ESCOLA PROFISSIONAL VASCONCELLOS LEBRE. Curso de Instalação e Gestão de Redes Informáticas. Virus Informáticos. José Vitor Nogueira Santos FT

Transcrição

1 ESCOLA PROFISSIONAL VASCONCELLOS LEBRE Curso de Instalação e Gestão de Redes Informáticas Virus Informáticos José Vitor Nogueira Santos FT Mealhada, 2010

2 Backdoors: (também conhecido por Porta dos fundos) é uma falha de segurança que pode existir num programa de computador ou sistema operacional, que pode permitir a invasão do sistema por um cracker para que ele possa obter um total controle da máquina. Muitos crackers utilizam-se de um Backdoor para instalar vírus de computador ou outros programas maliciosos, conhecidos como malware. Em geral, referindo-se a um Backdoor, trata-se de um Backdoor que possa ser explorado através da Internet, mas o termo pode ser usado de forma mais ampla para designar formas furtivas de se obter informações privilegiadas em sistemas de todo tipo. Por exemplo: o Clipper Chip, dispositivo de criptografia do Governo Estados Unidos, possui um Backdoor embutido pelo próprio Governo que permite recuperar as informações codificadas anteriormente com o dispositivo. Existem casos em que, teoricamente, o programa de computador pode conter um Backdoor implementado no momento em que ele foi compilado. Geralmente esse recurso é interessante quando um software deve realizar operações de atualização ou validação, mas essa é uma técnica já defasada, pois os programadores preferem utilizar protocolos de rede do sistema operacional(como o SSH ou o Telnet, embora eles também utilizem os tradicionais protocolos TCP/IP, UDP ou ainda o FTP). Proteção A proteção mais comum contra Backdoors em computadores pessoais é o uso de firewall e de IDS. De modo geral, Backdoors que atuam através da internet podem ser facilmente detectados pelo sistema IDS ou impedidos de atuar pelo firewall. Utilização de Backdoors por Cavalos de Tróia Os cavalos de tróia batizados como Backdoors (por usar portas para entrar em computadores alheios) são muito comuns na Internet. Normalmente eles utilizam as portas 666, 888, 3333, entre outras, para que seu usuário tenha acesso ao computador da vítima. Os cavalos de tróia do tipo backdoor ainda são divididos por suas funções: Função de espião: esse tipo de backdoor faz uma troca de informações através da porta que ele abre para seu usuário poder visualizar arquivos da vítima, ver imagens pela webcam (ativando-a sem o conhecimento da vítima), ligar o microfone, abrir e fechar o drive de cd/dvd-rom, blu-ray, entre outros. II

3 É também chamada "backdoor", no poker, a uma draw, que necessita de duas cartas seguidas para ser completa. São conhecidos como RAT (Remote Administrator Tool). Worms: é um programa auto-replicante, semelhante a um vírus. Enquanto um vírus infecta um programa e necessita deste programa hospedeiro para se propagar, o Worm é um programa completo e não precisa de outro para se propagar. Um worm pode ser projetado para tomar ações maliciosas após infestar um sistema, além de se auto-replicar, pode deletar arquivos em um sistema ou enviar documentos por . A partir disso, o worm pode tornar o computador infectado vulnerável a outros ataques e provocar danos apenas com o tráfego de rede gerado pela sua reprodução o Mydoom, por exemplo, causou uma lentidão generalizada na Internet no pico de seu ataque. BACKDOORS Os worms Sobig e Mydoom instalaram backdoors (brechas) nos computadores, tornando-os abertos a ataques via Internet. Estes computadores "zombies" são utilizados para enviar s (spams) ou para atacar endereços de sites da Internet. Acredita-se que spammers (pessoas que enviam spams) pagam para a criação destes worms [1][2], e criadores de worms já foram apanhados vendendo listas de endereços IP de máquinas infectadas. [3] Outros tentam afetar empresas com ataques DDOS propositais. [4] As brechas podem também ser exploradas por outros worms, como o Doomjuice, que se espalha utilizando uma brecha aberta pelo Mydoom. [5] WORMS ÚTEIS Os worms podem ser úteis: a família de worms Nachi, por exemplo, tentava buscar e instalar patches do site da Microsoft para corrigir diversas III

