever.
Segurana na Web CAT-Informtica -8-

CBPF-NT-008/2000

O Apache trabalha basicamente com trs arquivos de configurao. so eles o access, conf, httpd.conf e srm.conf. E importante saber trabalha-los, pois, se configurados corretamente, ser possvel controlar diversos mecanismos para aumentar a segurana no seu servidor, tais como: ! Desabilitar listagem automtica dos diretrios ! Negar os links simblicos de seguirem fora da rvore do diretrio de documentos, impedindo assim que arquivos confidenciais sejam visualizados ! Desabilitar os SSI, impedindo assim que usurios remotos possam executar comandos arbitrrios ! Impedir que usurios remotos possam navegar sem preocupaes por seus sistema de arquivos ! Evitar que as configuraes dos usurios prevaleam sobre as do sistema Como dito anteriormente, nenhum servidor web e totalmente seguro. Os bugs so a maior prova disso. Aqui relacionamos trs bugs do Apache. " Permite a qualquer usurio remoto executar comandos UNIX arbitrrios no servidor. Verses afetadas: 1.02 e inferiores " Usurios locais podem executar comandos UNIX com a permisso igual a do servidor Web. Verses afetadas: anteriores a 1.2.5 " Permite ao usurio enviar cookies muito grandes para o servidor Web, ocasionando o estouro da pilha. Verses afetadas: anteriores a 1.1.3 " Permite ao usurio visualizar o contedo de paginas Para a correo dos Bugs os implementadores do Apache recomendam instalao de patches.

-IIS
O IIS ( Internet Information Server) o segundo Web server mais utilizado na internet. Este server tem como funes estabelecer um modelo de segurana e oferecer recursos de monitorao no Windows NT. A segurana deste server consiste basicamente em controlar o acesso informaes contidas no sistema, atravs de permisses especiais de acessos s pastas e programas, impedindo assim que usurios faam utilizaes indevidas ou visualizem arquivos de acesso restrito. O mais importante em relao a parte de segurana do server o modo com que ele configurado, no se pode de nenhuma maneira tornar acessveis informaes do sistema relativas a localizao de arquivos de configurao, pastas que contenham informaes confidenciais como senhas ou qualquer outro tipo de informaes que facilitem ou permitam a entrada de invasores.

Segurana na Web

CAT-Informtica

-9-

CBPF-NT-008/2000

O IIS da Microsoft possui uma srie de bugs, alguns j foram sanados atravs de patchs disponibilizadas na prpria pgina da empresa. At este momento foram descobertos cerca de 14 bugs. A seguir sero explicados 2 deles. " Relativo ao active server pages (asp), que funciona criando documentos dinmicos atravs da combinao de html com scripts. Quando este recurso utilizado e o Web server que estiver rodando for o IIS 4.0, possvel visualizar todo o contedo do diretrio digitando um ponto (.) no final do endereo. Nestas pastas podem estar contidos arquivos de acesso restrito e a apropriao indevida dos mesmos pode acarretar por exemplo no roubo de senhas. Este patch est disponvel na pgina da Microsoft. " Relativo ao ataque DoS (Denial of Service). Este ataque consiste em sobrecarregar o CPU invadida, enviando solicitaes que provoquem falhas no inetinfo.exe do IIS. Ao ser corrompido este processo ser iniciado usando 100% da capacidade da CPU pertencente ao server, dificultando a aceitao de solicitaes e tornando o server mais lento, no decorrer do processo o servidor travar sendo necessrio reinicializar o sistema. A Microsoft disponibilizou os patches para correo que podem ser encontrados no prprio site da Microsoft.

