sexta-feira, 19 de dezembro de 2008

Sobre ataques na informática: tipos de ataque

Os ataques aos computadores podem acontecer de maneiras diferenciadas. Lembrando sempre do conceito de segurança lógica x segurança física, abarrotar um determinado servidor até que ele esgote seus recursos e pare de responder ou o simples ato de retirar este servidor da tomada, podem ser considerados um ataque de negação de serviço (DoS), sendo que a segunda situação pode até ter sido mais rápida. ;o)

Neste post estão alguns ataques "digitais" mais conhecidos, mas os ataques não se limitam ao ambiente digital (lógicos), bem como não se limitam aos expostos aqui.

1 - Engenharia social: A engenharia social pode ser considerada um ataque, mas ela é muito utilizada como preparação para um ataque. Esta técnica consiste em utilizar-se de lábia (isso mesmo, bate-papo formal ou informal), para adquirir informações críticas sobre um determinado "alvo", geralmente valendo-se da boa vontade da vítima. Em uma conversa telefônica aparentemente amistosa, um possível atacante se fazendo passar por um funcionário da empresa "X" realizando uma pesquisa de mercado, pode coletar dados importantes da empresa como nomes dos funcionários de gerência, quantidade de máquinas, quantidade de servidores, sistemas operacionais desses servidores, organograma da empresa (identificando possíveis contas com privilégios gerenciais nos sistemas da empresa) e muitas outras informações. Basta perguntar, a maioria das pessoas responde sem se certificar com quem está falando.

2 - Rastreamento de portas: através do rastreamento de portas, utilizando ferramentas como o "nmap", é possível saber quais serviços estão rodando em determinado computador da rede. Se eu rodar o nmap contra um servidor e ele me retornar com a porta 3128 no estado "listen", sei que ali se encontra um servidor proxy. Se retornar a porta 80, sei que ali encontra-se um servidor web (para ver uma lista das portas conhecidas visite: http://www.iana.org/assignments/port-numbers). Com um pouco de pesquisa em sites como o Security Focus por exemplo (www.securityfocus.com), é possível descobrir e explorar falhas bem comprometedoras nesses serviços. Note que se o administrador desse sistema for atento, todas essas falhas PUBLICAMENTE DOCUMENTADAS já terão sido corrigidas nos seus sistemas, tão logo seus fabricantes as disponibilizem.

3 - Malwares: todo e qualquer tipo de malware (vírus, spyware, trojan, keylogger, ransonware, botnets, etc), representam um tipo de ataque. Falaremos sobre eles em posts futuros.

4 - Sniffers de rede: As redes mais antigas utilizam um aparelho concentrador denominado "hub", no qual todos os dispositivos da rede cabeada se conectam nele para poderem fazer parte da rede. O hub é um dispositivo que se comunica em broadcast, ou seja, fica "gritando" para todas as portas da rede ouvirem; a máquina destinatária do pacote o recebe e as outras máquinas o descartam. Utilizando um sniffer, é possível colocar a placa de rede de um determinado computador da rede em modo "promíscuo", ou seja, todos os pacotes da rede que chegam a sua interface, mesmo os que não são endereçados a ele serão aceitos. Depois de um determinado período de coleta, o atacante analisa o conteúdo desses pacotes, podendo capturar dados sensíveis como senhas de e-mails sem criptografia, conversas de softwares de mensagens instantâneas, etc. Nos ambientes atuais, os dispositivos concentradores são denominados de Switch (infinitamente melhores do que hubs, pois direcionam o tráfego da rede a porta correta do ponto "A" ao ponto "B", ao invés de usar broadcast para tudo), fazendo com que essa prática seja menos frequente. Porém é preciso ter cuidado, pois quando um ataque de DoS (Negação de serviço) é realizado num switch, ele volta a atuar como um hub, permitindo que softwares de captura de tráfego consigam informações úteis novamente através da rede.