4 vulnerabilidades no sistema (as mesmas vulnerabilidades que eles exploravam). Isto eventualmente torna os sistema atingidos mais seguros, mas gera um tráfego na rede considerável frequentemente maior que o dos worms que eles estão protegendo causam reboots da máquina no processo de aplicação do patch e, talvez o mais importante, fazem o seu trabalho sem a permissão do usuário do computador. Por isto, muitos especialistas de segurança desprezam os worms, independentemente do que eles fazem. O último "worm" colocado na rede foi no Orkut, chamado "Vírus do Orkut", dissipado na madrugada do dia 25/09/2010 pelo programador Rodrigo Lacerda. O Google, porém, resolveu o problema. Spywares: consiste num programa automático de computador, que recolhe informações sobre o usuário, sobre os seus costumes na Internet e transmite essa informação a uma entidade externa na Internet, sem o seu conhecimento nem o seu consentimento. Diferem dos cavalos de Tróia por não terem como objetivo que o sistema do usuário seja dominado, seja manipulado, por uma entidade externa, por um cracker. Os spywares podem ser desenvolvidos por firmas comerciais, que desejam monitorar o hábito dos usuários para avaliar seus costumes e vender este dados pela internet. Desta forma, estas firmas costumam produzir inúmeras variantes de seus programas-espiões, aperfeiçoando-o, dificultando em muito a sua remoção. IV

5 Por outro lado, muitos vírus transportam spywares, que visam roubar certos dados confidenciais dos usuários. Roubam dados bancários, montam e enviam registros das atividades do usuário, roubam determinados arquivos ou outros documentos pessoais. Com frequência, os spywares costumavam vir legalmente embutidos em algum programa que fosse shareware ou freeware. Sua remoção era por vezes, feita quando da compra do software ou de uma versão mais completa e paga. Traduzindo ao pé da letra, Spyware significa "aplicativo ou programa espião" ADWARES Muitas vezes usa-se de forma genérica o termo spyware para os malware e adwares, que são programas indesejáveis. Costuma-se incluir os adwares no estudo dos spywares, pois assemelham-se na sua forma de infecção e na sua forma de desinstalação. Seriam como se fossem um sub-grupo dos spywares. Os adwares são conhecidos por trazerem para a tela do usuário algum tipo de propaganda. Como geralmente são firmas comerciais que os desenvolvem, é comum os adwares virem embutidos em diversos programas de livre download (freeware), com a autorização de seus autores. O Kazaa oficial é um programa de compartilhamento de arquivos, sendo um exemplo do casamento de um software gratuito com adwares, pois estes lhe proporcionam uma fonte de renda. Inicialmente os adwares procuravam exibir propagandas em janelas, chamados de banners, pequenas janelas de propagandas, embutidas em softwares de terceiros. Caso o usuário gostasse deste software, poderia adquirir uma versão mais avançada, paga, livre destas propagandas. Posteriormente os adwares passaram a monitorar a atividade do usuário na internet, podendo desta forma mostrar propagandas personalizadas, além de enviar dados sobre hábitos do usuário a certos sites, tendo então funções de spyware e adware, de forma simultânea. Mais adiante certos adwares passaram a exibir janela do tipo pop-up, pequena janela de propaganda solta pela tela, em vez de banners. Um pouco mais a frente os adwares passaram a se instalar no navegador do usuário, acrescentando certas funcionalidades duvidosas, principalmente V

6 no Internet Explorer. Avanços (ou upgrades) no Internet Explorer, passaram a exigir o consentimento do usuário para a sua instalação. Porém com o passar do tempo, os adwares sofisticaram-se, incluindo propagandas persistentes, com inúmeras variantes, onde a sua desinstalação passou a ser um tarefa bastante penosa ou mesmo impossível, sem uma ajuda externa. A insistência no aparecimento das propagandas e sua difícil desinstalação, levaram os usuários a classificá-los como pragas ou spywares e não mais como simples adwares. Certos adwares passaram a ser instalados no Internet Explorer, quando o usuário navegava em sites maliciosos. Os adwares se sofisticaram, tornaram-se pragas. Produzem alterações no registro do Windows e depois somem ou se escondem para garantir que as alterações não sejam desfeitas, exigindo então não mais a ação de um antivírus ou de um simples anti-spyware, mas sim de um programa específico de conserto do registro. Por vezes os adwares exibem propagandas pornográficas, falsas propagandas de infecção do sistema por vírus, falsa propaganda de venda de produtos e passaram também a causar instabilidade no sistema, principalmente no navegador. Suspeita-se que possam tornar o sistema do usuário aberto a ação de hackers, devido a falta de maiores cuidados na elaboração dos adwares. Sua data de descoberta é desconhecida. RANSOMWARE Os Ransomwares são softwares maliciosos que, ao infectarem um computador, criptografam todo ou parte do conteúdo do disco rígido. Os responsáveis pelo software exigem da vítima, um pagamento pelo "resgate" dos dados. Ransonwares são ferramentas para crimes de extorsão e são extremamente ilegais. O PC Cyborg Trojan, foi o primeiro código de um ransomware conhecido. Nomes de alguns Ransomwares conhecidos: Gpcode- B e PGPCoder CONTAMINAÇÃO Eventualmente anexos de s ou mensagens vindas de mensageiros como o MSN e o ICQ, também podem conter spywares. Firmas comerciais exploram VI

