apostila web ip

CBPF-NT-008/2000

Segurana na Web CAT-Informtica -1-

SSEEGGUURRAANNAA NNAAWWEEBB

Marita Maestrelli Email: [email protected] Trovo Email: [email protected] Jannuzzi Email: [email protected]

CBPF-NT-008/2000


Prefcio

Uma rede local conectada a Internet exige a implementao de vrias normas de segurana. Como surgimento da Internet comercial, o acesso aos detalhes sobre falhas de segurana em qualqueraplicao ficou muito mais fcil.

Segurana tem se tornado uma das principais atribuies dos administradores de redes, pois acada dia surgem novos vrus e vulnerabilidades so descobertas nos diversos sistemas de rede.

Esta Nota Tcnica uma introduo a segurana na World Wide Web, abordando desde oprotocolo primrio utilizado na Internet (TCP/IP), at as estatsticas das pixaes feitas nos sitesmundiais.

Esta a primeira das Notas Tcnicas que abordaro o temaSegurana, e derivou do projeto de Vocao Cientfica do aluno Bernardodo CAP/UFRJ.

CBPF-NT-008/2000


NNDDIICCEE

1. Introduo ----------------------------------------------------------------------------------------2

2. Comunicao na Internet ----------------------------------------------------------------------3

2.1. Protocolo TCP/IP---------------------------------------------------------------------3 -Aplicao----------------------------------------------------------------------------------3

-Transporte---------------------------------------------------------------------------------3 -Rede----------------------------------------------------------------------------------------3 -Fsico-------------------------------------------------------------------------------------- 4

2.2. A aplicao WWW ----------------------------------------------------------------- 4

2.2.1. Definio ------------------------------------------------------------------ 4

2.2.2. Web server----------------------------------------------------------------- 5 -Apache----------------------------------------------------------------------------6

-IIS --------------------------------------------------------------------------------7

2.2.3. Executando programas na Web------------------------------------------8 -CGI--------------------------------------------------------------------------------8

2.2.4. Web Chats------------------------------------------------------------------9

2.2.5. Invasores -----------------------------------------------------------------11 -Hackers--------------------------------------------------------------------------11

2.2.6 Segurana ---------------------------------------------------------------- 12 -SHTML -------------------------------------------------------------------------12

-Criptografia---------------------------------------------------------------------12

2.2.7 Insegurana----------------------------------------------------------------13 -Java applets hosts--------------------------------------------------------------13

3. Estatsticas de pixaes em pginas na internet ------------------------------------------ 14

4.Concluso----------------------------------------------------------------------------------------17

5.Bibliografia--------------------------------------------------------------------------------------18

Glossrio------------------------------------------------------------------------------------------- 19Apndice 1 ---------------------------------------------------------------------------------------- 22

CBPF-NT-008/2000


IINNTTRROODDUUOO

Atualmente as empresas e instituies que integraram internet tm enfrentadouma srie de problemas relacionados a segurana de seus Web Servers, que so asmquinas que oferecem o servio de HTTP para determinada rede.

Isto decorrente do crescimento descontrolado da Web. Explicaremos nodecorrer desta nota tcnica de que maneira estes Web Servers podem permanecer maisseguros.

Existem uma srie de Servers (servidores) disponveis no mercado,apresentaremos dois dos principais com algumas das caractersticas relativas parte desegurana, assim como, o tipo de plataforma que operam, alm de algumas sugestes deconfigurao destes servidores.

Ser explicado de maneira geral como as informaes trafegam na rede, o perfilde um invasor, as falhas mais comuns na configurao de um Web Server, e dosprotocolos utilizados para enviar, receber e intermediar as relaes servidor/cliente(usurio).

CBPF-NT-008/2000


22--CCOOMMUUNNIICCAAOO NNAA IINNTTEERRNNEETT

22..11--TTCCPP//IIPP --(( TTRRAANNSSMMIISSSSIIOONN CCOONNTTRROOLL PPRROOTTOOCCOOLL//IINNTTEERRNNEETT PPRROOTTOOCCOOLL))

um padro de comunicao que rene um conjunto de protocolos tais comotcp, ip, ftp (file tranfer protocol), telnet, icmp, arp e nfs.

As informaes que trafegam na rede necessitam do TCP/IP, por isso ele utilizado como protocolo primrio da rede na internet.

Este protocolo foi dividido em camadas bem definidas, cada uma realizandosua parte na tarefa de comunicao (aplicao, transporte, rede, e fsico). Este modelotem a seguinte vantagem: por ter os processos de comunicao bem definidos edivididos em cada camada, qualquer alterao poder ser feita isoladamente, noprecisando reescrever todo o protocolo.

O TCP/IP tem como principal caracterstica a transmisso de dados emmquinas que diferem em suas arquiteturas .

Estas so as camadas que compem o modelo TCP/IP.

