Conceitos Básicos sobre Segurança - Parte IIPor: Elias Barenboim ( 20/04/2001 )

Estamos por aqui novamente, espero que tenham gostado da semana passada.

Vamos voltar um pouco na história, a Internet que foi originada pela ARPANET (1969) não tinha preocupaçõesquanto a questões de segurança, seus protocolos ("idioma" que fazem as máquinas se falarem, com se fossea mesma "língua" digamos assim) tinham como meta a disponibilização dos serviços, a flexibilidade. Os dadostinham que estar lá, independente da situação. Existiam mecanismos para que mesmo perante um ataquenuclear, por exemplos, os dados chegassem a seu destino (roteamento dinâmico é a palavra, a ser discutido).Essa era a grande "sacada" dos protocolos da ARPANET.

As pessoas que estavam interligadas por esta rede não tinham qualquer tipo de problema com relação asegurança. Resumindo, a rede em si foi criada com intuito de manter os serviços sempre disponíveis, deforma aberta e irrestrita. Era uma rede que interligava pessoas com fins estritamente acadêmicos ougovernamentais e se confiavam acima de tudo.

Durante todos esses anos não houveram problemas grandes e que preocupassem com relação a segurança.Em 1988 a ARPANET sofreu seu primeiro grande incidente de segurança chamado "The Morris Worm".

Um estudante da Universidade de Cornell(NY/EUA), Robert T. Morris, escreveu um programa que conectavaem outro computador através de uma vulnerabilidade que ele procurava, utilizava-o e fazia isso para outro eoutro indefinidamente. Isso aconteceu por diversos computadores, até que causou um loop infinito(laço derepetição) que fez com que 10% da ARPANET parasse.

Para corrigir isso vários computadores se desligaram da ARPANET e trabalharam em seus sistemas paratirarem o tal "programa" e, posteriormente, se conectaram novamente.

O tal Morris comunicou a DARPA(o novo nome de ARPA) para criar um time de respostas a emergênciascomputacionais. agora chamado de CERT(CERT Coordination Center), um lugar de excelência do assunto eponto de referência para incidentes eletrônicos para todo mundo.

Em 1989 a ARPANET tornou-se oficialmente a Internet e moveu-se de um projeto de pesquisa governamentalpara uma rede operacional comercial; já havia mais de 100 mil computadores. Os problemas de segurançacontinuaram com técnicas tanto de ataques mais agressivas quanto de defesa mais sofisticadas.

Outro grande incidente ocorrido em 1989 foi conhecido como WANK/OILZ Worm, um ataque automatizadosobre o sistema VMS através da utilização de um exploit(código para explorar um erro de um programa) parao programa Sendmail é um programa de e-mail. Vocês ainda vão ouvir falar muito dele. Ele é bastantecomplexo e já consagrado por falhas de seguranças.

Atualmente um grande risco que se encontra em geral são as linguagens de programação para Web(ladoservidor lógico) e que tentaremos abordar a fundo em futuras colunas da área de programação ou por aquimesmo.

Bom, chegamos a conclusão que a Internet foi desenhada e concebida com fins de pesquisa e educação. De10 anos para cá esse foco tem mudado radicalmente e sua utilização em massa agregando valores financeiroscomo comércio eletrônico, propaganda além de serviços públicos, tornando a formação de especialistas emsegurança e a preocupação com o tema um fator essencial.

Um incidente de segurança de redes é qualquer atividade relativa a rede com implicações de segurançanegativas. Isso significa que a atividade violou uma explícita ou implícita política de segurança(será explicado

a posteriori). Tais incidentes podem ser de qualquer forma ou dimensão, podem vir de qualquer lugar daInternet, contudo alguns devem ter algum sistema específico como origem além de privilégios especiais emtal sistema. Podem envolver pequenos servidores ou mesmo dezenas deles interligados.