7 maldosamente a curiosidade dos usuários e desenvolvem novas formas de transmissão e de instalação de spywares. Recentemente uma grande parte dos spywares são assimilados pelo navegador, como plug-ins. O usuário deve ser cuidadoso ao instalar os diversos plugins disponíveis na internet. PREVENÇÃO E REMOÇÃO Os softwares anti-pestes, também denominados antispywares, são feitos para removê-los. Antes de mais nada, verifique se a peste adicionou uma entrada em Adicionar ou remover programas, o que facilita a sua desinstalação. Certas pestes como alguns redirecionadores do Internet Explorer, disponibilizam ferramentas de remoção, no item suporte ou help na página redirecionada. Atualmente recomenda-se a instalação de algum programa antipeste (ou antispyware em inglês), pois como já foi comentado, certos softwares trazem consigo spywares ou adwares, ou mesmo o Internet Explorer pode ser contaminado por algum spywares, pois ainda não há certeza absoluta que ele possa ficar imune, das variadas formas de adwares desenvolvidos por firmas comerciais. VII

8 Buffer overflow: é uma anomalia em um programa, ao escrever os dados para um buffer, estouros de buffer de fronteira e sobrescreve a memória adjacente. Buffer overflows podem ser desencadeados por entradas que são projetados para executar o código, ou alterar a forma como o programa funciona. Isso pode resultar em um comportamento errático do programa, incluindo o acesso erros de memória, resultados incorretos, uma queda ou uma violação da segurança do sistema. São, portanto, a base de muitas vulnerabilidades de software e pode ser maliciosamente explorado. As linguagens de programação comumente associado com estouros de buffer incluem C e C + +, que não fornecem proteção embutida contra o acesso ou substituição de dados em qualquer parte da memória e não se verificar automaticamente os dados gravados em um array (built-in tipo de buffer) está dentro os limites da matriz. Verificação de limites pode evitar estouros de buffer. EXEMPLO BÁSICO No exemplo a seguir, um programa definiu dois itens de dados que são adjacentes na memória: um buffer de string de 8 bytes de comprimento, um, e um número inteiro de dois bytes, B. Inicialmente, um contém nada além de zero bytes, e B contém o número Os personagens são um byte de largura. nome da variável A B valor [ null string ] 1979 valor hexadecimal BB Agora, o programa tenta armazenar a seqüência de caracteres NULL-Terminated "excessive" no buffer uma., Ao não verificar o comprimento da corda, ele substitui o valor de B: nome da variável A B valor «E» 'X' 'C' «E» 'S' 'S' 'I' 'V' VIII

9 feitiço Embora o programador não pretende mudar B em todos, o valor de B foi agora substituído por um número formado de parte da seqüência de caracteres. Neste exemplo, em um big-endian sistema que usa ASCII, "e" seguido por um byte zero seria o número Se B foi a única outra variável item de dados definidos pelo programa, a escrever uma seqüência mais longa, mesmo que passavam o final de B poderia causar um erro como uma falha de segmentação, que encerra o processo. Trojan: Antes levarmos em conta que Trojan é um programa que é usado em conexão reversa ou inversa que geralmente é usado para invasão para pegar senha ou outras informações. O cavalo de troia é um programa que tem um pacote de vírus que é usado geralmente para destruir um computador. O conceito nasceu de um simples programa que se faziam passar por esquemas de autenticação, em que o utilizador era obrigado a inserir as senhas, pensando que estas operações eram legítimas. Por exemplo, na autenticação de uma shell, poderia ser um simples programa numa conta já aberta, e o utilizador que chegasse seria forçado a introduzir a sua password. O trojan iria então guardar o password e mascarar a conta (que seria do dono do trojan) para que parecesse legítima (a conta da vítima). Entretanto, o conceito evoluiu para programas mais completos. IX

