Apêndice B. Exploits e Ataques Comuns

A Tabela B-1 detalha alguns dos exploits e pontos de entrada mais comuns usados por intrusos para acessar recursos de rede de organizações. As explicações de como estes exploits são executados e como administradores podem proteger sua rede apropriadamente são muito importantes contra tais ataques.

ExploitDescriçãoNotas
Senha em branco ou defaultDeixar senhas administrativas em branco ou usar a senha default provida pelo fabricante. Isto é mais comum em hardware, como roteadores e firewalls, porém alguns dos serviços que rodam no Linux podem conter senhas default de administrador (apesar do Red Hat Enterprise Linux não distribuí-las).

Comumente associado a hardware de rede, como roteadores, firewalls, VPNs e aplicações de armazenamento anexo à rede (network attached storage - NAS);
Comum em muitos sistemas operacionais legados, especialmente aqueles que compoem serviços (como UNIX e Windows).
Às vezes, administradores criam algumas contas de usuários privilegiados com pressa e deixam a senha vazia, um ponto de entrada perfeito para usuários maldosos que descobrem a conta.

Chaves Compartilhadas DefaultServiços seguros às vezes empacotam chaves de seurança default para desenvolvimento ou para testes de avaliação. Se estas chaves permanacerem inalteradas e estiverem localizadas em um ambiente de produção na Internet, qualquer usuário com as mesmas chaves default tem acesso a este recurso de chave compartilhada e a quaisquer informações importantes contidas neste.

Mais comum em pontos de acesso sem-fio e aplicações de servidor seguro pré-configuradas
CIPE (consulte o Capítulo 6) contém uma amostra de chave estática que deve ser alterada antes da aplicação em um ambiente de produção

Spoofing do IP (alteração do endereço IP para parecer como outra máquna)Uma máquina remota age como um nódulo em sua rede local, encontra vulnerabilidades em seus servidores e instala um programa backdoor ou trojan horse para obter controle sobre seus recursos de rede.

O Spoofing é bem difícil já que requer que o atacante adivinhe os números de TCP/IP SYN-ACK para coordenar uma conexão que almeje os sistemas, mas há diversas ferramentas disponíveis para auxiliar crackers a executá-lo.
Depende de almejar sistemas que estejam rodando serviços (tais como rsh, telnet, FTP e outros) que utilizam técnicas de autenticação baseadas na fonte, não recomendadas quando comparadas à PKI ou outras formas de autenticação criptografada usadas no ssh ou SSL/TLS.

Eavesdropping (espionagem do tráfego de rede)Coleta de dados que trafegam entre dois nódulos ativos em uma rede através do eavesdropping na conexão entre estes dois nódulos.

Este tipo de ataque geralmente funciona com protocolos de transmissão somente-texto, como transferências Telnet, FTP e HTTP.
O atacante remoto deve ter accesso a um sistema comprometido em uma LAN para poder executar um ataque deste tipo. Geralmente o cracker usa um ataque ativo (como um spoofing de IP ou 'man-in-the-middle') para comprometer um sistema na LAN
Medidas preventivas incluem serviços com troca de chave criptográfica, senhas descartáveis ou autenticação criptografada para impedir snooping de senha. Também recomenda-se a alta criptografia durante as transmissões

Vulnerabilidades do ServiçoUm atacante encontra um defeito ou uma infração em um serviço executado pela Internet através desta vulnerabilidade. O atacante compromete o sistema inteiro e quaisquer dados que este possa conter; e também é possível que comprometa outros sistemas da rede.

Serviços baseados em HTTP, tais como o CGI, são vulneráveis a execuções de comandos remotos e até mesmo a acesso através da janela de comandos. Mesmo que o serviço HTTP seja executado por um usuário não-privilegiado, como "ninguém", as informações como arquivos de configuração e mapas de rede podem ser lidas, ou o atacante pode iniciar um ataque 'denial of service' que drena os recursos do sistema ou torna-os indisponíveis a outros usuários.
Às vezes, os serviços podem ter vulnerabilidades que passam desapercebidas durante o desenvolvimento e testes. Estas vulnerabilidades (tais como sobrecarregamentos do buffer, nos quais o atacante derruba um serviço usando valores arbitrários que preenchem o buffer da memória de uma aplicação, oferecendo ao atacante uma janela de comandos interativa, a partir da qual ele pode executar qualquer comando) podem oferecer controle administrativo completo a um atacante.
Administradores devem certificar-se que os serviços não sejam executados com o usuário root e estar atentos a atualizações de erratas e consertos para suas aplicações, de fabricantes ou empresas de segurança como CERT e CVE.

Vulnerabilidades da AplicaçãoAtacantes encontram falhas em aplicações de computadores pessoais e estações de trabalho (como clientes de e-mail) e executam código arbitrário, implantando trojans para comprometer ou danificar os sistemas futuramente. Exploits podem ocorrer no futuro se a estação de trabalho comprometida tiver privilégios administrativos sobre o resto da rede.

Estações de trabalho e computadores pessoais são mais propensos a exploits porque os funcionários não têm a mesma habilidade ou experiência para impedir ou detectar o comprometimento; é essencial informar aos indivíduos sobre os riscos que correm ao instalar software não autorizado ou abrir arquivos anexos de e-mails não solicitados.
Algumas defesas podem ser implementadas de modo que este software de cliente de e-mail não abra ou execute automaticamente arquivos anexos. Adicionalmente, a atualização automática do software da estação de trabalho através da Red Hat Network ou outros serviços de gerenciamento de sistemas, podem aliviar a carga de aplicações de segurança para um ambiente multi-usuário.

Ataques Denial of Service (DoS)O atacante ou grupo de atacantes coordena um ataque a recursos de rede ou de servidor de uma empresa enviando pacotes não autorizados para a máquina alvo (um servidor, um roteador ou uma estação de trabalho). Isto força o recurso a ficar indisponível aos usuários legítimos.

O caso de DoS (denial of service) ocorrido em 2000 mais reportado: diversos sites comerciais e governamentais de alto tráfego tornaram-se indisponíveis por um ataque 'ping flood' coordenado, usando vários sistemas comprometidos com conexões de banda larga atuando como zumbis, ou nódulos de transmissão redirecionados.
Pacotes fonte geralmente são forjados (e também retransmitidos), dificultando a investigação da verdadeira origem do ataque.
Avanços na filtragem do ingresso (ingress filtering - IETF rfc2267), usando iptables e IDs de Rede como snort, ajudam administradores a rastrear e impedir ataques DoS distribuídos.

Tabela B-1. Exploits Comuns