5 - DoS - Denial of Service ou Negação de Serviço: Um ataque de negação de serviço, como o nome sugere, consiste em fazer com que determinado serviço que está sendo oferecido seja de alguma forma, negado. Se um pipoqueiro se descuidar do seu carrinho e alguém o roubar, ele não poderá mais fazer pipocas, ou seja, o serviço antes oferecido estará temporariamente indisponível (belo exemplo Spk, parabéns ;o)). Se um servidor Web está no ar e receber mais solicitações de conexão que possa suportar recusando mais conexões, este servidor sofreu um ataque de negação de serviço. Veja que não houve roubo de informações ou perda de dados, mas imagine num site de comércio eletrônico, quantos negócios deixaram de ser fechados por indisponibilidade do servidor Web. E a reputação da empresa? Se você está entrando no site pela primeira vez e este fica continuamente recusando conexões e mostrando mensagens de erro na sua tela, qual será sua primeira impressão desta empresa? Será que você confiará nesse site futuramente?

6 - DDoS - Distributed Denial of Service ou Negaçao de Serviço Distribuída: o conceito é o mesmo do DoS, porém neste ataque, grosseiramente falando, um micro mestre coordena centenas ou milhares de micros "escravos" (obviamente infectados por algum tipo de vírus), fazendo com que todos eles acessem um determinado serviço de um determinado servidor na mesma data na mesma hora, esgotando os recursos desse servidor rapidamente. Lembra do pipoqueiro? É como se a torcida do Flamengo estivesse em volta dele enlouquecida pedindo um pacote de pipoca. Em pouco tempo seus recursos se esgotariam e ele não poderia mais oferecer seus serviços temporariamente (Ahhh, adoro esses meus "bons" exemplos ;o)).

7 - Spoofing: esta técnica consiste em alterar uma informação de um determinado pacote, fazendo-se passar por outro computador/recurso. É possível alterar o endereço IP de um pacote fazendo com que ele pareça ter sido enviada por outro computador (geralmente um computador confiável na rede). É como utilizar a identidade de outra pessoa. Como os roteadores geralmente utiliam apenas o "Endereço IP de Destino" para fazer o roteamento de pacotes não há muita preocupação quanto a sua origem. Esse tipo de procedimento é muito utilizado em ataques MITM (Man in the middle). Como o spoofing consiste em utilizar uma identidade falsa, existem técnicas de DNS Spoofing, DHCP Spoofing, IP Spoofing, ARP Spoofing, entre outras.

8 - DNS Poisoning ou Envenenamento de DNS: Como o nome sugere, neste tipo de ataque, o infrator consegue comprometer um servidor de DNS utilizado pelo usuário. O servidor de DNS é aquele cara que transforma URLs em endereços IPs (para você, pouco imorta que a página do terra esteja no endereço 200.176.3.142, você quer abrir o seu navegador, digitar www.terra.com.br e que a mágica aconteça...). Agora imagine se o seu DNS, ao invés de dizer que a página do Terra está no 200.176.3.142, disser que o Terra está no 69.7.98.15? E pior, se quando o seu navegador abrir este endereço, ele realmente parecer a página do terra...? É, muito ruim, mas a princípio sem problemas, pois você só queria saber as últimas notícias mesmo, nenhuma informação muito útil para o invasor (tirando o fato dele poder estar traçando seu perfil). Mas os problemas realmente começam quando você decide acessar seu e-mail do Terra, onde obviamente você precisará de um usuário e uma senha. HUmmm, complicou né? Agora imagine essa mesma situação quando você acessa a página do seu banco para verificar seu saldo...

Esses foram apenas alguns tipos de ataques mais comuns, para o usuário entender a gravidade do problema. Em tópicos futuros exploraremos mais a fundo alguns desses ataques bem como novos ataques que venham a surgir.