10 Os trojans atuais são disfarçados de programas legítimos, embora, diferentemente de vírus ou de worms, não criam réplicas de si (e esse é o motivo pelo qual o Cavalo de Tróia não é considerado um vírus). São instalados diretamente no computador. De fato, alguns trojan são programados para se autodestruir com um comando do cliente ou depois de um determinado tempo. Os trojans ficaram famosos na Internet pela sua facilidade de uso, fazendo qualquer pessoa possuir o controle de um outro computador apenas com o envio de um arquivo. Por isso os trojans têm fama de ser considerados "ferramentas de script kid". Os trojans atuais são divididos em duas partes: O servidor e O cliente. O servidor se instala e se oculta no computador da vítima, normalmente dentro de algum outro arquivo. No momento que esse arquivo é executado, o computador pode ser acessado pelo cliente, que irá enviar instruções para o servidor executar certas operações no computador da vítima. Dentro do Servidor Existe 2 conexões: Conexão Direta Conexão Reversa A direta tende a precisar do IP da Vitima para funcionar, já a reversa tem o IP do dono do trojan, fazendo assim a conexão. Geralmente um trojan é instalado com o auxílio de um ataque de engenharia social, com apelos para convencer a vítima a executar o arquivo do servidor, o que muitas vezes acaba acontecendo, dada a curiosidade do internauta,como um atraindo a pessoa a ver fotos de um artista, pedindo a instalação de um Plugin, onde o Trojan fica "Hospedado". Tipos de Cavalo de Troia Keylogger Backdoor O Trojan Horse é muito achado em computadores domésticos, a fim de roubar uma determinada senha para cometer certos crimes financeiros, no caso de um cliente que utiliza algum serviço de internet Banking. X

11 Exploits: é um programa de computador, uma porção de dados ou uma sequência de comandos que se aproveita das vulnerabilidades de um sistema computacional como o próprio sistema operativo ou serviços de interação de protocolos (ex: servidores Web). São geralmente elaborados por hackers como programas de demonstração das vulnerabilidades, a fim de que as falhas sejam corrigidas, ou por crackers a fim de ganhar acesso não autorizado a sistemas. Por isso muitos crackers não publicam seus exploits, conhecidos como 0days, e o seu uso massificado deve-se aos script kiddies. Até meados dos anos 1990, acreditava-se que os exploits exploravam exclusivamente problemas em aplicações e serviços para plataformas Unix. A partir do final da década, especialistas demonstraram a capacidade de explorar vulnerabilidades em plataformas de uso massivo, por exemplo, sistemas operacionais Win32 (Windows 9x, NT, 2000 e XP). Como exemplo temos o CodeRed, o MyDoom, o Sasser em 2004 e o Zotob em COMO ATUA Para um exploit atacar, o sistema precisa ter uma vulnerabilidade, ou seja, um meio de comunicação com a rede que possa ser usado para entrar, uma porta ou um console. Um exploit muito usado é no sistema RPC do Windows: o usuário localiza a porta e envia à porta RPC uma sequência de bytes, que são interpretados como dados pelo servidor quando são recebidos, estes dados deixam propositadamente o sistema em pane o sistema passa o controle a estes próprios dados que então são uma sequência de ordem para dominar a CPU. XI