2.2.3 - EXECUTANDO PROGRAMAS NA WEB -CGI

O cgi um protocolo comum o qual o servidor HTTP (web server) usa para intermediar a transferncia de um programa entre ele e o cliente HTTP (seu browser). Aplicao CGI

Web Server

Cliente

(fig. 4)

Protocolo CGI

Segurana na Web

CAT-Informtica

-10-

CBPF-NT-008/2000

O cgi gera problemas aos web servers, s redes que os hospedam e at mesmo os clientes de HTTP. Este perigo no est ligado ao protocolo cgi e sim aos scripts cgi contidos neste diretrio. Esses sim, so a maior fonte de bugs de segurana e por isso precisam ser escritos cuidadosamente. Na verdade, o que pode gerar isso so alguns erros sutis na codificao, permitindo assim que informaes de servidores ou do sistema apaream, ou comandos arbitrrios gerados a partir desses scripts.

Exemplos de cgi conhecidos como furo de segurana: Script count.cgi webdist.cgi php.cgi Anyform FormMail Phf Verses afetadas 1.0-2.3 1.0-1.2 at 2.0 1.0 1.0 Todas Uso contador de pgina distribui software Linguagem de scripts cria formulrios envia dados/e-mail Phone book

Recomendamos para maior segurana nos scripts:

Colocar todos os scripts em um nico diretrio (configurado no arquivo /conf/srm.conf). Usar programas como TRIPWIRE para monitorar mudanas ocorridas nos scripts. A permisso dos scripts 711(*) e do diretrio CGI 755(*)2. Desative os scripts que no so mais utilizados. Dentro do seu cdigo evite dar mais detalhes sobre seus scripts, no assuma tamanho de dados na entrada e analise sempre os dados de entrada do usurio. Chame os programas utilizando caminhos absolutos. (*) permisso para o usurio ler, escrever e executar, para o grupo e outros apenas de execuo. (*)2 permisso para o usurio ler, escrever e executar, para o grupo de executar e ler e para outros apenas de execuo.

2.2.4 - WEB CHATS

Ao entrar em um web chat, geralmente o usurio no imagina os riscos ao qual fica exposto. O Hacker pode tentar atac-lo por diversos motivos.

Segurana na Web

CAT-Informtica

-11-

CBPF-NT-008/2000

Ele pode tentar um ataque que nada tem a ver o usurio. simples, o pirata s tenta burlar regras impostas por responsveis pelo chat como: Dar efeitos diferentes ao texto (cor, tipo de texto). Entrar em uma pgina que o limite de usurios j esta esgotado. Entrar em salas restritas assinantes de determinado provedor. Enviar mensagens a todos os usurios da sala simultaneamente e repetidamente.

Outra forma de ataque feita diretamente com a inteno de prejudicar ou pelo menos investigar um usurio ou vrios deles. Entre eles podemos citar: Clonar seu nick (apelido no chat). Apagar a lista de nomes das pessoas que esto no chat. Visualizar seu HD (hard disk). Rastrear seu IP e a partir dai poder monitorar e/ou administrar sua maquina. Executar aplicaes que possam atrapalhar desempenho da sua mquina

O mais alarmante disso que esses ataques podem ser feito por qualquer pessoa, sem que seja necessrio grande conhecimento tcnico. Outros fatores que contribuem para a falta de segurana dentro destes chats a demora dos provedores em desenvolverem protees contra para estes tipos de ataques (os chamados filtros), e a facilidade com que estas informaes so disponibilizadas na Internet por meio de sites hackers, tem instrues detalhadas de como fazer, atravs das linhas de comando, ou como instalar e configurar determinados programas que executem este tipo de funo. Como dito no pargrafo acima, essas ocorrncias podem surgir tanto por linhas de comandos (como por exemplo comandos de HTML) como softwares especializados neste tipo de atitude. Entre esses programas, podemos citar:

Robot Mask UOL v1.2 News Envia mensagens em todas as salas do chat do UOL. Robot Mask MANDIC v1.2 News Envia mensagens em todas as salas do chat da MANDIC. Robot Mask WORLD v1.2 News Envia mensagens em diversas salas de bate papo, STI, CORREIO, ETC. Chat Mask Server v1.1 WebChat Pessoal, um chat rodando direto do seu hd. DynIP Client v3.0 Converte seu IP por um Domain Name. Omni Httpd PRO v2.01 Servidor Pessoal, que atravs do envio de fotos no chat, rastrea IPs

Segurana na Web

CAT-Informtica

-12-

CBPF-NT-008/2000

IpTracer Rastreia IP em salas de chat.