AplicaoTransporte

RedeFsico

--AAPPLLIICCAAOO

Nesta camada so necessrios protocolos de transporte para garantir o funcionamentodas aplicaes reais (DNS, WWW, SMTP, POP, NFS, FTP).

Esta camada trabalha com a porta a qual esta ligada a aplicao.Ex: FTP (porta 21), HTTP (porta 80), Telnet (porta 23), etc.

--TTRRAANNSSPPOORRTTEE

Utiliza dois protocolos para a comunicao Host-to-Host (TCP/UDP).Esta camada tambm tem como funo organizar e controlar o fluxo de dadostransmitidos para que o protocolo no se perca no meio de tantos pacotes.

--RREEDDEE

A camada chamada de rede ou Internet, tem como principal funo direcionar osdados aos seus respectivos endereos. Esta caracterstica chamada de roteamento, quetambm tem como vantagem evitar o congestionamento da rede, pois trabalha comendereo IP de origem e destino.

CBPF-NT-008/2000


--FFSSIICCAA

Esta camada est com o seu funcionamento baseado na placa de rede, que dependendodo meio em que est funcionando trabalhar com diferentes padres.

22..22-- AA AAPPLLIICCAAOO WWWWWW

22..22..11 DDEEFFIINNIIOO

World Wild Web ou Web o nome dado a todos os documentos HTMLdepositados nos servidores HTTP interconectados a internet. Esses documentos assimcomo os links que os compem, formam uma teia (web) de informaes.

(fig. 1)

A Web foi desenvolvida em 1989 e liberada em 1991 por seus criadores noCERN (European Laboratory for Particle Physics) com o objetivo de compartilhar osarquivos dos usurios de modo mais grfico.

Os visualizadores grficos so utilizados para carregar pginas na Internet. oque chamamos de browser ou navegador. Podemos citar diversos exemplos denavegadores como o Netscape, Internet Explorer e at mesmo o pioneiro deles, oMosaic.

Com o crescimento explosivo da Web, houve a necessidade de aumentar astcnicas utilizadas para a navegao, logo, falhas foram ficando mais claras e pblicas.Com isso o WWW comeou a ser um freqente alvo de invases realizadas por piratasda rede. Essas invases podem ser motivadas por exemplo, com algum descuido na horade configurar um servidor web; ou causado pela inexperincia de alguns programadoresdas linguagens para WWW (Perl, Java, Java Script, Asp), que cometem erros sutis emsuas programaes, gerando aberturas que facilitam o trabalho do invasor; ou atmesmo falhas dos prprios navegadores que quando so descobertas so bastanteexploradas pelos invasores. Isso demora muito a acontecer, e quando a empresa informada, a mesma providencia um PATCH para a correo do problema. At todoesse processo se desenvolver, demora muito tempo, e os estragos causados neste espaode tempo, podem ser grandes.

CBPF-NT-008/2000


22..22..22 -- WWEEBB SSEERRVVEERRSS

um host com software apropriado que proporciona servios web a usurios deuma rede.

Host

(fig. 2)

Cada Servidor Web possui tem caractersticas prprias, sendo necessrio observar osprocedimentos includos na documentao de cada um. Entretanto, existem algunstpicos comuns a qualquer servidor Web que permitem configurar os ambientesparticulares de cada instalao. Alguns desses tpicos referem-se a especificaes dotipo:

! A pasta ou diretrio raiz do Servidor.! A pasta ou diretrio onde vo residir os scripts, ou programas executveis.! A pasta ou diretrio onde os documentos (textos HTML) e figuras esto.! Nmero mximo de processos e usurios simultaneamente.! Os "alias" para identificar, dentro dos programas, os componentes e recursos do

Servidor, sem necessidade de saber o verdadeiro nome deles.! O nome default da pgina inicial, ou Home Page.! As opes de Log e segurana.! Os filtros incorporados ao servidor.! A estrutura de permisses e privilgios do Servidor.

Cada tipo de plataforma necessita de um web server especficoExistem inmeros servidores web, no entanto apenas cinco se destacam realmente oApache, IIS, Netscape, NCSA e Novell . Na figura 3 observa-se a utlizao deles naInternet. No apndice 1, enumeramos vrios Web Servers e as plataformas que elesatuam.

55% 32% 25% 6% 2% 10%0%

20%

40%

60%

Apache IIS Netscape NCSA Novell Outros(fig. 3)

SoftwareWeb Server

Web Server

CBPF-NT-008/2000


Abordaremos nesta nota tcnica os dois Web Servers mais utilizados.APACHE e IIS.

--AAPPAACCHHEE

O APACHE o melhor e mais popular web server no mundo. Muitos sites naInternet o usam e isso se d pela sua grande segurana e excelente desempenho. Atmesmo em sua verso Windows, ele pode ser usado para fazer grandes servidores. Atabela abaixo est mostrando a relao entre grandes instituies e os servers utilizados.

