FACULDADE SALESIANA DE VITÓRIA PÓS-GRADUAÇÃO EM SEGURANÇA DE REDES DE COMPUTADORES ANTONIO CARLOS FERNANDES LEMOS FERNANDO WENCELEWSKI POSSENTI

Transcrição

1 FACULDADE SALESIANA DE VITÓRIA PÓS-GRADUAÇÃO EM SEGURANÇA DE REDES DE COMPUTADORES ANTONIO CARLOS FERNANDES LEMOS FERNANDO WENCELEWSKI POSSENTI UMA PROPOSTA DE METODOLOGIA PARA AUTENTICAÇÃO DE SISTEMAS WEB VITÓRIA 2007

2 ANTONIO CARLOS FERNANDES LEMOS FERNANDO WENCELEWSKI POSSENTI UMA PROPOSTA DE METODOLOGIA PARA AUTENTICAÇÃO DE SISTEMAS WEB Monografia apresentada ao Curso de Pós-graduação em Segurança de Redes de Computadores da Faculdade Salesiana de Vitória, como requisito parcial para obtenção do título de Especialista em Segurança de Redes de Computadores. Orientador: Prof. M.Sc. Sérgio Teixeira Co-orientador: Profa. D.Sc. Tânia Barbosa Salles Gava VITÓRIA 2007

3 Dados Internacionais de Catalogação-na-publicação (CIP) (Biblioteca da Faculdade Salesiana de Vitória, Espírito Santo, ES, Brasil) L557 Lemos, Antônio Carlos Fernandes, 1965 Uma proposta de Metodologia para a Autenticação de Sistemas Web / Antônio Carlos Fernandes Lemos e Fernando Wencelewski Possenti f. : il. Orientador: Sérgio Teixeira. Monografia Pós-graduação em Segurança de Redes de Computadores - Faculdade Salesiana de Vitória. 1. Redes de Computadores Segurança. 2. Sistemas Web. 3. Cavalo de tróia. I. Possenti, Fernando Wencelewski. II. Teixeira, Sérgio. III. Faculdade Salesiana de Vitória IV. Título. CDU: 004.7

4 ANTONIO CARLOS FERNANDES LEMOS FERNANDO WENCELEWSKI POSSENTI UMA PROPOSTA DE METODOLOGIA PARA AUTENTICAÇÃO DE SISTEMAS WEB Monografia apresentada ao Curso de Pós-graduação em Segurança de Redes de Computadores da Faculdade Salesiana de Vitória, como requisito parcial para obtenção do título de Especialista em Segurança de Redes de Computadores. Aprovada em 03 de agosto de COMISSÃO EXAMINADORA Prof. M.Sc. Sérgio Teixeira Orientador Profa. D. Sc. Tânia Barbosa Salles Gava Co-orientadora Prof. M.Sc. Victório Albani de Carvalho Faculdade Salesiana de Vitória

5 Dedicamos este trabalho a todos os profissionais do mundo do software livre que trabalham divulgando, educando e desenvolvendo aplicações web e a todos os usuários destes aplicativos, que confiam no potencial destes profissionais e no trabalho cooperativo.

6 AGRADECIMENTOS Agradecemos a Deus, nossos orientadores Sergio, Tânia, Victório e a nossa família, pelo apoio para a conclusão deste trabalho.

7 Há duas formas para viver a sua vida: Uma é acreditar que não existe milagre. A outra é acreditar que todas as coisas são um milagre. (Albert Einstein)

8 RESUMO Esse trabalho apresenta conceitos e fundamentos sobre segurança em sistemas de autenticação web. O enfoque principal é buscar uma solução para ataques do tipo Cavalo de Tróia. Para isso, foram pesquisados e analisados alguns serviços de internet banking, buscando inspiração para criação de um método eficaz e de baixo custo de implantação que diminua consideravelmente o risco de invasões contra esses ataques. Após o levantamento de dados foi possível sugerir uma nova proposta de metodologia para autenticação em sistemas web no qual a senha do usuário fica protegida contra ameaças deste tipo. Palavras-chave: redes de computadores - segurança, sistemas web, cavalo de tróia.