Chat Buster Outro ratreador de Ips em salas de chat. Esse se apresenta mais eficaz que o acima pois funciona em mais chats que o anterior.

2.2.5 - INVASORES -HACKERS

Quando iniciamos os estudos sobre segurana, vimos que a maioria das referncias associam o termo "hacker" a piratas da rede, salvo uma, que deu a melhor definio para este termo. Um hacker no necessariamente uma pessoa que seja pirata de rede, e sim uma pessoa com extrema capacidade de associao e compreenso, dotada com extrema competncia em uma rea especfica, por isso o termo muito utilizado para caracterizar os piratas da rede, pois geralmente so muito inteligentes e dedicados quase que integralmente em seus objetivos ou suas atividades. Os hackers so indivduos inteiramente ligados seus projetos de atacar redes por diversos motivos, entre eles podemos citar a destruio de redes, utilizao dos recursos que ela oferece, hospedar programas em uma determinada rede para que atravs desta ele possa invadir outras, roubo de informaes, descobrir falhas nos sistemas para que esta informao possa ser passada, assim, outros hackers podero invadir da mesma forma ou at para provar aos outros que ele pode descobrir qualquer falha e invadir qualquer sistema. Normalmente, estas pessoas possuem algumas caractersticas comuns. A grande maioria dos piratas de computador so jovens com idade entre 16 e 25 anos. Eles tambm apresentam algumas outras caractersticas, como: Ser especialista em HTML e em linguagens de programao da Internet tais como CGI, DHTML, JAVA , PERL, alm de outras linguagens como C, C++, programao Shell. Ter conhecimentos avanados em TCP/IP. Conhecer minimamente todos os sistemas operacionais, principalmente LINUX, UNIX e WINDOWS. Preferir as linhas de comando aos ambientes grficos. Os ataques, em sua grande maioria, ocorrem de madrugada, pois dificilmente os administradores estaro controlando seus sistemas. Outra caracterstica destes ataques que raramente deixam rastros.

Segurana na Web

CAT-Informtica

-13-

CBPF-NT-008/2000

2.2.6 - SEGURANA
Interna e externamente o servidor Web cada vez mais freqentemente o elemento intermedirio da comunicao entre o usurio final e a aplicao de acesso ao Banco de Dados para operaes ou de consulta. A busca por mecanismos que assegurem que somente as transaes legtimas sejam acatadas, sem abrir mo de formas de acesso baratas, universais e de amplo uso, tem sido uma preocupao constante de quem implanta servios neste contexto.

-SHTML (SECURITY HYPER TEXT MARKUP LANGUAGE)

O shtml tem como funo tornar os documentos html interativos. O que possibilita este dinamismo o recurso SSI (Sever Side Includes) que utilizado pelo shtml. O SSI trabalha executando na pagina scripts e CGIs que estejam contidos no servidor. O que diferencia este recurso do html a possibilidade de aplicar, diretamente no cdigo, variveis de um programa CGI, contido no servidor, em uma homepage. Atravs do SSI possvel carregar para o usurio variveis que possam conter por exemplo datas, horas, mensagens e etc que se modificam automaticamente. Porm para se obter acesso na construo deste tipo de pgina, faz-se necessria autorizao por parte do Web Server.

-CRIPTOGRAFIA
A criptografia um conjunto de tcnicas utilizadas para transformar as informaes que trafegam na rede, em textos cifrados para mente-las em sigilo. Ela trabalha codificando a informao de modo que apenas quem tiver conhecimento da chave utilizada, poder decodific-la. Atualmente existem dois mtodos de encriptao, que utilizam algoritmos baseados em chaves: simtrica e assimtrica. A criptografia de chave simtrica trabalha utilizando uma nica chave para codificar e decodificar a informao. Este tipo de criptografia mais utilizado nas conexes temporrias ou em conexes seguras, como por exemplo no preenchimento de dados sigilosos na internet. Como a chave utilizada nica, ela deve ser mantida em segredo. A segurana dos algoritmos simtricos residem nesta chave e divulga-la significa que qualquer um pode tanto cifrar como decifrar qualquer mensagem que utiliza este sistema criptogrfico. J a criptografia de chave assimtrica utiliza duas chaves diferentes para encriptar. Estas chaves so denominadas de privada, que a qual apenas o usurio tem conhecimento, e a pblica que transmitida para o destinatrio de modo que apenas este possa decodificar a informao. O esquema abaixo ilustra este processo:

Segurana na Web

CAT-Informtica

-14-

CBPF-NT-008/2000

Cliente A Envia mensagem

Chave privada cliente A + chave publica cliente B

Cliente B Recebe mensagem Chave privada cliente B + chave publica cliente A (fig. 5)

2.2.7 INSEGURANA

-JAVA APPLETTS HOSTIS

Se voc costuma navegar pela Internet em busca daquela informao que voc necessita ou daquela imagem maneira, acautele-se. Voc pode estar sendo infectado por um vrus transportado por um Java Applet. Java Applets hostis Java a maior onda do momento. Trata-se da primeira linguagem de programao realmente portvel, estvel, barata e fcil de usar, pelo menos para quem conhece C. Todavia existe uma serpente tambm neste paraso. Problemas de segurana srios podem ser acarretados a partir do simples e aparentemente inocente acesso a uma pgina WWW cheia de vistoso recursos multimidia que para serem apreciados requerem que voc permita o envio para a sua mquina, de cdigo que ser localmente executado. Java tem mecanismos intrnsecos de segurana mas o fato de implicar no envio de cdigo executvel para o browser abre espao para toda uma srie de ataques. E estas brechas tem sido usadas. Os mecanismos bsicos de segurana do ambiente Java implicam em que o cdigo recebido seja limitado a certas aes e contexto, tais como: executar clculos, iteraes, etc... desenhar dentro dos limites definidos pelo HTML na janela do cliente desenhar janelas marcadas como janelas Java fora da janela do navegador comunicar via interface de soquetes com o host que carregou o applet

Segurana na Web

CAT-Informtica

-15-

CBPF-NT-008/2000

A equipe da Universidade de Princeton tem testado os browsers Netscape e Microsoft Explorer e em cada nova verso novos furos tem sido apontados. Os mais significativos so os seguintes: DNS spoofing (como um computador engana um servidor fazendo-o acreditar que ele outro nodo ou cliente), o envio de cdigo executvel no confivel para sistemas remotos que executam comandos que no era suposto executar (mais poderosos do que o definido no contexto Java) e vrios defeitos nos primeiros browsers que tambm permitem que as aes comandadas saiam fora do contexto limitado anteriormente referido provendo acesso a variveis e arquivos do sistema. Assim, aquela pgina WWW vistosa que voc buscou num endereo qualquer pode conter o ovo da serpente que ser aninhada e nascer nas entranhas de sua mquina. Applets Java potencialmente hostis podem ingressar numa Intranet enganando o firewall via DNS spoofing. Claro que sempre possvel desabilitar os Java scripts em seu browser. Isto pode ser feito selecionando a opo "Security Preferences" do menu de "Options" e ento clicando na caixa "Disable Java" mas ento perde-se o efeito pretendido para a pgina. Um servidor proxy para http poderia tambm ser configurado para impedir a passagem de arquivos com classe Java.

3 ESTATSTICAS DE PIXAES EM PGINAS NA INTERNET

A seguir sero exibidos uma srie de grficos que representam os sistemas operacionais mais atacados e quais os Web Servers que operam nesses hosts. (Todos as informaes destes grficos foram obtidos no perodo de um ano, de agosto de 99 at agosto de 00)

Solaris 10%

BSD 7%

Outros 5%

Linux 19%

NT 59%

(fig. 6)

Ser mostrado atravs de tabela e grfico os domnios mais atacados Tabela com nmeros relativos ao ano 2000
Brazil (br) United States (us) United Kingdom (uk) 453 269 191

