Apêndice B. Exploits Comuns e Ataques

Tabela B-1 detalha alguns dos exploits e pontos de entrada mais comuns usados por intrusos para acessar recursos de rede de organizações. As explicações de como estes exploits são executados e como administradores podem proteger sua rede apropriadamente são muito importantes contra tais ataques.

ExploitDescriçãoNotas
Zero ou Senha DefaultDeixar senhas administrativas em branco ou usar a senha default provida pelo fabricante. Isto é mais comum em hardware, como roteadores e BIOSes, porém alguns dos serviços que rodam no Linux podem conter senhas default de administrador (apesar do Red Hat Enterprise Linux não ser distribuído com elas).

Comumente associado a hardware de rede, como roteadores, firewalls, VPNs e aplicações de armazenamento anexo à rede (network attached storage - NAS);
Comum em muitos sistemas operacionais legados, especialmente aqueles que compoem serviços como UNIX e Windows.
Às vezes, administradores criam alguns usuários privilegiados com pressa e deixam a senha vazia, um ponto de entrada perfeito para usuários maliciosos que descobrem o usuário.

Chaves Compartilhadas DefaultServiços seguros às vezes empacotam chaves de seurança default para desenvolvimento ou para testes de avaliação. Se estas chaves permanacerem inalteradas e estiverem localizadas em um ambiente de produção na Internet, qualquer usuário com as mesmas chaves default tem acesso a este recurso de chave compartilhada e a quaisquer informações importantes contidas neste.

Mais comum em pontos de acesso sem-fio e aplicações de servidor seguro pré-configuradas
CIPE (consulte o Capítulo 6) contém uma amostra de chave estática que deve ser alterada antes da aplicação em um ambiente de produção

Spoofing do IP (alteração do endereço IP para parecer como outra máquna)Uma máquina remota age como um nódulo em sua rede local, encontra vulnerabilidades em seus servidores e instala uma programa backdoor ou trojan para obter controle sobre seus recursos de rede.

O Spoofing é bem difícil já que requer que o atacante adivinhe os números de TCP/IP SYN-ACK para coordenar uma conexão que almeje os sistemas, mas há diversas ferramentas disponíveis para auxiliar crackers em executá-lo.
Depende de almejar sistemas que estejam rodando serviços (tais como rsh, telnet, FTP e outros) que utilizam técnicas de autenticação baseadas na fonte, não recomendadas quando comparadas à PKI ou outras formas de autenticação criptografada usadas no ssh ou SSL/TLS.

Eavesdropping (espionagem do tráfego de rede)Coletando dados que trafegam entre dois nódulos ativos em uma rede através do eavesdropping na conexão entre estes dois nódulos.

Este tipo de ataque geralmente atinge protocolos de transmissão somente-texto, como Telnet, FTP e transferências HTTP.
O atacante remoto deve ter accesso a um sistema comprometido em uma LAN para poder executar um ataque deste tipo. Geralmente o cracker usou um ataque ativo (como um spoofing de IP ou 'Man-in-the-middle') para comprometer um sistema na LAN
Medidas preventivas incluem serviços com troca de chave criptográfica, senhas descartáveis ou autenticação criptografada para impedir snooping de senha. Também recomenda-se a alta criptografia durante as transmissões

Vulnerabilidades do ServiçoUm atacante encontra um defeito ou uma infração em um serviço executado pela Internet através desta vulnerabilidade. O atacante compromete o sistema inteiro e quaisquer dados que este possa conter; e também é possível que comprometa outros sistemas da rede.

Serviços baseados em HTTP, tais como o CGI, são vulneráveis a execuções de comandos remotos e até mesmo a acesso através da janela de comandos. Mesmo que o serviço HTTP seja executado por um usuário não-privilegiado, como "ninguém", informações como arquivos de configuração e mapas de rede podem ser lidas, ou o atacante pode iniciar um ataque 'denial of service' que drena os recursos do sistema ou torna-os indisponíveis a outros usuários.
Serviços podem ter vulnerabilidades que passam desapercebidas durante o desenvolvimento e testes. Estas vulnerabilidades (tais como sobrecarregamentos do buffer, que possibilitam ao atacante obter acesso ao preencher a memória endereçável com uma quantidade além da aceitável pelo serviço, prejudicam o serviço e dão ao atacante um prompt de comando interativo a partir do qual ele pode executar comandos arbitrariamente) podem oferecer controle administrativo completo a um atacante.
Administradores devem certificar-se que os serviços não sejam executados com o usuário root e estar atentos a atualizações de erratas e consertos para suas aplicações, de fabricantes ou empresas de segurança como CERT e CVE.

Vulnerabilidades da AplicaçãoAtacantes encontram falhas em aplicações de compuatdores pessoais e estações de trabalho como clientes de e-mail, executam código arbitrário e implantam trojans para comprometer ou danificar serviços futuramente. Exploits podem ocorrer no futuro se a estação de trabalho comprometida tiver privilégios administrativos para o resto da rede.

Estações de trabalho e computadores pessoais são mais propensos a exploits porque os funcionários não têm a mesma habilidade ou experiência para impedir ou detectar o comprometimento; é essencial informar aos indivíduos sobre os riscos que correm ao instalar software não autorizado ou abrir arquivos anexos de e-mails não solicitados.
Algumas defesas podem ser implementadas de modo que este software de cliente de e-mail não abra ou execute automaticamente arquivos anexos. Adicionalmente, a atualização automática do software da estação de trabalho através da Red Hat Network ou outros serviços de gerenciamento de sistemas, podem aliviar a carga de aplicações de segurança para multi-usuário.

Ataques Denial of Service (DoS)O atacante ou grupo de atacantes coordena um ataque a recursos de rede ou de servidor de uma empresa enviando pacotes não autorizados para a máquina alvo (um servidor, um roteador ou uma estação de trabalho). Isto força o recurso a ficar indisponível aos usuários legítimos.

O caso de DoS (denial of service) ocorrido em 2000 mais reportado. Diversos sites comerciais e governamentais de alto tráfego tornaram-se indisponíveis por um ataque 'ping flood' coordenado, usando vários sistemas comprometidos com conexões de banda larga atuando como zumbis, ou nódulos de transmissão redirecionados.
Pacotes fonte geralmente são forjados (e também retransmitidos), dificultando a investigação da verdadeira origem do ataque.
Avanços na filtragem do ingresso (ingress filtering - IETF rfc2267), usando iptables e IDs de Rede como snort, ajudam administradores a rastrear e impedir ataques DoS distribuídos.

Tabela B-1. Exploits Comuns