9 ABSTRACT This work presents concepts and beddings on security in authentication web systems. The main approach is to search a solution for attacks of the type Trojan horse. For this, some Internet banking services have been searched and analyzed, looking for inspiration in order to create an efficient method with a low cost of implantation that reduces, considerably, the risk of invasions against these attacks. After the data-collecting was possible to suggest a new methodology for authentication in web systems in which the password of the user is protected against threats of this type. Keywords: computer networks - security, web systems, trojan horse.

10 LISTA DE FIGURAS Figura 1 Trojan Netbus...24 Figura 2 Cavalo de tróia...25 Figura 3 Exemplo de DDoS...28 Figura 4 Exemplo de Syn Flooding...29 Figura 5 Exemplo de Man in the Midle...30 Figura 6 Exemplo de Exploit...32 Figura 7 Protocolo SSL...37 Figura 8 Detalhes de Segurança de uma página bancária...39 Figura 9 Certificado Digital...40 Figura 10 Falso teclado Empresarial do Banco do Brasil...42 Figura 11 Falso Teclado da Caixa Econômica Federal...42 Figura 12 Falso Teclado do Banco Bradesco...43 Figura 13 Processo de Autenticação...47 Figura 14 Esquema Resumido do Sistema de Autenticação...50 Figura 15 Criação do Usuário...51 Figura 16 Criação dos 12 Cartões...51 Figura 17 Modelo impresso dos 12 Cartões...53 Figura 18 Esquema de Autenticação de Usuário...55 Figura 19 Modelo de Cartão de Login...59 Figura 20 Tela de autenticação Figura 21 Tela de autenticação Figura 22 Tabelas do Sistema...70 Figura 23 Esquema do Script para Criação de novo usuário...74 Figura 24 Esquema Cartões de Login...75 Figura 25 Esquema da Criação das Telas de Autenticação...82 Figura 26 Esquema do Processo de Verificação para Autenticação...83

11 SUMÁRIO 1 INTRODUÇÃO MOTIVAÇÃO OBJETIVOS METODOLOGIA ORGANIZAÇÃO DO TRABALHO SEGURANÇA DE SISTEMAS WEB DEFINIÇÃO DE UM ATAQUE EM REDE PERFIL DO ATACANTE E SUAS MOTIVAÇÕES TIPOS DE ATAQUES OBJETIVOS EM SEGURANÇA FIREWALL SOLUCÕES DE AUTENTICAÇÃO EM SISTEMAS WEB UMA PROPOSTA DE METODOLOGIA PARA AUTENTICAÇÃO DE SISTEMAS WEB PROCESSOS DO SISTEMA DE AUTENTICAÇÃO CRIAÇÃO DE USUÁRIO CRIAÇÃO DA PÁGINA COM 12 CARTÕES LOGIN AUTENTICAÇÃO DO USUÁRIO VALIDAÇÃO DA AUTENTICAÇÃO GERAÇÃO DE NOVOS ACESSOS COMPONENTES DO PROCESSO COMPONENTES DE POSSE SECRETA DO USUÁRIO Cartões Login Senhas de 6 Caracteres TELAS DO SISTEMA Criação do usuário Tela Autenticação do Usuário TABELAS DO BANCO DE DADOS SCRIPTS DO SISTEMA DE AUTENTICAÇÃO sc_cria_usuario_novo sc_cria_pagina_cartoes_login sc_ verifica_autenticação...82

12 5 CONSIDERAÇÃOS FINAIS E TRABALHOS FUTUROS Perspectivas de Soluções Futuras REFERÊNCIAS BIBLIOGRÁFICAS...91

