Os ataques aos computadores podem acontecer de maneiras diferenciadas. Lembrando sempre do conceito de segurança lógica x segurança física, abarrotar um determinado servidor até que ele esgote seus recursos e pare de responder ou o simples ato de retirar este servidor da tomada, podem ser considerados um ataque de negação de serviço (DoS), sendo que a segunda situação pode até ter sido mais rápida. ;o)
Neste post estão alguns ataques "digitais" mais conhecidos, mas os ataques não se limitam ao ambiente digital (lógicos), bem como não se limitam aos expostos aqui.
1 - Engenharia social: A engenharia social pode ser considerada um ataque, mas ela é muito utilizada como preparação para um ataque. Esta técnica consiste em utilizar-se de lábia (isso mesmo, bate-papo formal ou informal), para adquirir informações críticas sobre um determinado "alvo", geralmente valendo-se da boa vontade da vítima. Em uma conversa telefônica aparentemente amistosa, um possível atacante se fazendo passar por um funcionário da empresa "X" realizando uma pesquisa de mercado, pode coletar dados importantes da empresa como nomes dos funcionários de gerência, quantidade de máquinas, quantidade de servidores, sistemas operacionais desses servidores, organograma da empresa (identificando possíveis contas com privilégios gerenciais nos sistemas da empresa) e muitas outras informações. Basta perguntar, a maioria das pessoas responde sem se certificar com quem está falando.
2 - Rastreamento de portas: através do rastreamento de portas, utilizando ferramentas como o "nmap", é possível saber quais serviços estão rodando em determinado computador da rede. Se eu rodar o nmap contra um servidor e ele me retornar com a porta 3128 no estado "listen", sei que ali se encontra um servidor proxy. Se retornar a porta 80, sei que ali encontra-se um servidor web (para ver uma lista das portas conhecidas visite: http://www.iana.org/assignments/port-numbers). Com um pouco de pesquisa em sites como o Security Focus por exemplo (www.securityfocus.com), é possível descobrir e explorar falhas bem comprometedoras nesses serviços. Note que se o administrador desse sistema for atento, todas essas falhas PUBLICAMENTE DOCUMENTADAS já terão sido corrigidas nos seus sistemas, tão logo seus fabricantes as disponibilizem.
3 - Malwares: todo e qualquer tipo de malware (vírus, spyware, trojan, keylogger, ransonware, botnets, etc), representam um tipo de ataque. Falaremos sobre eles em posts futuros.
4 - Sniffers de rede: As redes mais antigas utilizam um aparelho concentrador denominado "hub", no qual todos os dispositivos da rede cabeada se conectam nele para poderem fazer parte da rede. O hub é um dispositivo que se comunica em broadcast, ou seja, fica "gritando" para todas as portas da rede ouvirem; a máquina destinatária do pacote o recebe e as outras máquinas o descartam. Utilizando um sniffer, é possível colocar a placa de rede de um determinado computador da rede em modo "promíscuo", ou seja, todos os pacotes da rede que chegam a sua interface, mesmo os que não são endereçados a ele serão aceitos. Depois de um determinado período de coleta, o atacante analisa o conteúdo desses pacotes, podendo capturar dados sensíveis como senhas de e-mails sem criptografia, conversas de softwares de mensagens instantâneas, etc. Nos ambientes atuais, os dispositivos concentradores são denominados de Switch (infinitamente melhores do que hubs, pois direcionam o tráfego da rede a porta correta do ponto "A" ao ponto "B", ao invés de usar broadcast para tudo), fazendo com que essa prática seja menos frequente. Porém é preciso ter cuidado, pois quando um ataque de DoS (Negação de serviço) é realizado num switch, ele volta a atuar como um hub, permitindo que softwares de captura de tráfego consigam informações úteis novamente através da rede.
5 - DoS - Denial of Service ou Negação de Serviço: Um ataque de negação de serviço, como o nome sugere, consiste em fazer com que determinado serviço que está sendo oferecido seja de alguma forma, negado. Se um pipoqueiro se descuidar do seu carrinho e alguém o roubar, ele não poderá mais fazer pipocas, ou seja, o serviço antes oferecido estará temporariamente indisponível (belo exemplo Spk, parabéns ;o)). Se um servidor Web está no ar e receber mais solicitações de conexão que possa suportar recusando mais conexões, este servidor sofreu um ataque de negação de serviço. Veja que não houve roubo de informações ou perda de dados, mas imagine num site de comércio eletrônico, quantos negócios deixaram de ser fechados por indisponibilidade do servidor Web. E a reputação da empresa? Se você está entrando no site pela primeira vez e este fica continuamente recusando conexões e mostrando mensagens de erro na sua tela, qual será sua primeira impressão desta empresa? Será que você confiará nesse site futuramente?
6 - DDoS - Distributed Denial of Service ou Negaçao de Serviço Distribuída: o conceito é o mesmo do DoS, porém neste ataque, grosseiramente falando, um micro mestre coordena centenas ou milhares de micros "escravos" (obviamente infectados por algum tipo de vírus), fazendo com que todos eles acessem um determinado serviço de um determinado servidor na mesma data na mesma hora, esgotando os recursos desse servidor rapidamente. Lembra do pipoqueiro? É como se a torcida do Flamengo estivesse em volta dele enlouquecida pedindo um pacote de pipoca. Em pouco tempo seus recursos se esgotariam e ele não poderia mais oferecer seus serviços temporariamente (Ahhh, adoro esses meus "bons" exemplos ;o)).
7 - Spoofing: esta técnica consiste em alterar uma informação de um determinado pacote, fazendo-se passar por outro computador/recurso. É possível alterar o endereço IP de um pacote fazendo com que ele pareça ter sido enviada por outro computador (geralmente um computador confiável na rede). É como utilizar a identidade de outra pessoa. Como os roteadores geralmente utiliam apenas o "Endereço IP de Destino" para fazer o roteamento de pacotes não há muita preocupação quanto a sua origem. Esse tipo de procedimento é muito utilizado em ataques MITM (Man in the middle). Como o spoofing consiste em utilizar uma identidade falsa, existem técnicas de DNS Spoofing, DHCP Spoofing, IP Spoofing, ARP Spoofing, entre outras.
8 - DNS Poisoning ou Envenenamento de DNS: Como o nome sugere, neste tipo de ataque, o infrator consegue comprometer um servidor de DNS utilizado pelo usuário. O servidor de DNS é aquele cara que transforma URLs em endereços IPs (para você, pouco imorta que a página do terra esteja no endereço 200.176.3.142, você quer abrir o seu navegador, digitar www.terra.com.br e que a mágica aconteça...). Agora imagine se o seu DNS, ao invés de dizer que a página do Terra está no 200.176.3.142, disser que o Terra está no 69.7.98.15? E pior, se quando o seu navegador abrir este endereço, ele realmente parecer a página do terra...? É, muito ruim, mas a princípio sem problemas, pois você só queria saber as últimas notícias mesmo, nenhuma informação muito útil para o invasor (tirando o fato dele poder estar traçando seu perfil). Mas os problemas realmente começam quando você decide acessar seu e-mail do Terra, onde obviamente você precisará de um usuário e uma senha. HUmmm, complicou né? Agora imagine essa mesma situação quando você acessa a página do seu banco para verificar seu saldo...
Esses foram apenas alguns tipos de ataques mais comuns, para o usuário entender a gravidade do problema. Em tópicos futuros exploraremos mais a fundo alguns desses ataques bem como novos ataques que venham a surgir.
Nenhum comentário:
Postar um comentário