Zero ou Senha Default | Deixar senhas administrativas em branco ou usar a senha default provida pelo fabricante. Isto é mais comum em hardware, como roteadores e BIOSes, porém alguns dos serviços que rodam no Linux podem conter senhas default de administrador (apesar do Red Hat Enterprise Linux não ser distribuído com elas). | Comumente associado a hardware de rede, como roteadores, firewalls, VPNs e aplicações de armazenamento anexo à rede (network attached storage - NAS); | Comum em muitos sistemas operacionais legados, especialmente aqueles que compoem serviços como UNIX e Windows. | Às vezes, administradores criam alguns usuários privilegiados com pressa e deixam a senha vazia, um ponto de entrada perfeito para usuários maliciosos que descobrem o usuário. |
|
Chaves Compartilhadas Default | Serviços seguros às vezes empacotam chaves de seurança default para desenvolvimento ou para testes de avaliação. Se estas chaves permanacerem inalteradas e estiverem localizadas em um ambiente de produção na Internet, qualquer usuário com as mesmas chaves default tem acesso a este recurso de chave compartilhada e a quaisquer informações importantes contidas neste. | Mais comum em pontos de acesso sem-fio e aplicações de servidor seguro pré-configuradas | CIPE (consulte o Capítulo 6) contém uma amostra de chave estática que deve ser alterada antes da aplicação em um ambiente de produção |
|
Spoofing do IP (alteração do endereço IP para parecer como outra máquna) | Uma máquina remota age como um nódulo em sua rede local, encontra vulnerabilidades em seus servidores e instala uma programa backdoor ou trojan para obter controle sobre seus recursos de rede. | O Spoofing é bem difícil já que requer que o atacante adivinhe os números de TCP/IP SYN-ACK para coordenar uma conexão que almeje os sistemas, mas há diversas ferramentas disponíveis para auxiliar crackers em executá-lo. | Depende de almejar sistemas que estejam rodando serviços (tais como rsh, telnet, FTP e outros) que utilizam técnicas de autenticação baseadas na fonte, não recomendadas quando comparadas à PKI ou outras formas de autenticação criptografada usadas no ssh ou SSL/TLS. |
|
Eavesdropping (espionagem do tráfego de rede) | Coletando dados que trafegam entre dois nódulos ativos em uma rede através do eavesdropping na conexão entre estes dois nódulos. | Este tipo de ataque geralmente atinge protocolos de transmissão somente-texto, como Telnet, FTP e transferências HTTP. | O atacante remoto deve ter accesso a um sistema comprometido em uma LAN para poder executar um ataque deste tipo. Geralmente o cracker usou um ataque ativo (como um spoofing de IP ou 'Man-in-the-middle') para comprometer um sistema na LAN | Medidas preventivas incluem serviços com troca de chave criptográfica, senhas descartáveis ou autenticação criptografada para impedir snooping de senha. Também recomenda-se a alta criptografia durante as transmissões |
|
Vulnerabilidades do Serviço | Um atacante encontra um defeito ou uma infração em um serviço executado pela Internet através desta vulnerabilidade. O atacante compromete o sistema inteiro e quaisquer dados que este possa conter; e também é possível que comprometa outros sistemas da rede. | Serviços baseados em HTTP, tais como o CGI, são vulneráveis a execuções de comandos remotos e até mesmo a acesso através da janela de comandos. Mesmo que o serviço HTTP seja executado por um usuário não-privilegiado, como "ninguém", informações como arquivos de configuração e mapas de rede podem ser lidas, ou o atacante pode iniciar um ataque 'denial of service' que drena os recursos do sistema ou torna-os indisponíveis a outros usuários. | Serviços podem ter vulnerabilidades que passam desapercebidas durante o desenvolvimento e testes. Estas vulnerabilidades (tais como sobrecarregamentos do buffer, que possibilitam ao atacante obter acesso ao preencher a memória endereçável com uma quantidade além da aceitável pelo serviço, prejudicam o serviço e dão ao atacante um prompt de comando interativo a partir do qual ele pode executar comandos arbitrariamente) podem oferecer controle administrativo completo a um atacante. | Administradores devem certificar-se que os serviços não sejam executados com o usuário root e estar atentos a atualizações de erratas e consertos para suas aplicações, de fabricantes ou empresas de segurança como CERT e CVE. |
|
Vulnerabilidades da Aplicação | Atacantes encontram falhas em aplicações de compuatdores pessoais e estações de trabalho como clientes de e-mail, executam código arbitrário e implantam trojans para comprometer ou danificar serviços futuramente. Exploits podem ocorrer no futuro se a estação de trabalho comprometida tiver privilégios administrativos para o resto da rede. | Estações de trabalho e computadores pessoais são mais propensos a exploits porque os funcionários não têm a mesma habilidade ou experiência para impedir ou detectar o comprometimento; é essencial informar aos indivíduos sobre os riscos que correm ao instalar software não autorizado ou abrir arquivos anexos de e-mails não solicitados. | Algumas defesas podem ser implementadas de modo que este software de cliente de e-mail não abra ou execute automaticamente arquivos anexos. Adicionalmente, a atualização automática do software da estação de trabalho através da Red Hat Network ou outros serviços de gerenciamento de sistemas, podem aliviar a carga de aplicações de segurança para multi-usuário. |
|
Ataques Denial of Service (DoS) | O atacante ou grupo de atacantes coordena um ataque a recursos de rede ou de servidor de uma empresa enviando pacotes não autorizados para a máquina alvo (um servidor, um roteador ou uma estação de trabalho). Isto força o recurso a ficar indisponível aos usuários legítimos. | O caso de DoS (denial of service) ocorrido em 2000 mais reportado. Diversos sites comerciais e governamentais de alto tráfego tornaram-se indisponíveis por um ataque 'ping flood' coordenado, usando vários sistemas comprometidos com conexões de banda larga atuando como zumbis, ou nódulos de transmissão redirecionados. | Pacotes fonte geralmente são forjados (e também retransmitidos), dificultando a investigação da verdadeira origem do ataque. | Avanços na filtragem do ingresso (ingress filtering - IETF rfc2267), usando iptables e IDs de Rede como snort, ajudam administradores a rastrear e impedir ataques DoS distribuídos. |
|