Sobre ataques na informática: os atacantes

Realizar um ataque a um computador não é uma tarefa muito fácil, desde que o usuário do computador alvo tenha uma postura segura, esteja antenado nas novidades mantendo seus programas com as últimas correções de segurança, viva isolado numa ilha onde só ele tenha acesso ao seu próprio computador, e mesmo assim faça uma varredura de malwares toda vez que desconectar-se da Internet. Ok, ok, realizar um ataque é uma tarefa difícil, mas que em 80% dos casos têm como facilitador a má orientação ou inabilidade do usuário em utilizar o computador. Outros 19,9% tem como facilitador os furos e bugs dos sistemas, e podemos juntar a isso cerca de 0,1% de fatalidade ;o)

Mas voltemos ao foco. A idéia aqui não era falar mal do usuário, pelo contrário, este blog foi feito pensando nele. Vamos falar aqui das pessoas que realizam ataques a computadores alheios bem como suas motivações. Podemos dividi-las em diversos grupos que não se limitam necessariamente aos listados abaixo:

Hackers: sim, palavrinha mágica popularizada pela mídia e que faz tremer os ouvidos. Mas façamos as devidas correções. O hacker, é um especialista. Airton Senna era um hacker das pistas, conhecia os atalhos, inovava, sabia tudo e mais um pouco sobre a profissão que exercia. E esta é na minha opinião a melhor definição para o hacker: um especialista. Ele conhece as ferramentas a fundo, explora recursos, descobre vulnerabilidades, mas não utiliza seu conhecimento para fazer mal ou tirar proveito de alguém. Se descobre uma falha num sistema, alerta a comunidade para que estas falhas sejam corrigidas e um número cada vez menor de pessoas seja atingido por ela. Pense: você não gostaria de que alguém lhe alertasse de que aquela fechadura ultra moderna que você comprou por R$300,00 pode ser aberta com um clips e 5 minutos de persistência? Pois é, eu também adoraria saber disso. Portanto não confunda, o hacker é o mocinho da história. O cara que você deve temer é o cracker.

Crackers: estes sim, possuem conhecimento semelhante ao dos hackers, porém usam este conhecimento para fazer coisas, digamos, nem tão nobres assim. ;o) Quando você ouve falar sobre ataques virtuais para obter ganho financeiro, tirar um web-site do ar, etc, um cracker foi o autor da lambança.

Script Kidies: este é o cara que, como diz o nome, só executa scripts. Ele até pode ter um conhecimento elevado, mas que não desenvolve suas próprias ferramentas, apenas segue as "receitas de bolo" de terceiros (o que não significa que não possam criar grande estrago também). É comum nessa categoria, ocorrerem muitos ataques "acidentais" devido à falta de domínio do script kid sobre alguma ferramenta.

Administradores de má indole: quer alguém melhor para estragar seu carro do que o seu mecânico? É por isso que geralmente procuramos nos "fidelizar" com esse profissional e não deixar outros mecânicos fuçarem nosso carro não é? Com o administrador de redes/sistemas/sites/whatever funciona da mesma maneira. Quem melhor para conhecer e burlar um ambiente computacional do que a pessoa responsável por mantê-lo? É preciso ter muito cuidado na escolha dos profissionais responsáveis pelo ambiente computacional, pois conforme empresas de segurança bem conceituadas no mercado como Network Associates e cia, mais de 85% dos ataques digitais partem de dentro das empresas.

Prestadores de serviços
: provavelmente você já deve ter ouvido aquela historinha da menina bonita que levou seu computador para manutenção e teve suas fotos pessoais espalhadas pela Internet não é? Pois é, e isso acontece sim. Infelizmente, não dá para confiar em todos e os prestadores de serviço, também podem ser uma ameaça ao seu computador, logo, é preciso ter cuidado. Ferramentas como criptografia de dados protegidas com senhas fortes, firewalls pessoais, anti-malwares e deleção segura de arquivos são sempre bem vindas e são uma mão na roda quando o PC vai para a manutenção.