Servidor Instituio

Apache

Javasoft, FBI, Financial Times, O Banco dedados de Cinema, W3 Consrcio, A Famlia

Real, Servio de Automatizao daBiblioteca Universitria de Oxford M.I.T,Universidade de Harvard e a Universidade

de Texas em Austin

IIS (Internet Information Server) Compac, Nasdaq, A Liga de FutebolNacional, Exxon e Tesco

A principal ameaa aos web server so os programas que procuram porvulnerabilidades nos servers, tais como bugs ou portas que estejam disponveis parainvaso. Estes programas so perigosos principalmente pelo fato de serem muito fceisde usar.

O que torna realmente um servidor seguro ou no a maneira a qual ele configurado, muitas vezes um site na internet invadido no por problemas do webserver e sim da maneira como ele foi configurado.

Existem alguns pontos na sua configurao que devemos analisar e configurarde forma correta para que no haja furos na segurana deste web server. A primeira maneira diz respeito no s ao Apache, mas a todos os servidoresweb. Consiste na maneira a qual o daemon de httpd e startado. Normalmente, o processo "pai" e startado com permisses de root, logo elepoder "escutar" a porta 80, que e a porta padro do servio http. Quando h solicitaode conexo na porta 80, e gerado um processo "filho" cujo dono e grupo so definidosno arquivo httpd.conf. A idia que para ficar mais seguro se troque o dono e o grupo do processo"filho" para nobody atravs deste arquivo de configurao. Uma outra preocupao e com relao permisso dos diretrios e dosarquivos. O diretrio CGI ter permisso 711, ou seja, ele pode ser executado e nolistado, mas os scripts l contidos, tm que ter permisso 755 para poderem serexecutados corretamente. Os arquivos de configurao contidos na raiz do servidor, devem ter apenaspermisso para o root de ler e escrever.

CBPF-NT-008/2000


O Apache trabalha basicamente com trs arquivos de configurao. so eles oaccess, conf, httpd.conf e srm.conf. E importante saber trabalha-los, pois, seconfigurados corretamente, ser possvel controlar diversos mecanismos para aumentara segurana no seu servidor, tais como:

! Desabilitar listagem automtica dos diretrios! Negar os links simblicos de seguirem fora da rvore do diretrio de documentos,

impedindo assim que arquivos confidenciais sejam visualizados! Desabilitar os SSI, impedindo assim que usurios remotos possam executar

comandos arbitrrios! Impedir que usurios remotos possam navegar sem preocupaes por seus sistema

de arquivos! Evitar que as configuraes dos usurios prevaleam sobre as do sistema

Como dito anteriormente, nenhum servidor web e totalmente seguro. Os bugsso a maior prova disso. Aqui relacionamos trs bugs do Apache.

" Permite a qualquer usurio remoto executar comandos UNIX arbitrrios no servidor.Verses afetadas: 1.02 e inferiores

" Usurios locais podem executar comandos UNIX com a permisso igual a doservidor Web. Verses afetadas: anteriores a 1.2.5

" Permite ao usurio enviar cookies muito grandes para o servidor Web, ocasionandoo estouro da pilha. Verses afetadas: anteriores a 1.1.3

" Permite ao usurio visualizar o contedo de paginas

Para a correo dos Bugs os implementadores do Apache recomendam instalao depatches.

--IIIISSO IIS ( Internet Information Server) o segundo Web server mais utilizado na

internet. Este server tem como funes estabelecer um modelo de segurana e oferecerrecursos de monitorao no Windows NT. A segurana deste server consistebasicamente em controlar o acesso informaes contidas no sistema, atravs depermisses especiais de acessos s pastas e programas, impedindo assim que usuriosfaam utilizaes indevidas ou visualizem arquivos de acesso restrito.

O mais importante em relao a parte de segurana do server o modo com queele configurado, no se pode de nenhuma maneira tornar acessveis informaes dosistema relativas a localizao de arquivos de configurao, pastas que contenhaminformaes confidenciais como senhas ou qualquer outro tipo de informaes quefacilitem ou permitam a entrada de invasores.

CBPF-NT-008/2000


O IIS da Microsoft possui uma srie de bugs, alguns j foram sanados atravs depatchs disponibilizadas na prpria pgina da empresa. At este momento foramdescobertos cerca de 14 bugs. A seguir sero explicados 2 deles.

" Relativo ao active server pages (asp), que funciona criando documentosdinmicos atravs da combinao de html com scripts. Quando este recurso utilizado e o Web server que estiver rodando for o IIS 4.0, possvelvisualizar todo o contedo do diretrio digitando um ponto (.) no final doendereo. Nestas pastas podem estar contidos arquivos de acesso restrito e aapropriao indevida dos mesmos pode acarretar por exemplo no roubo desenhas. Este patch est disponvel na pgina da Microsoft.