12 Desta forma esta sequência de informações toma conta do PC e abre-o para o hacker que aguarda na outra ponta. No sistema Linux, quando existem vulnerabilidades, sempre são publicadas, como já houve no sistema Apache, Samba ou MySQL, que também apresentam vulnerabilidades e possibilita o controle do PC por um hacker remoto. Com isso um hacker pode ter acesso a todos seus arquivos pessoais, Usando o proprio CMD do windows. Denial of Service: A negação de serviço ataque (ataque DoS) ou distribuídos de negação de serviço ataque (ataque DDoS) é uma tentativa de fazer um recurso de computador disponível para os seus usuários. Embora os meios para realizar, por motivos e alvos de um ataque de negação de serviço pode variar, geralmente consiste de um esforço concertado de uma pessoa ou pessoas para evitar uma Internet site ou serviço de forma eficiente funcionamento ou no todo, temporária ou indefinidamente. Os autores de ataques DoS geralmente alvo sites ou serviços hospedados em alto perfil servidores web, tais como bancos, cartão de crédito gateways de pagamento, e até mesmo servidores de nomes raiz. O termo é geralmente usado com relação a redes de computadores, mas não se limita a esse campo, por exemplo, também é usado em referência a CPU. gerenciamento de recursos [1] Existem duas formas gerais de ataques DoS: aqueles que os serviços de acidente e aqueles que os serviços de inundação. [2] Um método comum de ataque envolve saturando a máquina de destino com pedidos externos de comunicação, de tal forma que ele não consegue responder ao tráfego legítimo, ou responde tão lentamente a ser prestado efetivamente indisponível. Em termos gerais, os ataques DoS são executados por qualquer forçando o computador de destino (s) para redefinir, ou consumir seus recursos para que ele não pode mais prestar o serviço pretendido ou obstruir XII

13 os meios de comunicação entre os usuários e destina-se a vítima para que possam não comunicar adequadamente. -De-ataques de negação de serviço são consideradas violações do IAB s ' utilização adequada política de Internet, além de violar a política de uso aceitável de praticamente todos os provedores de internet. Eles também comumente constituem uma violação das leis de cada nação. Spoofing: IP spoofing é uma técnica de subversão de sistemas informáticos que consiste em mascarar (spoof) pacotes IP utilizando endereços de remetentes falsificados. Devido às características do protocolo IP, o reencaminhamento de pacotes é feito com base numa premissa muito simples: o pacote deverá ir para o destinatário (endereço-destino) e não há verificação do remetente não há validação do endereço IP nem relação deste com o router anterior (que encaminhou o pacote). Assim, torna-se trivial falsificar o endereço de origem através de uma manipulação simples do cabeçalho IP. Assim,vários computadores podem enviar pacotes fazendo-se passar por um determinado endereço de origem, o que representa uma séria ameaça para os sistemas baseados em autenticação pelo endereço IP. XIII

14 Falsificação de um pacote: A cada pacote enviado estará geralmente associada uma resposta (do protocolo da camada superior) e essa será enviada para a vítima, pelo o atacante não pode ter conhecimento do resultado exato das suas ações apenas uma previsão. Esta técnica, utilizada com outras de mais alto nível, aproveita-se, sobretudo, da noção de confiabilidade que existe dentro das organizações: supostamente não se deveria temer uma máquina de dentro da empresa, se ela é da empresa. Por outro lado, um utilizador torna-se também confiável quando se sabe de antemão que estabeleceu uma ligação com determinado serviço. Esse utilizador tornase interessante, do ponto de vista do atacante, se ele possuir (e estiver usando) direitos privilegiados no momento do ataque. Bom, mas resta a interacção com as aplicações, além de que as características do protocolo IP permitem falsificar um remetente, mas não lhe permitem receber as respostas essas irão para o endereço falsificado. Assim, o ataque pode ser considerado cego. Essa técnica é conhecida por desvio de sessão TCP, ou TCP session hijacking em inglês. Existem métodos para evitar estes ataques, como a aplicação de filtros de pacotes, filtro ingress nos gateways; faz sentido bloquear pacotes provindos da rede externa com endereços da rede local. Idealmente, embora muito negligenciado, usar umfiltro egress que iria descartar pacotes provindos da rede interna com endereço de origem não-local que fossem destinados à rede externa pode prevenir que utilizadores de uma rede local iniciem ataques de IP contra máquinas externas. Existem outros ataques que utilizam esta técnica para o atacante esconder a origem ou para potencializar um determinado ataque: ataques SYN (SYN flooding) ou ataques smurf são exemplos muito citados. XIV