Um ataque típico consiste em ganhar acesso a contas de determinados usuários, ganhando acesso privilegiadoe utilizando o sistema da vítima como ponte para sistema de terceiros, dificultando rastreamento e evidênciasde identificação .

Fontes de Incidentes:

É muito difícil caracterizar quem realmente causou o incidente. O intruso pode ser um adolecente curioso, umestudante universitário, uma pessoa tentando ganhar algo através do ataque ou mesmo um espiãoprocurando informações privilegiadas em seu sistema.

Uma característica da comunidade que costuma efetuar esse tipo de atividade é a comunicação. Existemdiversos newsgroups, listas de discussão e publicações escritas que descrevem várias técnicas para invasão desistemas, números de cartões de crédito, exploits, informações privilegiadas e tudo que você possa imaginar.

Os incidentes podem ser classificados por grupos, vamos vê-los :

Probe: Um "probe" é carcaterizado como uma forma não usual de obter acesso ao sistema oudescobrir informacões sobre ele. Um exemplo é tentar logar numa conta não utilizada de formasimples.Varredura ( scan em inglês): Um "scan" é uma sequência de probes usada por uma ferramenta queautomatize isso. Por exemplo, varrer todas as portas para descobrir quais serviços estão disponíveis namáquina e poder explora-los. São mais caracterizados como ameaças do que probes, que podem sercasuais.Comprometimento de Conta: Significa a utilização não autorizada de uma conta por alguém que nãoseja o seu verdadeiro dono, sem envolver níveis administrativos de privilégios. Isso pode signifiar nomínimo perda de privacidade, dados e serviços que você disponibilize. O roubo de uma conta comníveis administrativos podem causar danos irreversíveis ao sistema. Lembre-se, o uso de uma contanão administrativa é o primeiro passo para obtê-la.

Comprometimento da Conta Root: O termo Root vêm historicamente do Unix que quer dizer super-usuário, ilimitado, permissões irrestritas. Caso aconteça esse tipo de situação o sistema deve serimediatamente restaurado para um estado anterior garantidamente seguro pois caso isso não aconteçapode significar paralização de serviços, prestação irregular de tais ou coisas piores para outros sistemacorrelatos.Packet Sniffer: Um Sniffer de pacotes é um programa que "escuta" os dados que trafegam pela rede.Tais dados podem incluir nomes, senhas, informações secretas como contas bancárias e dados maispessoais e não público.Negação de Serviço (Denial of Service): Quando há ataques de negação de serviço não énecessariamente com objetivo de ganhar acesso privilegiado a máquina ou acesso a dadospessoais(necessariamente) mas para evitar que usuários que podem usar serviços oferecidos por taismáquinas o utilizem. Podem acontecer de várias formas, mandando uma grande quantidade de dadospela rede(lixo, flood), causando a exaustão do número de processos através da requisição intensa deserviços ou mesmo causando danos físicos a partes da rede.Explorando "Confiança" (Exploiting of Trust): Componentes da rede sempre criam uma relação deconfiança entre eles. Por exemplo, antes de executar algum comando, um computador checka emoutro se determinado atributo está setado para poder continuar sua tarefa. Aparecendo como sendoesse segundo computador e "simulando" seu comportamento você pode obter acesso não privilegiadoao sistema.Código Malicioso: É basicamente a utilização de resultados não esperados de programas para obteralguma coisa. Por exemplo, negação de serviço, deleção de dados, obtenção de dados/acesso nãoautorizado etc ...Ataque a Infra-Estrutra Internet: Ataques a servidores de nomes principais, serviços que muitas

pessoas utilizam e tudo que tenha relação com servidores chaves da Internet. Tais incidentes podematingir porções grandes da rede.

Referências (servem para muitas situações da área) :

Internet : http://www.cert.orgLivro : Practical Unix & Internet Security

Bem, por enquanto é só pessoal, agradeço todos emails que tenho recebido e espero continuar contando como feedback de vocês.

Abraços,Elias Bareinboim

Copyright (C) 1999-2000 Linux Solutions