" Relativo ao ataque DoS (Denial of Service). Este ataque consiste emsobrecarregar o CPU invadida, enviando solicitaes que provoquem falhasno inetinfo.exe do IIS. Ao ser corrompido este processo ser iniciado usando100% da capacidade da CPU pertencente ao server, dificultando a aceitaode solicitaes e tornando o server mais lento, no decorrer do processo oservidor travar sendo necessrio reinicializar o sistema. A Microsoftdisponibilizou os patches para correo que podem ser encontrados noprprio site da Microsoft.

22..22..33 -- EEXXEECCUUTTAANNDDOO PPRROOGGRRAAMMAASS NNAA WWEEBB

--CCGGII

O cgi um protocolo comum o qual o servidor HTTP (web server) usa paraintermediar a transferncia de um programa entre ele e o cliente HTTP (seu browser).

(fig. 4)

Web Server

Aplicao CGI

Cliente

Protocolo CGI

CBPF-NT-008/2000


O cgi gera problemas aos web servers, s redes que os hospedam e at mesmo osclientes de HTTP. Este perigo no est ligado ao protocolo cgi e sim aos scripts cgicontidos neste diretrio. Esses sim, so a maior fonte de bugs de segurana e por issoprecisam ser escritos cuidadosamente.

Na verdade, o que pode gerar isso so alguns erros sutis na codificao,permitindo assim que informaes de servidores ou do sistema apaream, ou comandosarbitrrios gerados a partir desses scripts.

Exemplos de cgi conhecidos como furo de segurana:

Script Verses afetadas Usocount.cgi 1.0-2.3 contador de pgina

webdist.cgi 1.0-1.2 distribui softwarephp.cgi at 2.0 Linguagem de scripts

Anyform 1.0 cria formulriosFormMail 1.0 envia dados/e-mail

Phf Todas Phone book

Recomendamos para maior segurana nos scripts:

Colocar todos os scripts em um nico diretrio (configurado no arquivo /conf/srm.conf).Usar programas como TRIPWIRE para monitorar mudanas ocorridas nos scripts.A permisso dos scripts 711(*) e do diretrio CGI 755(*)2.Desative os scripts que no so mais utilizados.Dentro do seu cdigo evite dar mais detalhes sobre seus scripts, no assuma tamanho dedados na entrada e analise sempre os dados de entrada do usurio.Chame os programas utilizando caminhos absolutos.

(*) permisso para o usurio ler, escrever e executar, para o grupo e outros apenas deexecuo.(*)2 permisso para o usurio ler, escrever e executar, para o grupo de executar e ler epara outros apenas de execuo.

22..22..44 -- WWEEBB CCHHAATTSS

Ao entrar em um web chat, geralmente o usurio no imagina os riscos ao qualfica exposto.

O Hacker pode tentar atac-lo por diversos motivos.

CBPF-NT-008/2000


Ele pode tentar um ataque que nada tem a ver o usurio. simples, o pirata stenta burlar regras impostas por responsveis pelo chat como:

Dar efeitos diferentes ao texto (cor, tipo de texto).Entrar em uma pgina que o limite de usurios j esta esgotado.Entrar em salas restritas assinantes de determinado provedor.Enviar mensagens a todos os usurios da sala simultaneamente e repetidamente.

Outra forma de ataque feita diretamente com a inteno de prejudicar ou pelomenos investigar um usurio ou vrios deles. Entre eles podemos citar:

Clonar seu nick (apelido no chat).Apagar a lista de nomes das pessoas que esto no chat.Visualizar seu HD (hard disk).Rastrear seu IP e a partir dai poder monitorar e/ou administrar sua maquina.Executar aplicaes que possam atrapalhar desempenho da sua mquina

O mais alarmante disso que esses ataques podem ser feito por qualquer pessoa,sem que seja necessrio grande conhecimento tcnico.

Outros fatores que contribuem para a falta de segurana dentro destes chats ademora dos provedores em desenvolverem protees contra para estes tipos de ataques(os chamados filtros), e a facilidade com que estas informaes so disponibilizadas naInternet por meio de sites hackers, tem instrues detalhadas de como fazer, atravs daslinhas de comando, ou como instalar e configurar determinados programas queexecutem este tipo de funo.

Como dito no pargrafo acima, essas ocorrncias podem surgir tanto por linhasde comandos (como por exemplo comandos de HTML) como softwares especializadosneste tipo de atitude. Entre esses programas, podemos citar:

Robot Mask UOL v1.2 NewsEnvia mensagens em todas as salas do chat do UOL.

Robot Mask MANDIC v1.2 NewsEnvia mensagens em todas as salas do chat da MANDIC.

Robot Mask WORLD v1.2 NewsEnvia mensagens em diversas salas de bate papo, STI, CORREIO, ETC.

Chat Mask Server v1.1WebChat Pessoal, um chat rodando direto do seu hd.

DynIP Client v3.0Converte seu IP por um Domain Name.

Omni Httpd PRO v2.01Servidor Pessoal, que atravs do envio de fotos no chat, rastrea IPs

CBPF-NT-008/2000


IpTracerRastreia IP em salas de chat.

