Capítulo 2- Análise de Vulnerabilidades

IPC***

Tentativa de Intrusão

A tentativa de intrusão ocorre após uma avaliação dos serviços potencialmente vulneráveis em um
host na rede. Após encontrar um sistema com versão vulnerável encontramos um exploit para obter
acesso ao sistema. Qualquer aplicação instalada em um host pode ter vulnerabilidades exploráveis.
Para evitar tais problemas de segurança, manter os softwares atualizados é muito importante,
contudo, não apenas o sistema operacional pode causar oportunidades para um atacante. Um
simples tocador de músicas MP3 pode ter uma vulnerabilidade que permita controle total do
computador por uma atacante remoto.

Atividade Suspeita

Mapeamento de redes é uma tarefa importante que normalmente precede o ataque a um ou mais
hosts. Para se levantar hosts e portas disponíveis faz-se necessário testar, cada host e suas
respectivas portas (TCP e UDP), com a finalidade de verificar quais hosts e portas/serviços estão
disponiveis no sistema. Contudo, o mapeamento simultâneo de diversas portas não é um processo
natural. Por exemplo, uma comunicação legítima TCP entre dois hosts, utiliza portas padrão
associadas a serviços de rede. A atividade de se testar hosts e portas abertas consiste em uma
atividade suspeita. Vale ressaltar que um scanning não é considerado um ataque, pois ele não
explora vulnerabilidades, e sim levanta informações sobre o host. Em redes aonde existe um efetivo
monitoramento de hosts e serviços, os servidores de monitoramento podem ser confundidos com
scanners de rede, pois utilizam as mesmas técnicas de mapeamento de rede e serviços. Além disso,
essa atividade nem sempre é facilmente notada, pois o elemento de detecção precisa montar todas as
sessões em memória para entender que se trata de atividade suspeita.
IPC
Phishing Scam
- É um tipo de ataque muito comum nos dias atuais. Consiste em fazer com que um usuário legítimo
de sistema computacional execute um código malicioso, especificamente criado para este fim, se
fazendo passar por uma entidade confiável deste usuário. Assim, ele poderá “pescar” (O termo
Phishing vem de Fishing (ou pescar, em português) o usuário e obter desde informações ou mesmo
assumir o controle de seu computador remotamente. Se um phishing for bem planejado, estudando
o alvo (preferências pessoais, sites mais frequentados, lugares frequentados, etc) é praticamente
indefensável. Apenas a consciência sobre segurança dos usuários pode bloquear estes ataques.

Defeacing
- Este tipo de ataque se caracteriza pela exploração de vulnerabilidades, comumente superficiais,
mas que permite a modificação de páginas do servidor alvo, mudando sua aparência com alguma
mensagem do hacker que executou o ataque. Muito utilizado em atividades de hacktivismo.

Spoofing -
Consiste em mascarar (spoof) pacotes IP utilizando endereços de remetentes falsificados,
permitindo ao atacante assumir outras identidades. Devido às características
do protocolo IP, o reencaminhamento de pacotes é feito com base numa
premissa muito simples: o pacote deverá ir para o destinatário (endereço-
destino) e não há verificação do remetente — não há validação do endereço
IP, nem relação deste com o roteador anterior (que encaminhou o pacote).
Assim, torna-se trivial falsificar o endereço de origem através de uma
manipulação simples do cabeçalho IP. Desta forma, vários computadores
podem enviar pacotes fazendo-se passar por um determinado endereço de origem, o que representa
uma séria ameaça para os sistemas baseados em autenticação pelo endereço IP.
IPC
SQL Injection - Falha encontrada em aplicações, comumente causada pela ausência de validação
nos campos de entrada de dados, permitindo que o atacante insira comandos de SQL onde,
normalmente, se espera apenas dados (nome, senha, endereço, dentre outros). Esta vulnerabilidade
em algumas ocasiões permite ao atacante obter acesso irrestrito ao servidor alvo. Pode ser explorada
de forma manual ou através de ferramentas automatizadas.

Remote File Inclusion (RFI) -

ou inclusão de arquivo remoto, é a vulnerabilidade mais comum encontrada em sites web. Permite
que o atacante inclua um arquivo remoto no servidor, normalmente através de um script
armazenado no host alvo. Ocorre quando não há validação, no script, das entradas de dados. Este
tipo de ataque pode levar a:
• Execução de código arbitrário no servidor web;
• Execução de código no lado cliente, como Java Script, que pode levar a outros ataques, como o
Cross Site Scripting (XSS);
•Negação de Serviço (DoS);e
•Roubo ou manipulação de dados.
Local File Inclusion (LFI) - ou inclusão de arquivo local é semelhante ao RFI, mas usa arquivos já
hospedados no servidor alvo.