Curiosos e bisbilhoteiros: Estes são mais ou menos como os script kidies, porém eles não tem idéia alguma do que estão fazendo e podem gerar grande transtorno. São os caras que certa vez "ouviram falar" sobre tal ferramenta e clicaram no botão vermelho sem nem imaginar as consequencias desse ato.

Quanto as motivações, um ataque pode ser realizado por "n" motivos (incluindo "insanidade"): ;o)

- vingança (pessoal / profissional / amorosa / booling);
- diversão;
- notoriedade (impressionar terceiros);
- espionagem;
- investigação policial (ou mesmo investigações ilegais);

segunda-feira, 15 de dezembro de 2008

Sobre ataques na informática: Segurança Lógica x Segurança Física

Quando se fala em segurança ou em ataques na área de TI, logo se pensa em proteções como firewall, antivírus, e uma parafernália de ferramentas que darão ao usuário uma sensação de segurança e permitindo-lhe ter o sono dos justos. Mas seria o suficiente? Imagine, por exemplo, se você está apresentando uma palestra importantíssima e alguém derruba o projetor (intencionalmente ou não). Você acaba de sofrer um ataque de DOS (negação de serviço), ou seja, você estava oferecendo um serviço que foi subitamente negado, e precisará de um tempo para se recuperar (isto se você pensou num projetor reserva antes da sua apresentação, senão todo o seu trabalho pode ter ido a bancarrota).

A segurança física, é tão importante quanto a segurança lógica. Uma empresa que tem sua área de TI, principalmente seu parque de servidores, com livre acesso a qualquer funcionário, está correndo um grande risco. Se um funcionário insatisfeito entrar na sala de servidores e desconectar o cabo de rede deste servidor do switch, talvez este problema leve um bom tempo para ser descoberto/corrigido e e-mails importantes deixem de chegar ao seu destino em tempo hábil (isto considerando que um usuário insatisfeito com acesso ao parque de servidores, vá apenas desconectar um cabo de um servidor, pois o estrago poderia ser beeeeeem pior).

Logo, tão importante quanto cuidar logicamente de suas informações, preocupar-se com a segurança física também é imprescindível. Você não deixaria seu filho de 2 anos, brincar com um copo de café perto do laptop no qual está o projeto que você levou 6 meses para completar não é? Portanto procure ter uma política de acesso aos seus dispositivos para que ataques, por mais ingênuos que possam parecer, sejam evitados.

Ah e nunca é demais comentar: tenha backup.

;o)

sexta-feira, 5 de dezembro de 2008

Ferramentas pessoais de backup: Microsoft SyncToy 2.0

Como a idéia é utilizar softwares simples que auxiliam as tarefas diárias dos usuários comuns, segue aqui uma ótima dica para quem quer fazer backup de dados de forma simples e rápida em ambiente windows, o software SyncToy da Microsoft. Não grava CDs nem DVDs, mas quem faz cópias em HDs, pendrives, drives de rede, etc é uma ferramenta de grande utilidade.

Para a instalação do SyncToy é preciso que o pacote .Net Framework esteja instalado.
Microsoft .Net Framework Version 2.0 Redistributable Package (x86), disponível em: http://www.microsoft.com/downloads/details.aspx?FamilyID=0856EACB-4362-4B0D-8EDD-AAB15C5E04F5&displaylang=en (Inglês)
ou
http://www.microsoft.com/downloads/details.aspx?displaylang=pt-br&FamilyID=0856eacb-4362-4b0d-8edd-aab15c5e04f5 (Português Brasil)

Depois, baixe o pacote do SyncToys 2.0 em:
http://www.microsoft.com/downloads/details.aspx?familyid=c26efa36-98e0-4ee9-a7c5-98d0592d8c52&displaylang=en

Após a instalação, você pode configurar dentro do programa uma pasta (ou drive) de origem e uma pasta (ou drive) de destino no qual deve ser feita a cópia.