Chat BusterOutro ratreador de Ips em salas de chat. Esse se apresenta mais eficaz que o acima poisfunciona em mais chats que o anterior.

22..22..55 -- IINNVVAASSOORREESS

--HHAACCKKEERRSS

Quando iniciamos os estudos sobre segurana, vimos que a maioria dasreferncias associam o termo "hacker" a piratas da rede, salvo uma, que deu a melhordefinio para este termo.

Um hacker no necessariamente uma pessoa que seja pirata de rede, e sim umapessoa com extrema capacidade de associao e compreenso, dotada com extremacompetncia em uma rea especfica, por isso o termo muito utilizado paracaracterizar os piratas da rede, pois geralmente so muito inteligentes e dedicados quaseque integralmente em seus objetivos ou suas atividades.

Os hackers so indivduos inteiramente ligados seus projetos de atacar redespor diversos motivos, entre eles podemos citar a destruio de redes, utilizao dosrecursos que ela oferece, hospedar programas em uma determinada rede para queatravs desta ele possa invadir outras, roubo de informaes, descobrir falhas nossistemas para que esta informao possa ser passada, assim, outros hackers poderoinvadir da mesma forma ou at para provar aos outros que ele pode descobrir qualquerfalha e invadir qualquer sistema.

Normalmente, estas pessoas possuem algumas caractersticas comuns. A grandemaioria dos piratas de computador so jovens com idade entre 16 e 25 anos.

Eles tambm apresentam algumas outras caractersticas, como:

Ser especialista em HTML e em linguagens de programao da Internet tais como CGI,DHTML, JAVA , PERL, alm de outras linguagens como C, C++, programao Shell.Ter conhecimentos avanados em TCP/IP.Conhecer minimamente todos os sistemas operacionais, principalmente LINUX, UNIX eWINDOWS.Preferir as linhas de comando aos ambientes grficos.

Os ataques, em sua grande maioria, ocorrem de madrugada, pois dificilmente osadministradores estaro controlando seus sistemas. Outra caracterstica destes ataques que raramente deixam rastros.

CBPF-NT-008/2000


22..22..66 -- SSEEGGUURRAANNAA

Interna e externamente o servidor Web cada vez mais freqentemente oelemento intermedirio da comunicao entre o usurio final e a aplicao de acesso aoBanco de Dados para operaes ou de consulta. A busca por mecanismos queassegurem que somente as transaes legtimas sejam acatadas, sem abrir mo deformas de acesso baratas, universais e de amplo uso, tem sido uma preocupaoconstante de quem implanta servios neste contexto.

--SSHHTTMMLL ((SSEECCUURRIITTYY HHYYPPEERR TTEEXXTT MMAARRKKUUPP LLAANNGGUUAAGGEE))

O shtml tem como funo tornar os documentos html interativos. O quepossibilita este dinamismo o recurso SSI (Sever Side Includes) que utilizado peloshtml. O SSI trabalha executando na pagina scripts e CGIs que estejam contidos noservidor. O que diferencia este recurso do html a possibilidade de aplicar, diretamenteno cdigo, variveis de um programa CGI, contido no servidor, em uma homepage.Atravs do SSI possvel carregar para o usurio variveis que possam conter porexemplo datas, horas, mensagens e etc que se modificam automaticamente. Porm parase obter acesso na construo deste tipo de pgina, faz-se necessria autorizao porparte do Web Server.

--CCRRIIPPTTOOGGRRAAFFIIAA

A criptografia um conjunto de tcnicas utilizadas para transformar asinformaes que trafegam na rede, em textos cifrados para mente-las em sigilo. Elatrabalha codificando a informao de modo que apenas quem tiver conhecimento dachave utilizada, poder decodific-la.Atualmente existem dois mtodos de encriptao, que utilizam algoritmos baseados emchaves: simtrica e assimtrica.

A criptografia de chave simtrica trabalha utilizando uma nica chave paracodificar e decodificar a informao. Este tipo de criptografia mais utilizado nasconexes temporrias ou em conexes seguras, como por exemplo no preenchimento dedados sigilosos na internet. Como a chave utilizada nica, ela deve ser mantida emsegredo. A segurana dos algoritmos simtricos residem nesta chave e divulga-lasignifica que qualquer um pode tanto cifrar como decifrar qualquer mensagem queutiliza este sistema criptogrfico.