13 13 1 INTRODUÇÃO A Internet tornou-se um meio de comunicação de enorme importância. Empresas e pessoas pelo mundo todo se tornam cada dia mais dependentes da rede para se comunicar, trabalhar, fazer compras e pagamentos on-line. Muita evolução tecnológica ocorreu para permitir que ela fosse popular, acessível e segura. Junto com essa evolução, os ataques crackers 1 sofisticaram-se, gerando crescentes prejuízos financeiros e morais a muitos dos seus membros. Para que a rede seja útil é imperativo que os usuários sejam devidamente identificados nos sistemas web que disponibilizam serviços na rede, tais como: comércio eletrônico, sites de relacionamento, internet-banking, s, programas de mensagens instantâneas, sistemas administrativos de empresas, etc. Considerando a popularização da internet e da intranet 2 corporativa, torna-se de extrema importância a confiabilidade destes sistemas. Esta confiabilidade está ameaçada pela massificação de ataques que permitem o roubo de logins e senhas de acesso destes sistemas. A autenticação de usuários em sistemas web é um item crítico na segurança de redes de computadores. Com o objetivo de evitar que crackers, durante o processo de autenticação dos sistemas web, roubassem os dados de acesso dos usuários, capturando logins e senhas ao monitorar o tráfego de dados na rede, muitos sistemas passaram a utilizar criptografia para proteger os dados transmitidos. Atualmente, são comuns os ataques do tipo Cavalo de Tróia. Ataques deste tipo são caracterizados pela utilização de programas espiões que capturam os dados de acesso, ainda no computador da vítima, antes desses dados serem criptografados. Neste contexto, tornasse imperativo que se encontre uma solução que proteja os usuários contra esse tipo de ataque. Assim, nesse trabalho, foi pesquisada uma proposta de solução de baixo custo, segura e de fácil implementação em qualquer sistema web, que permita uma autenticação segura, 1 Crackers - termo usado para designar quem quebra um sistema de segurança, de forma ilegal ou sem ética.

14 14 utilizando qualquer computador da rede, mesmo aqueles que não disponham de ferramentas ideais de segurança e que estejam possivelmente contaminados por programas espiões especificamente desenvolvidos para roubar os dados de acesso durante o processo de autenticação do usuário no sistema web. 1.1 MOTIVAÇÃO A popularização de sites crackers tem motivado técnicas de invasão e permitido a massificação de programas maliciosos, que são freqüentemente disseminados pela Internet por meio de spams 3, contaminando computadores de usuários de sistemas web. Spams são s com propagandas não autorizadas enviadas para o usuário. Muitos crackers utilizam-se deste recurso para criar falsas propagandas com promoções que induzem os usuários a acessarem links 4 maliciosos e, assim, instalarem acidentalmente programas espiões que facilitam o roubo de senhas. Uma forma muito utilizada por crackers para contaminar usuários com programas maliciosos é enviar s com mensagens pessoais ou maliciosas, se passando por algum conhecido, com o objetivo de fazer o usuário ler uma falsa mensagem, abrir uma falsa foto, podendo, no processo, induzir o usuário a abrir arquivos executáveis ou a instalar um falso plug-in 5 no seu navegador, permitindo, assim, a instalação de cavalos de tróia no seu computador. Também são comuns spams que convidam usuários leigos a participarem de comunidades em sites 6 de relacionamento, ou a visitar páginas do sistema web, usando links falsos parecidos com os links do site do sistema original. Um exemplo pode ser visto em Ex: Isso induz 2 Intranet é uma rede de computadores privativa que utiliza as mesmas tecnologias que são utilizadas na Internet. 3 Spams - envio de mensagens não solicitadas, em grande número, a destinatários desconhecidos. 4 Links são palavras, textos, expressões ou imagens que podem ser redirecionados. 5 Plugin - programa de computador que serve normalmente para adicionar funções a outros programas maiores, provendo alguma funcionalidade especial ou muito específica. 6 Sites endereços na internet, utilizados para visualizar determinados conteúdos.