Segurana na Web

CAT-Informtica

-16-

CBPF-NT-008/2000

Korea, Republic of (kr) Mexico (mx) Germany (de) Australia (au) Canada (ca) Russian Federation (ru) Argentina (ar)

141 134 89 81 80 80 73

Russian Federation (ru) 5% Canada (ca) 5% Australia (au) 5% Germany (de) 6% Mexico (mx) 8% Korea, Republic of (kr) 9% United Kingdom (uk) 12% United States (us) 17% Argentina (ar) 5%

Brazil (br) 28%

(fig. 7)

O grfico acima refere-se aos domnios mais invadidos. Note que o Brasil lidera esse ranking. Espera-se que ocorra uma reviravolta neste quadro a curto ou mdio prazo, pois alguns sites j esto comeando a investir em segurana.

Segurana na Web

CAT-Informtica

-17-

CBPF-NT-008/2000

Web Servers Pixados

(fig. 8)

No grfico acima possvel observar que o IIS o Web server com o maior ndice de invases, este servidor trabalha nas plataformas Windows NT, que por sinal o sistema operacional com o maior nmero de invases. Logo em segundo vem o Apache, porm preciso lembrar que este Web Server trabalha em diversas plataformas, o maior nmero de invases ocorre quando este servidor est instalado em mquinas que utilizam o Windows NT como sistema operacional.

(fig. 9)

O grfico acima representa a quantidade de Web Servers rodando sob os sistemas operacionais mais atacados. A parte inferior representa o sistema com a maior incidncia, o Windows NT, o segundo (de baixo para cima) diz respeito ao Linux, o terceiro ao Solaris, o quarto ao BSD e o ltimo a todos os outros sistemas disponveis.

Segurana na Web

CAT-Informtica

-18-

CBPF-NT-008/2000

4-CONCLUSO
No decorrer do desenvolvimento deste trabalho, conclumos atravs de inmeras pesquisas, que o servidor Apache o mais seguro e eficiente, por sua confiabilidade, versatilidade de plataformas de operao, alm de ser gratuito . Existem outros bons web servers disponveis no mercado, porm no to seguros, devido ao grande nmero de falhas em sua programao como o caso do IIS. preciso esclarecer que apesar de ser o mais seguro, no 100% livre de falhas. Portanto, preciso atualizar-se continuamente pois a cada dia so descobertos novos bugs. Os invasores de sistemas esto ficando cada vez mais numerosos e com mais recursos, todo o dia so lanados dezenas de programas de invaso, transformando a rotina dos administradores de web servers em uma eterna monitorao. Sugestes: 1. Manter-se, atualizado participando de listas de discusses e de boletins de segurana. 2. Monitorao permanente da rede; atravs de logs confiveis. 3. Redundncia de servidores e/ou backup dirios. 4. Ter uma poltica de segurana.

Segurana na Web

CAT-Informtica

-19-

CBPF-NT-008/2000

5- Bibliografia
Devido ao carter instvel das paginas na internet, no garantimos a acessibilidade de todos os sites. 1- Hackersclub - "www.hackersclub.com" 2- Microsoft - "www.microsoft.com.br"

3- "www.cciencia.ufrj.br" 4- "latam.iis.net" 5- "www.hackersnews.com.br" 6- "www.hackers.com.br" 7- "Sistema X - "http://members.nbci.com/rogeriox/" 8- Anti-hackers http://www2.uol.com.br/cgi-bin/anti-hackers/builder/builder.cgi 9- Attrition www.attrition.org/mirror/attrition 10 - Formas de Ataque Liana Tarouco POP-RS/CERT-RS-UFRGS