J a criptografia de chave assimtrica utiliza duas chaves diferentes paraencriptar. Estas chaves so denominadas de privada, que a qual apenas o usurio temconhecimento, e a pblica que transmitida para o destinatrio de modo que apenas estepossa decodificar a informao. O esquema abaixo ilustra este processo:

CBPF-NT-008/2000


Cliente A Chave privada cliente A + chave publica cliente BEnvia mensagem

(fig. 5)

22..22..77 IINNSSEEGGUURRAANNAA

--JJAAVVAA AAPPPPLLEETTTTSS HHOOSSTTIISS

Se voc costuma navegar pela Internet em busca daquela informao que vocnecessita ou daquela imagem maneira, acautele-se. Voc pode estar sendo infectado porum vrus transportado por um Java Applet. Java Applets hostis Java a maior onda domomento. Trata-se da primeira linguagem de programao realmente portvel, estvel,barata e fcil de usar, pelo menos para quem conhece C. Todavia existe uma serpentetambm neste paraso. Problemas de segurana srios podem ser acarretados a partir dosimples e aparentemente inocente acesso a uma pgina WWW cheia de vistoso recursosmultimidia que para serem apreciados requerem que voc permita o envio para a suamquina, de cdigo que ser localmente executado.

Java tem mecanismos intrnsecos de segurana mas o fato de implicar no enviode cdigo executvel para o browser abre espao para toda uma srie de ataques. E estasbrechas tem sido usadas.

Os mecanismos bsicos de segurana do ambiente Java implicam em que ocdigo recebido seja limitado a certas aes e contexto, tais como: executar clculos, iteraes, etc... desenhar dentro dos limites definidos pelo HTML na janela do cliente desenhar janelas marcadas como janelas Java fora da janela do navegador comunicar via interface de soquetes com o host que carregou o applet

Chave privada cliente B + chave publica cliente ACliente BRecebe mensagem

CBPF-NT-008/2000


A equipe da Universidade de Princeton tem testado os browsers Netscape eMicrosoft Explorer e em cada nova verso novos furos tem sido apontados. Os maissignificativos so os seguintes: DNS spoofing (como um computador engana umservidor fazendo-o acreditar que ele outro nodo ou cliente), o envio de cdigoexecutvel no confivel para sistemas remotos que executam comandos que no erasuposto executar (mais poderosos do que o definido no contexto Java) e vrios defeitosnos primeiros browsers que tambm permitem que as aes comandadas saiam fora docontexto limitado anteriormente referido provendo acesso a variveis e arquivos dosistema.

Assim, aquela pgina WWW vistosa que voc buscou num endereo qualquerpode conter o ovo da serpente que ser aninhada e nascer nas entranhas de suamquina. Applets Java potencialmente hostis podem ingressar numa Intranet enganandoo firewall via DNS spoofing. Claro que sempre possvel desabilitar os Java scripts emseu browser. Isto pode ser feito selecionando a opo "Security Preferences" do menude "Options" e ento clicando na caixa "Disable Java" mas ento perde-se o efeitopretendido para a pgina. Um servidor proxy para http poderia tambm ser configuradopara impedir a passagem de arquivos com classe Java.

33 EESSTTAATTSSTTIICCAASS DDEE PPIIXXAAEESS EEMM PPGGIINNAASS NNAA IINNTTEERRNNEETT

A seguir sero exibidos uma srie de grficos que representam os sistemas operacionaismais atacados e quais os Web Servers que operam nesses hosts.(Todos as informaes destes grficos foram obtidos no perodo de um ano, de agostode 99 at agosto de 00)

(fig. 6)

Ser mostrado atravs de tabela e grfico os domnios mais atacados

Tabela com nmeros relativos ao ano 2000Brazil (br) 453

United States (us) 269United Kingdom (uk) 191

NT59%Linux

19%

Solaris10%

BSD7%

Outros5%

CBPF-NT-008/2000


Korea, Republic of (kr) 141Mexico (mx) 134

Germany (de) 89Australia (au) 81Canada (ca) 80

Russian Federation (ru) 80Argentina (ar) 73

Brazil (br)28%

United States (us)17% United Kingdom

(uk)12%

Korea, Republic of (kr)9%

Mexico (mx)8%

Germany (de)6%

Australia (au)5%

Canada (ca)5%

Russian Federation (ru)5%

Argentina (ar)5%

(fig. 7)

O grfico acima refere-se aos domnios mais invadidos. Note que o Brasil lideraesse ranking. Espera-se que ocorra uma reviravolta neste quadro a curto ou mdioprazo, pois alguns sites j esto comeando a investir em segurana.

CBPF-NT-008/2000


Web Servers Pixados

(fig. 8)

No grfico acima possvel observar que o IIS o Web server com o maiorndice de invases, este servidor trabalha nas plataformas Windows NT, que por sinal o sistema operacional com o maior nmero de invases. Logo em segundo vem oApache, porm preciso lembrar que este Web Server trabalha em diversas plataformas,o maior nmero de invases ocorre quando este servidor est instalado em mquinasque utilizam o Windows NT como sistema operacional.

(fig. 9)

O grfico acima representa a quantidade de Web Servers rodando sob ossistemas operacionais mais atacados. A parte inferior representa o sistema com a maiorincidncia, o Windows NT, o segundo (de baixo para cima) diz respeito ao Linux, oterceiro ao Solaris, o quarto ao BSD e o ltimo a todos os outros sistemas disponveis.