15 15 o usuário a informar seu login e senha numa pagina de login falsa no servidor do cracker (ex: crack171.com). Depois de salvar a senha de acesso roubada, o sistema falso redireciona o usuário ao sistema original, levando-o a pensar que digitou a senha errada. A maioria dos sistemas atuais de autenticação não pode proteger o usuário contra estes riscos. Os prejuízos financeiros e morais causados por estes ataques são incalculáveis, visto que os principais lesados são: bancos, lojas de comércio eletrônico e sites de relacionamento que não têm interesse em revelar a vulnerabilidade dos seus sistemas, sob pena de perderem clientes para seus concorrentes. Percebeu-se que a grande maioria dos sistemas de autenticação não possui proteção eficiente contra o risco de roubo de senhas. As melhores soluções de segurança encontradas são proprietárias e seus altos custos as tornam inviáveis para a maioria dos sistemas web. 1.2 OBJETIVOS O objetivo deste trabalho é criar uma proposta de metodologia de autenticação de sistemas web que possa ser desenvolvida em qualquer linguagem e facilmente adaptada a qualquer sistema de autenticação, aumentando, assim, a segurança ao evitar acessos ilegais por meio de roubo de senhas. Pretende-se apresentar uma solução de baixo custo, permitindo fácil implementação em qualquer sistema web, reduzindo drasticamente riscos de sucesso em ataques de roubos de senha, usando programas espiões do tipo cavalo de tróia (trojan horse 7 ). A solução de autenticação genérica apresentada neste trabalho atua em nível de camada de aplicação, tornando-se uma camada superior aos processos de autenticação já usados no sistema. 7 Trojan horse programa que, ao ser instalado, é capaz de executar funções capazes de revelar informações vitais e privilegiadas sobre o sistema, ou simplesmente compromete-lo, sem o consentimento de seu dono.

16 16 Esta proposta pretende impedir ataques bem sucedidos a sistemas web que utilizam apenas a técnica cavalo de tróia, aumentando consideravelmente a segurança desses sistemas, dificultando a ação em massa que pode ocorrer ao se associar ataques deste tipo com a disseminação de programas maliciosos por meio da técnica de spam. O cavalo de tróia corresponde à grande ameaça atual, causando grandes prejuízos financeiros no comércio eletrônico. A proposta deste trabalho não tem como objetivo resolver todas as possíveis formas de ataque, mas melhorar a segurança dos sistemas web, permitindo que estes sistemas sejam acessados por usuários, mesmos estando em estações de trabalho pouco confiáveis e contaminadas por programas espiões. 1.3 METODOLOGIA Foram pesquisadas e analisadas propostas para criação de uma metodologia de autenticação que oferecesse proteção contra cavalos de tróia. Houve um estudo intenso em diferentes formas de autenticação em sistemas web para que fosse proposta uma metodologia mais segura. Também foram observadas as técnicas mais usadas em ataques na rede, principalmente as que constantemente ocorrem por meio de spams e mensagens maliciosas enviadas em sites de relacionamento. Foram pesquisadas técnicas convencionais de proteção utilizadas e uma boa literatura sobre o tema, pesquisando as formas de invasão e de proteção normalmente utilizadas. Amadureceuse a proposta, visando a criar uma solução genérica e de baixo custo. Partiu-se do principio de que não seria possível garantir a segurança de todos os computadores dos usuários, e de estes possuírem um firewall 8 corretamente instalado e 8 Firewall barreira de segurança baseada em hardware e software que protege a rede corporativa contra acessos externos não autorizados.