15 A maior vantagem do Ip spoofing em relação a outros tipos de farejamento de conexões (como o DNS spoofing, por exemplo) é que ele funciona em nível de conexão, permitindo farejar e interceptar conexões e pacotes em redes de todos os sitemas, seja ele Linux, Unix, Windows, Solaris ou qualquer outro existente, desde que a conexão parta de um IP confiável com um endereço mac conhecido. Mail Bomb: é uma forma de abuso líquido composto de enviar grandes volumes de para um endereço em uma tentativa de estouro de caixa de correio ou sobrecarregar o servidor onde o endereço de está hospedado em um denial-of- Serviço de ataque. Esse pequeno aplicativo serve pra vc floodar o do seu amigo ou aquela pessoa que vive te mandando s chatos, ele é capaz de mandar até 3.000(mil) s de uma vez para a vitima. como usar: From name - coloque seu nome ou um nome qualquer From - coloque seu ou outro qualquer To - coloque o da vitima Message - a mensagem que vc vai enviar nesses s todos Amount - coloque nesse campo a quantidade de s que serão enviados Enter code - digite nesse campo os caracteres que vão aparecer Finalmente click em bomb! XV

16 Ps: quanto maior a quantidade de s que você for enviar mais vai demorar para se completar o processo. Phreaking: é o nome dado as pessoas ou Hackers de Telefones. Hoje com a propagação dos Telemóveis os Phreakers vieram a tona, seja clonando celulares ou realizando escuta telefônica via frequência. Com a opção das operadoras venderem os aparelhos celulares bloqueados para funcionarem apenas para uma determinada empresa, os Phreaks se uniram e resolveram desbloquea-los em prol da liberdade. XVI

17 Smurf: O ataque Smurf é uma forma de gerar significativa rede de computadores do tráfego em uma rede de vítima. Este é um tipo de negação de serviço ataque que inunda um sistema alvo através falsificado broadcastping mensagens. Este ataque se baseia em um agente de enviar uma grande quantidade de ICMP echo request (ping) para o tráfego IP endereços de transmissão, os quais têm um falsificado fonte IP endereço da vítima. Se o dispositivo de roteamento entregar tráfego a esses endereços de transmissão proporciona a transmissão IP para todos os hosts (por exemplo através de uma camada 2 broadcast), a maioria dos hosts na rede IP terá o ICMP echo request e responder a ele com uma resposta de eco, multiplicando o tráfego, o número de servidores de responder. Em uma rede de transmissão de multi-acesso, centenas de máquinas podem responder a cada pacote. [1] No final de 1990, muitas redes IP iria participar em ataques Smurf (ou seja, eles poderiam responder ao ping para endereços de broadcast). Hoje, graças em grande parte à facilidade com que os administradores podem fazer uma rede imune a esta situação, algumas redes continuam muito vulneráveis a ataques Smurf. [2] A correção tem duas vertentes: Configurar hosts individuais e roteadores não responder a pedidos de ping ou transmissões. Configurar roteadores não encaminham pacotes direcionados a endereços de broadcast. Até 1999, os padrões exigidos roteadores para encaminhar esses pacotes por padrão, mas nesse ano, a norma foi alterada para exigir que o padrão a ser para não avançar. [3] Outra solução proposta, para corrigir isso, assim como outros problemas, é a rede penetração filtragem que rejeita os pacotes de ataque com base no endereço de origem forjado. [4] Um exemplo de configuração de um roteador para não enviar pacotes para endereços de broadcast, de Cisco router, é: Router(config-if)# no ip directed-broadcast XVII

18 (Este exemplo não impede que uma rede de tornar-se o alvo do ataque Smurf, ele simplesmente impede que a rede de "atacar" outras redes, ou melhor, tomar parte em um ataque de Smurf.) Um amplificador de Smurf é uma rede de computadores que se presta a ser usado em um ataque Smurf. amplificadores Smurf agir para ampliar (agravar a) um ataque de Smurf, porque eles são configurados de tal forma que geram um grande número de ICMP respostas a um falso endereço IP de origem (a vítima do ataque). Sniffing: é o procedimento realizado por uma ferramenta conhecida como Sniffer (também conhecido como Packet Sniffer, Analisador de Rede, Analisador de Protocolo,Ethernet Sniffer em redes do padrão Ethernet ou ainda Wireless Sniffer em redes wireless). Esta ferramenta, constituída de um software ou hardware, é capaz de interceptar e registrar o tráfego de dados em uma rede de computadores. Conforme o fluxo de dados trafega na rede, o sniffer captura cada pacote e eventualmente decodifica e analisa o seu conteúdo de acordo com o protocolo definido em um RFC ou uma outra especificação. O sniffing pode ser utilizado com propósitos maliciosos por invasores que tentam capturar o tráfego da rede com diversos objetivos, dentre os quais podem ser citados, obter cópias de arquivos importantes durante sua transmissão, e obter XVIII