CBPF-NT-008/2000


44--CCOONNCCLLUUSSOO

No decorrer do desenvolvimento deste trabalho, conclumos atravs de inmeraspesquisas, que o servidor Apache o mais seguro e eficiente, por sua confiabilidade,versatilidade de plataformas de operao, alm de ser gratuito . Existem outros bonsweb servers disponveis no mercado, porm no to seguros, devido ao grande nmerode falhas em sua programao como o caso do IIS.

preciso esclarecer que apesar de ser o mais seguro, no 100% livre de falhas.Portanto, preciso atualizar-se continuamente pois a cada dia so descobertos novosbugs. Os invasores de sistemas esto ficando cada vez mais numerosos e com maisrecursos, todo o dia so lanados dezenas de programas de invaso, transformando arotina dos administradores de web servers em uma eterna monitorao.

Sugestes:1. Manter-se, atualizado participando de listas de discusses e de boletins de

segurana.2. Monitorao permanente da rede; atravs de logs confiveis.3. Redundncia de servidores e/ou backup dirios.4. Ter uma poltica de segurana.

CBPF-NT-008/2000


5- Bibliografia

Devido ao carter instvel das paginas na internet, no garantimos a acessibilidade detodos os sites.

1- Hackersclub - "www.hackersclub.com"

2- Microsoft - "www.microsoft.com.br"

3- "www.cciencia.ufrj.br"

4- "latam.iis.net"

5- "www.hackersnews.com.br"

6- "www.hackers.com.br"

7- "Sistema X - "http://members.nbci.com/rogeriox/"

8- Anti-hackers http://www2.uol.com.br/cgi-bin/anti-hackers/builder/builder.cgi

9- Attrition www.attrition.org/mirror/attrition

10 - Formas de Ataque Liana Tarouco POP-RS/CERT-RS-UFRGS

CBPF-NT-008/2000


GGLLOOSSSSRRIIOO

TELNETO telnet um programa/protocolo utilizado para estabelecer uma comunicao remotacom outra mquinas. Este recurso permite uma conexo simples e sem interface grfica.

TCP (Transmission Control Protocol) um dos protocolos que compem o TCP/IP, responsvel pelo transporte deinformaes pela rede.

IP (Internet Protocol ou Protocolo da Internet)Responsvel pela identificao das mquinas, redes e encaminhamento das mensagensentre elas. O IP responsvel pelo roteamento dos pacotes entre dois sistemas queutilizem os protocolos do tipo TCP/IP. o mais importante dos protocolos utilizados nainternet.

FTP (File Transfer Protocol ou Protocolo de Transferncia de Arquivos)Um protocolo padro da Internet que usado para transferncia dearquivos entre computadores remotos.

NFS (Network File System ou Sistema de Arquivos de Rede)Protocolo para compartilhamento de dados numa rede independente da mquinasUNIX.

DNS (Domain Name System ou Sistema de Nome de Domnio)O DNS funciona como um catlogo de endereos na Internet. Ao requisitar no servidorde internet um endereo, ele procura em seu catlogo se ano conseguir encaminha esteendereo para outros servidores e se nenhum servidor da rede conseguir identificar oendereo, ele considerado inexistente e a pesquisa para enviando uma mensagem deerro para o browser.

SMTP (Simple Mail Transport Protocol ou Protocolo de Transporte de Mail Simples)Protocolo utilizado para a transferencia de correio eletrnico de um computador paraoutro em uma rede TCP/IP.

POP3 (Post Office Protocol)Protocolo usado pelo correio eletrnico para manipulao de arquivos de mensagens emservidores de correio eletrnico.

HTTP (HiperText Transfer Protocol ou Protocolo de Transferncia de HiperTexto) o protocolo mais utilizado na web, pelo qual os documentos so enviados do servidorpara o Browser.

CBPF-NT-008/2000


UDP (User Datagram Protocol)Neste protocolo, os pacotes so enviados ao destino sem uma preocupao se os dadoschegaram completos ao destino. Por no Ter esta preocupao durante a comunicao, oUDP mais rpido que o TCP, porm menos confivel. bastante til para evitar sobrecarga quando durante a transmisso, perder um pacoteou outro no significa muito.

PERL (Practical Extraction and Report Language)Linguagem de programao desenvolvida paraprocessamento de textos. Tambm umas das linguagens mais utilizadas para seescreverscripts CGI.

JavaLinguagem orientada objetos, que permite o desenvolvimento de aplicaes e AppletsJava muito utilizada na Web. Gera cdigo intermedirio (byte codes) que sointerpretados em tempo de execuo.

JavascriptLinguagem de formulao de scripts relacionada linguagem Java. No totalmenteorientada objetos interpretada. Oferece recursos avanados na construo de pginasna Web em conjunto com a linguagem HTML.

ASP (Active Sever Pages)Linguagem de programao da internet desenvolvida pela empresa Microsoft, quepermite entre outras coisas a manipulao de banco de dados via web e a criao depginas HTML mais dinmicas.