Depois você deve escolher uma das opções a seguir para realizar a cópia:
- Sincronizar: arquivos novos ou alterados serão copiados para ambos os lados. Arquivos deletados ou renomeados serão replicados para ambos os lados;

- Eco: arquivos novos ou alterados serão copiados da pasta da esquerda para a direita. Arquivos deletados ou renomeados na pasta da esquerda serão repetidos na pasta da direita;

- Contribuição: arquivos novos ou alterados serão copiados da pasta da esquerda para a direita. Arquivos renomeados na pasta da esquerda serão repetidos na pasta da direita. Não há deleções;



Depois de definidas as pastas e opções do backup, basta dar um nome a tarefa de backup e se necessário alterar algumas opções mais avançadas, como arquivos a serem excluídos da tarefa de backup, não checar o conteúdo dos arquivos, inclusão/exclusão de subpastas, salvar arquivos sobrescritos na lixeira, entre outras opções.



Em linhas gerais, esse software não é nenhum Supra-sumo das cópias, mas é uma excelente opção para quem precisa manter cópias sincronizadas ou simplesmente fazer cópias de segurança entre diferentes drives.

Política pessoal de backup

A grande maioria das empresas têm (ou pelo menos deveria ter) uma política definida para realizar o backup dos seus dados regularmente. O backup consiste na utilização de ferramentas (software, hardware e até redes) para armazenagem de dados pessoais ou da organização de maneira que eles estejam disponíveis rapidamente no caso de um desastre que implique em perda de dados.

Trocando em miúdos, é uma cópia de segurança que deverá estar disponível em caso de perda, independente do motivo: hardware com problema, má operação do sistema, acidentes naturais (alagamentos, terremotos, etc), enfim, seja qual for a tragédia, ter uma cópia de segurança dos dados é imprescindível para evitar dores de cabeças desnecessárias. Digo isso porque, acredite: se você nunca perdeu nenhum arquivo importante, prepare-se, você ainda vai perder. Não, não estou rogando praga, pelo contrário, o intuito aqui é justamente auxiliar o usuário a passar por este trauma da melhor maneira possível.

Quantas vezes você já ouviu falar do Fulano que estava encerrando o trabalho de conclusão de curso e na hora "H" (hora essa que sempre está relacionada ao dia "D"), o computador pifou. E para ajudar, nosso amigo Fulano, cuidadoso e precavido como sempre, constatou que nenhuma das 3 cópias em DISQUETE do seu documento funcionam. Sim, isso acontece muito, tanto a perda de informações importantes, quanto uma má política de backup pessoal (e acreditem, fazer cópias de arquivos importantes em disquetes, uma das mídias menos confiáveis do mundo da informática, ainda é muito praticado por alguns usuários).

Em linhas gerais a recomendação principal aqui é: "FAÇA BACKUP! SEMPRE!". Abaixo seguem algumas dicas que você deve considerar para realizar essa tarefa.

1 - Crie o hábito de fazer cópias
A informática é uma ciência exata, e como toda ciência exata requer prática. Habitue-se a realizar uma cópia de segurança das suas informações periodicamente e você verá que em pouco tempo esse processo deixa de ser encarado como trabalhoso e passa a ser encarado como satisfatório e necessário. Algumas empresas costumam realizar backups diários de suas informações, outras semanais, quinzenais, ou no intervalo que melhor lhes convém. Você pode escolher um intervalo que lhe seja satisfatório para gerar cópia de arquivos importantes, mas eu recomendo no mínimo semanalmente, e se possível diariamente. O importante é que você esteja ciente de que se realizar uma cópia semanal e precisar recuperar informações de sua mídia de backup, ela poderá conter dados de 6 dias atrás. Se o backup for mensal, pode acontecer de você ter de recuperar dados de 28, 29, 30 dias atrás. Se você fizer backup diariamente e alguma falha ocorrer, terá dados de até 24hs atrás. Cada usuário sabe da sua necessidade e portanto deve estabelecer sua própria política.