Cross-Site Scripting XSS – Vulnerabilidade encontrada em aplicações web, que operam incluindo
em páginas web (comentários, por exemplo) comandos de client-side script (códigos que são
executados no browser do cliente da página), permitido até mesmo a execução de códigos
arbirtários. Comumente utilizado como parte de campanhas de engenharia social, pois este ataque
tem potencial para atingir um grande número de vítimas, se planejado corretamente.

Session Hijacking -refere-se à exploração de uma sessão

válida de um computador – as vezes também chamada de
Session Key ou ID – para conseguir acesso não-autorizado a
informações ou serviços em um sistema de computador. Em
particular, é usado para referir-se ao roubo do Cookie,
utilizado para autenticar um usuário em um servidor remoto.
Isto é particularmente relevante para os desenvolvedores
Web, já que os HTTP Cookies usados para manter uma sessão
em diversos sites Web podem facilmente ser roubados por um
atacante utilizando um computador que esteja no meio da
comunicação ou então acessando os cookies salvos no computador da vítima. Para que o usuário
não tenha que re-digitar seu usuário/senha em todas as páginas para manter sua sessão, muitos web
sites utilizam-se de cookies: um token de informações solicitadas pelo servidor e retornada pelo
user browser para confirmar sua identidade. Se um atacante estiver habilitado a roubar este cookie,
ele pode fazer requisições como se fosse o usuário legítimo, ganhando acesso à informações
privilegiadas ou até modificando dados. É claro que Session Hijacking não é limitada para a Web,
qualquer protocolo cujo o estado é mantido através de uma key que é checada através de dois
computadores é vulnerável, especialmente se não for criptografada.

Buffer Overflow - Uma falha de software, que é muito procurada por hackers, que permite que
códigos especialmente produzidos sejam enviados para um sistema vulnerável, permitindo acesso a
outras porções da memória do computador vulnerável. Dependendo das áreas adicionais que o
atacante terá acesso é possível que o alvo execute qualquer código desejado, permitindo inclusive o
controle total do alvo. Isso ocorre pela falha da aplicação em avaliar as entradas de dados,
recebendo mais dados que determinada variável do programa pode receber, provoca o
transbordamento (overflow) desta variável, eventualmente permitindo o acesso a outras porções da
memória próximas a da variável explorada.

DoS - Ataque de negação de serviço (também conhecido como DoS Attack, um acrônimo em inglês
para Denial of Service), é uma tentativa em tornar os recursos de um sistema ou rede indisponíveis
para seus utilizadores. Alvos típicos são servidores web, e o ataque tenta tornar as páginas
hospedadas indisponíveis. Não se trata de uma invasão ao sistema, mas sim da sua invalidação por
sobrecarga ou erro. Os ataques de negação de serviço são feitos geralmente de duas formas:

• Forçar o sistema vítima a reinicializar ou consumir todos os recursos (como memória ou

processamento, por exemplo) de forma que ele não pode mais fornecer seu serviço;ou
• Obstruir a mídia de comunicação entre os utilizadores e o sistema vítima, de forma a não se
comunicarem adequadamente.
DDoS - (Distributed Denial of Service ou negação de serviço distribuída) consiste em um DOS que
tem múltiplas origens e é coordenado de um ponto central, obtendo resultados ainda mais eficazes
contra seus alvos. Ataques de DOS e DDOS podem ser indefensáveis, pois o ato de bloquear os
pacotes vindos para colocar o sistema indisponível poderá tornar o sistema inacessível para usuários
válidos, face da impossibilidade em se determinar a real origem de um ataque deste gênero.
Análise de Vulnerabilidades

Informações do Underground
Existe muita informação sobre vulnerabilidades de segurança disponível publicamente. Ferramentas
de ataque são cada vez mais amigáveis e fáceis de se distribuir, sendo muito utilizadas por Script
Kiddies (principiantes no mundo hacker). Existe debate a respeito – vulnerabilidades de segurança
devem ser publicadas ou devem ser escondidas até que a efetiva defesa esteja disponível???
Atacantes têm excelente rede de comunicações, podem usar Chat, IRC, web, grupos informais e até
conferências oficiais (DEFCON). O aumento nas atividades de hacktivismo tem sido devido a
interesses políticos. A forma mais normal é a alteração de sites Web
Scanning