DHTML (HTML dinmico) uma linguagem avanada de edio de documentos para Web, que permite atribuirdinamismo e interatividade aos documentos.

WindowsSistema operacional da Microsoft, no qual os aplicativos so apresentados de maneirabem amigvel ao usurio atravs do uso de janelas que podem ser redimensionadas emovidas.

UnixSistema operacional desenvolvido pela AT&T. O Unix escrito em linguagem C,tambm desenvolvida pela AT&T. Esse sistema tem como principais vantagens o modomultiusurio, e a grande capacidade de processar.

LinuxConhecido como "Unix para PC". Foi desenvolvido em 1991, por Linus Torvald,estudante de Cincia da computao na Finlndia.

CBPF-NT-008/2000


CLinguagem de programao que pode manipular o computador em baixonvel. A linguagem C pode ser compilada emquase todos os computadores, permitindo o seu uso em uma amplavariedade de micros, minis e computadores de grande porte.

C++Verso orientada a objetos da linguagem C, criada por Bjarne Stroustrup.O C++ tornou-se popular por combinar a programao em linguagem Ctradicional com a tcnica de orientao objetos.

HostO Host computador qualquercomputador ligado rede, no necessariamente um servidor.

SSI (Server Side Includes)So comandos extensivos a linguagem HTML que so processados peloservidor Web antes da pgina HTML ser enviada. No lugar do comando enviado apenas o resultado do comando no formato normal de texto HTML.

Bug (Erro. Inseto voador, em ingls)Este termo foi associado a ocorrncia de um erro na programao ou fabricao de umSoftware ou Hardware.

CBPF-NT-008/2000


AAPPNNDDIICCEE 11

Nome Plataforma

AOLserver Digital UNIX, HPUX, Linux, IRIX, Solaris

ArexxWebServer Amiga

Alibaba Windows 3.x, NT, Windows

Amiga Web Server Amiga

ApacheLinux, FreeBSD, Solaris, IRIX,Digital UNIX,

BSDI, AIX,NetBSD, IBM OS/2, SCO,HPUX, NTCERN httpd UNIX

Commerce Server/400 AS/400

EIT httpd UNIX

EMWAC HTTP Server NT

EmWeb Embedded Web Server Digital UNIX, BSDI, AIX, SCO,HPUX, Embedded, NT, Linux, Windows 95,

FreeBSD, IRIX, Solaris

Enterprise Server Novell NetWare

Enterprise Web Secure/VM VM/CMS

EnterpriseWeb/MVS MVS

CBPF-NT-008/2000


EnterpriseWeb/VM VM/CMS

GLACI-HTTPD Novell Netware

GN Gopher/HTTP UNIX

HTTPd for OS/2 IBM OS/2

HTTPS NT (baseados em Intel e Alpha)

Internet Information Server NT

Java Server IBM OS/2, HPUX, NT, Linux,Windows 95, IRIX, Solaris

KA9Q MSDOS

Lotus Domino Go Webserver Digital UNIX, AIX, IBM OS/2, HPUX, NT,Windows 95, IRIX, Solaris

NCSA HTTPd NetBSD, Digital UNIX, BSDI, AIX,SCO, HPUX, FreeBSD, IRIX, Solaris

Netscape Enterprise Server Digital UNIX, AIX, HPUX, Windows, NT, IRIX

Netscape Netsite Servers Windows, IBM OS/2 e NT

Open Market Web UNIX

Oracle Web Application Server HPUX, NT, Windows 95, Solaris

OS2HTTPD IBM OS/2

CBPF-NT-008/2000


Phttpd UNIX

Plexus UNIX

Purveyor NT

Roxen Challenger NetBSD, Digital UNIX, BSDI, AIX,SCO, HPUX, Linux, FreeBSD, IRIX, Solaris

SerWeb Windows

Spinnaker NT, Windows 95

Spyglass MicroServer Embedded, NT, Linux, Solaris

The Major BBS MSDOS

Viking NT, Windows 95

vqServer Be OS, NT, Linux,Windows 95, Solaris

WebControlNetBSD, Digital UNIX, BSDI, AIX,

Windows 3.x, SCO, HPUX,Embedded, NT, Linux,

MS-DOS, Windows 95, FreeBSD,IRIX, Solaris

WebControl (TM)NetBSD, Digital UNIX, BSDI, AIX,

Windows 3.x, SCO, HPUX, NT,Linux, MS-DOS, Windows 95,


WEB4HAM Windows

Windows httpd Windows

CBPF-NT-008/2000


WebSite Professional NT, Windows 95

WebTen Macintosh

WN UNIX

XitamiNetBSD, Digital UNIX, BSDI, AIX,

IBM OS/2, Windows 3.x, SCO, HPUX,NT, Linux, MS-DOS,VMS, Windows 95,


Zeus Web Application Server Digital UNIX, AIX, HPUX,NT, Linux, IRIX, Solaris

apostila web ip

Documents