Segurana na Web

CAT-Informtica

-20-

CBPF-NT-008/2000

GLOSSRIO
TELNET O telnet um programa/protocolo utilizado para estabelecer uma comunicao remota com outra mquinas. Este recurso permite uma conexo simples e sem interface grfica. TCP (Transmission Control Protocol) um dos protocolos que compem o TCP/IP, responsvel pelo transporte de informaes pela rede. IP (Internet Protocol ou Protocolo da Internet) Responsvel pela identificao das mquinas, redes e encaminhamento das mensagens entre elas. O IP responsvel pelo roteamento dos pacotes entre dois sistemas que utilizem os protocolos do tipo TCP/IP. o mais importante dos protocolos utilizados na internet. FTP (File Transfer Protocol ou Protocolo de Transferncia de Arquivos) Um protocolo padro da Internet que usado para transferncia de arquivos entre computadores remotos. NFS (Network File System ou Sistema de Arquivos de Rede) Protocolo para compartilhamento de dados numa rede independente da mquinas UNIX. DNS (Domain Name System ou Sistema de Nome de Domnio) O DNS funciona como um catlogo de endereos na Internet. Ao requisitar no servidor de internet um endereo, ele procura em seu catlogo se ano conseguir encaminha este endereo para outros servidores e se nenhum servidor da rede conseguir identificar o endereo, ele considerado inexistente e a pesquisa para enviando uma mensagem de erro para o browser. SMTP (Simple Mail Transport Protocol ou Protocolo de Transporte de Mail Simples) Protocolo utilizado para a transferencia de correio eletrnico de um computador para outro em uma rede TCP/IP. POP3 (Post Office Protocol) Protocolo usado pelo correio eletrnico para manipulao de arquivos de mensagens em servidores de correio eletrnico. HTTP (HiperText Transfer Protocol ou Protocolo de Transferncia de HiperTexto) o protocolo mais utilizado na web, pelo qual os documentos so enviados do servidor para o Browser.

Segurana na Web

CAT-Informtica

-21-

CBPF-NT-008/2000

UDP (User Datagram Protocol) Neste protocolo, os pacotes so enviados ao destino sem uma preocupao se os dados chegaram completos ao destino. Por no Ter esta preocupao durante a comunicao, o UDP mais rpido que o TCP, porm menos confivel. bastante til para evitar sobrecarga quando durante a transmisso, perder um pacote ou outro no significa muito. PERL (Practical Extraction and Report Language) Linguagem de programao desenvolvida para processamento de textos. Tambm umas das linguagens mais utilizadas para se escrever scripts CGI. Java Linguagem orientada objetos, que permite o desenvolvimento de aplicaes e Applets Java muito utilizada na Web. Gera cdigo intermedirio (byte codes) que so interpretados em tempo de execuo. Javascript Linguagem de formulao de scripts relacionada linguagem Java. No totalmente orientada objetos interpretada. Oferece recursos avanados na construo de pginas na Web em conjunto com a linguagem HTML. ASP (Active Sever Pages) Linguagem de programao da internet desenvolvida pela empresa Microsoft, que permite entre outras coisas a manipulao de banco de dados via web e a criao de pginas HTML mais dinmicas. DHTML (HTML dinmico) uma linguagem avanada de edio de documentos para Web, que permite atribuir dinamismo e interatividade aos documentos. Windows Sistema operacional da Microsoft, no qual os aplicativos so apresentados de maneira bem amigvel ao usurio atravs do uso de janelas que podem ser redimensionadas e movidas.

Unix Sistema operacional desenvolvido pela AT&T. O Unix escrito em linguagem C, tambm desenvolvida pela AT&T. Esse sistema tem como principais vantagens o modo multiusurio, e a grande capacidade de processar.

Linux Conhecido como "Unix para PC". Foi desenvolvido em 1991, por Linus Torvald, estudante de Cincia da computao na Finlndia.

Segurana na Web

CAT-Informtica

-22-

CBPF-NT-008/2000

C Linguagem de programao que pode manipular o computador em baixo nvel. A linguagem C pode ser compilada em quase todos os computadores, permitindo o seu uso em uma ampla variedade de micros, minis e computadores de grande porte. C++ Verso orientada a objetos da linguagem C, criada por Bjarne Stroustrup. O C++ tornou-se popular por combinar a programao em linguagem C tradicional com a tcnica de orientao objetos.