19 senhas que permitam estender o seu raio de penetração em um ambiente invadido ou ver as conversações em tempo real. Scamming: Key Logger: é um programa de computador do tipo spyware cuja finalidade é abrir tudo o que a vítima fecha, a fim de fechar suas senhas de tiro, números de cartão de crédito e afins. Muitos casos de phishing, assim como outros tipos de fraudes virtuais, se baseiam no uso de algum tipo de keylogger, instalado no computador sem o conhecimento da vítima, que captura dados sensíveis e os envia a um cracker que depois os utiliza para fraudes. Existem softwares apropriados para se defender deste tipo de ameaça. É sempre oportuno que um computador conectado à internet seja protegido através de um software "AntiSpyware" de um "Firewall" e de um "AntiVirus". Para evitar a contaminação por KEYLOGGERS utilize um bom Antivirus e um bom AntiSpyware, ambos atualizados e residentes em memória (proteção em tempo real). Uma Firewall é fortemente recomendada. XIX

20 O Key logger também é um programa utilizado muito por empresas para monitorar oque seus funcionarios fazem em sua maquina, porém em muitos casos as pessoas utilizam o programa de forma mal-intencionada. DNS Poisoning: uma situação criada de maneira maliciosa ou não desejada que provee dados de um Servidor de Nomes de Domínio (DNS) que não se origina de fontes autoritativas DNS. Isto pode passar devido a desenho inapropiado de software, falta de configuração de nomes de servidores e palcos maliciosamente desenhados que explodem a arquitectura tradicionalmente aberta de um sistema DNS. Uma vez que um servidor DNS tem recebido aqueles dados não autentificados e os armazena temporariamente para futuros incrementos de desempenho, é considerado envenenado, estendendo o efeito da situação aos clientes do servidor. XX

21 ATAQUES DE ENVENENAMIENTO DE CACHÉ Normalmente, um computador ligado a Internet utiliza um servidor DNS proporcionado pelo provedor de serviços de Internet (ISP). Este DNS geralmente atende somente aos próprios clientes do ISP e contém uma pequena quantidade de informação sobre DNS armazenada temporariamente por utentes prévios do servidor. Um ataque de envenenamiento (poisoning attack) de um sozinho servidor DNS de um ISP pode afectar aos utentes atendidos directamente pelo servidor comprometido ou indirectamente pelos servidores dependentes do servidor. Para realizar um ataque de envenenamiento de caché, o atacante explode uma vulnerabilidad no software de DNS que pode fazer que este aceite informação incorrecta. Se o servidor não valida correctamente as respostas DNS para se assegurar de que elas provem de uma fonte autoritativa, o servidor pode terminar armazenando localmente informação incorrecta e enviando aos utentes para que façam a mesma petição. Esta técnica pode ser usada para substituir arbitrariamente contido de uma série de vítimas com conteúdo eleito por um atacante. Por exemplo, um atacante envenena as entradas DNS de direcção IP direcções IP]] para um lugar site objectivo, substituindo com a direcção IP de um servidor que ele controla. Depois, o atacante cria entradas falsas para arquivos no servidor que ele controla com nomes que coincidem com os arquivos do servidor objectivo. Estes arquivos podem conter conteúdo malicioso, como um vírus ou um verme. Um utente cujo computador tem referenciado ao servidor DNS envenenado pode ser enganado ao achar que o conteúdo prove do servidor objectivo e sem o saber descarga conteúdo malicioso. Como parte do projecto Golden Shield, Chinesa, de forma regular faz uso de envenenamiento de DNS para redes ou lugares específicos que violam as políticas baixo as quais o projecto opera. VARIANTES Nas seguintes variantes, as entradas do servidor ns.wikipedia.org podem ser envenenadas e redirigidas ao servidor de nomes do atacante na direcção w.x.e.z. Estes ataques assumem que o servidor para wikipedia.org é ns.wikipedia.org. Para conseguir sucesso no ataque, o atacante deve forçar que o servidor DNS objectivo faça uma petição para um domínio controlado por um dos servidores de nomes do atacante. REDIRECCIÓN AO SERVIDOR DE NOMES DO DOMÍNIO OBJECTIVO A primeira variante do envenenamiento de caché de DNS envolve redirigir o nome do servidor do atacante do domínio para o servidor de nomes do domínio XXI