2 - Teste suas mídias de backup

Tão importante quanto realizar cópias de segurança é testá-las regularmente. É comum a utilização de mídias como fitas dat, HDs externos, pen-drives, entre outras mídias de armazenamento para a realização da cópia de segurança, e como já é sabido, essas mídias precisam de uma verificação regular para avaliação do seu estado operacional. Se algum dia você precisar da mídia de backup é imprescindível que ela esteja íntegra.

3 - Tenha uma cópia num local geograficamente distante da sua operação regular
Isso mesmo, nada de gerar várias cópias de seus arquivos e deixá-las junto ao seu computador. Você até pode ter uma cópia por perto, para o caso de perder dados e necessitar de uma restauração imediata, mas se um avião cair sobre o seu local de operação regular, de nada vai adiantar você ter uma cópia próxima do seu computador. Ah, estou sendo dramático??? Lembra do episódio do 11 de Setembro? Então, empresas inteiras desapareceram da face da terra. Algumas inclusive, tinham uma política de backup na qual a empresa funcionava numa das torres e as cópias de segurança eram armazenadas na oura torre. O que poderia dar errado? Um terremoto? Um maremoto? Um avião derrubar as duas torres? Pois é, deu, e foram 2 aviões. Mas e quanto a probabilidade de que isso vá acontecer comigo? Bom, pode ser ínfima, mas ainda assim ela existe e pode acontecer a qualquer momento. Lembre-se, o equipamento pode ser substituído; pessoas, profissionalmente falando, também podem ser substituídas. E a informação?

4 - Se preciso, tenha mais de uma cópia
Como foi citado na dica acima, uma cópia próxima ao computador e uma cópia geograficamente distante são imprescindíveis, motivo pelo qual algumas empresas utilizam SANs (Storage Area Networks ou Redes de Armazenamento). O usuário doméstico, também deve utilizar uma política similar, tendo uma ou mais cópias perto do computador e outras cópias distantes também. Considere por exemplo, um usuário que precisa gravar cerca de 400MB de dados de informações de backup. Se este usuário investir R$40,00 ele pode comprar 8 CD-RWs e gravá-los todos os dias da semana, sempre lembrando de armazenar uma dessas cópias na casa de uma amigo(a), da namorada(o), na gaveta do trabalho, enfim, em qualquer lugar teoricamente protegido e seguro. Se alguma coisa acontecer com um arquivo importante desse usuário na quinta-feira, ele terá a opção de restaurar qualquer versão do arquivo perdido até a quinta-feira da semana anterior. Além do que se a mídia da quarta-feira falhar, ele ainda terá um número grande de mídias para "lhe salvar a pele". ;o)

5 - Para tornar a tarefa menos cansativa, faça backups incrementais
Dependendo da quantidade de dados que você deseja armazenar, uma tarefa de backup pode durar alguns minutos ou algumas horas. O ideal nesses casos é utilizar ferramentas que façam backup incremental, ou seja, ferramentas que só copiam arquivos novos ou que tenham sido alterados para a mídia de backup. Dessa maneira, o backup vai demorar para ser executado apenas na primeira vez, nas demais, ele se deterá apenas no que foi alterado.

6 - Na pior das hipóteses, guarde no Gmail ;o)
A nova "moda" e provavelmente o futuro da tecnologia é o Cloud Computing ou Computação em Nuvem, que de uma maneira bem genérica, consiste em utilizar um navegador para acessar dados e programas que estarão concentrados na nuvem, ou seja, na Internet. Você provavelmente já deve utilizar os serviços do Google (busca, calendário, e-mail, grupos, picasa, etc...), logo, já faz uso da cloud computing mesmo sem perceber (debateremos cloud computing em tópicos futuros).
Portanto caso não tenha muitas opções para fazer backup, criptografe as informações mais críticas e mande uma cópia para a sua conta do Gmail mesmo, que pode ser acessada em qualquer canto do mundo e fornece um bom espaço de armazenamento.

Em posts futuros, serão exibidas algumas ferramentas para realização do backup para o usuário doméstico.
Related Posts Plugin for WordPress, Blogger...