Host O Host computador qualquer computador ligado rede, no necessariamente um servidor. SSI (Server Side Includes) So comandos extensivos a linguagem HTML que so processados pelo servidor Web antes da pgina HTML ser enviada. No lugar do comando enviado apenas o resultado do comando no formato normal de texto HTML. Bug (Erro. Inseto voador, em ingls) Este termo foi associado a ocorrncia de um erro na programao ou fabricao de um Software ou Hardware.

Segurana na Web

CAT-Informtica

-23-

CBPF-NT-008/2000

APNDICE 1

Nome AOLserver Digital

Plataforma UNIX, HPUX, Linux, IRIX, Solaris

ArexxWebServer

Amiga

Alibaba Amiga Web Server

Windows 3.x, NT, Windows Amiga

Apache

Linux, FreeBSD, Solaris, IRIX,Digital UNIX, BSDI, AIX,NetBSD, IBM OS/2, SCO,HPUX, NT CERN httpd UNIX

Commerce Server/400

AS/400

EIT httpd

UNIX

EMWAC HTTP Server

NT

EmWeb Embedded Web Server

Digital UNIX, BSDI, AIX, SCO, HPUX, Embedded, NT, Linux, Windows 95, FreeBSD, IRIX, Solaris

Enterprise Server

Novell NetWare

Enterprise Web Secure/VM

VM/CMS

EnterpriseWeb/MVS

MVS

Segurana na Web

CAT-Informtica

-24-

CBPF-NT-008/2000

EnterpriseWeb/VM

VM/CMS

GLACI-HTTPD

Novell Netware

GN Gopher/HTTP

UNIX

HTTPd for OS/2 HTTPS

IBM OS/2 NT (baseados em Intel e Alpha)

Internet Information Server

NT

Java Server

IBM OS/2, HPUX, NT, Linux, Windows 95, IRIX, Solaris

KA9Q

MSDOS

Lotus Domino Go Webserver

Digital UNIX, AIX, IBM OS/2, HPUX, NT, Windows 95, IRIX, Solaris

NCSA HTTPd

NetBSD, Digital UNIX, BSDI, AIX, SCO, HPUX, FreeBSD, IRIX, Solaris

Netscape Enterprise Server

Digital UNIX, AIX, HPUX, Windows, NT, IRIX

Netscape Netsite Servers

Windows, IBM OS/2 e NT

Open Market Web

UNIX

Oracle Web Application Server

HPUX, NT, Windows 95, Solaris

OS2HTTPD

IBM OS/2

Segurana na Web

CAT-Informtica

-25-

CBPF-NT-008/2000

Phttpd

UNIX

Plexus

UNIX

Purveyor

NT

Roxen Challenger

NetBSD, Digital UNIX, BSDI, AIX, SCO, HPUX, Linux, FreeBSD, IRIX, Solaris

SerWeb

Windows

Spinnaker

NT, Windows 95

Spyglass MicroServer

Embedded, NT, Linux, Solaris

The Major BBS

MSDOS

Viking

NT, Windows 95

vqServer

Be OS, NT, Linux, Windows 95, Solaris

WebControl

NetBSD, Digital UNIX, BSDI, AIX, Windows 3.x, SCO, HPUX, Embedded, NT, Linux, MS-DOS, Windows 95, FreeBSD, IRIX, Solaris

WebControl (TM)

NetBSD, Digital UNIX, BSDI, AIX, Windows 3.x, SCO, HPUX, NT, Linux, MS-DOS, Windows 95, FreeBSD, IRIX, Solaris

WEB4HAM

Windows

Windows httpd
Segurana na Web

Windows
CAT-Informtica -26-

CBPF-NT-008/2000

WebSite Professional

NT, Windows 95

WebTen

Macintosh

WN

UNIX

Xitami

NetBSD, Digital UNIX, BSDI, AIX, IBM OS/2, Windows 3.x, SCO, HPUX, NT, Linux, MS-DOS,VMS, Windows 95, FreeBSD, IRIX, Solaris

Zeus Web Application Server

Digital UNIX, AIX, HPUX, NT, Linux, IRIX, Solaris

Segurana na Web

CAT-Informtica

-27-