17 17 configurado, programas antivírus e anti-spyware 9 atualizados, e que tivessem boas noções de segurança. Procurou-se propor uma metodologia que partisse da suposição que um cavalo de tróia (trojan horse) estaria instalado no computador do usuário, e assim os dados dos acessos dos usuários seriam roubados e enviados para o cracker em cada tentativa de acesso ao sistema web. Nesta proposta de metodologia os dados de cada acesso só podem ser usados pelo usuário uma vez. Desta forma, caso os dados sejam roubados, não iriam ter utilidade para o invasor em potencial. As informações de acesso informadas pelo usuário no momento da autenticação, seriam sempre únicas. Elas também seriam transmitidas por meio de duas telas de autenticação, as quais seriam enviadas pelo sistema ao usuário uma após a outra. Mesmo que o cracker capturasse as informações digitadas pelo usuário na tela 1, ele não poderia mais utilizá-la em um acesso ilegal futuro, pois esta informação já estaria marcada pelo sistema de autenticação web como inválida para um novo acesso, no momento que o sistema transmitisse a tela de autenticação 2 para o usuário. Desta forma, o invasor não poderia ter sucesso, usando apenas programas espiões do tipo cavalo de tróia, pois no momento em que ele conseguisse capturar os dados de autenticação solicitados pelas duas telas de autenticação, estes dados já seriam considerados inválidos para um novo acesso ao sistema. O resultado dos processamentos das autenticações validadas por esta proposta de metodologia sempre seria uma mesma senha padrão. Esta senha seria usada pelas rotinas convencionais legadas do sistema de autenticação já usado anteriormente, facilitando assim a implementação desta proposta de metodologia nos sistemas de autenticação já existentes. Nem o usuário, nem o sistema conheceriam a senha padrão que seria comum a todos os acessos do usuário. Essa senha não estaria armazenada em nenhuma base de dados do sistema. A senha padrão seria calculada apenas durante a execução das rotinas de autenticação propostas por esta metodologia, ficando na memória RAM (memória de acesso aleatório) do servidor do sistema web, apenas durante o tempo necessário à conclusão do 9 Anti-spyware é um software de segurança.

18 18 processo de autenticação convencional usado no sistema ao qual se pretende implementar esta proposta de metodologia. Depois disto a senha padrão seria apagada da memória por razões de segurança. 1.4 ORGANIZAÇÃO DO TRABALHO Este trabalho está organizado da seguinte forma: Capítulo 1 apresenta aspectos gerais sobre a segurança dos sistemas web e as ameaças que permeiam esses sistemas, definindo o que é um ataque em rede, o perfil do atacante e suas motivações e alguns tipos de ataques. Serão focados ataques do tipo cavalo de tróia (trojan horse) e formas mais usadas para proteger um computador desta ameaça. Capítulo 2 apresenta soluções de autenticação existentes e telas falsas criadas por cavalos tróia dos melhores sistemas de autenticação web encontrados. Estes sistemas serviram de referência para evoluir a proposta de nossa metodologia. Cada uma dessas soluções possuem diferentes formas de evitar cavalos de tróia. Capítulo 3 - apresenta um estudo e riscos encontrados por bancos em sistemas web. Comenta sobre algumas formas de ataque a sistemas de internet banking. Capítulo 4 apresenta uma nova proposta de metodologia para autenticação de sistemas web, usando cartões de acesso e senhas relacionadas, que obriga o usuário a informar diferentes dados ao sistema em cada acesso, impedindo o sucesso de ataques que utilizam à técnica de cavalo de tróia (trojan horse). Esta proposta de metodologia preservará a compatibilidade com o sistema de autenticação legado, permitindo que parte dos usuários opte por fazer autenticação da forma antiga, usando assim uma mesma senha padrão em todos os acessos. São apresentados em detalhes os módulos e componentes do sistema, o processo de criação dos cartões de acesso e suas senhas, as telas de autenticação e criação de usuário, tabelas do banco de dados do sistema e o processo de autenticação do usuário.

19 Capítulo 5 apresenta considerações finais e propõe aperfeiçoamentos sobre a proposta de metodologia de autenticação. 19

20 20 2 SEGURANÇA DE SISTEMAS WEB Neste capítulo serão apresentados aspectos gerais sobre a segurança dos sistemas web e as ameaças que permeiam esses sistemas. 2.1 DEFINIÇÃO DE UM ATAQUE EM REDE Segundo (SHIREY, 2000), um ataque corresponde a um comprometimento em nível de sistema de segurança através de um ato inteligente ou deliberado, afetando serviços e violando a política de segurança de um sistema. Os ataques podem ser classificados quanto a seus objetivos e quanto a sua origem. De acordo com seus objetivos, os ataques podem ser ativos, objetivando alterar e interferir nos recursos do sistema, afetando sua operação ou passivos, buscando não o comprometimento, mas empregar ou tentar aprender sobre determinada informação do sistema sem afetar seus recursos. Quanto à origem, um ataque pode surgir internamente através de uma entidade localizada dentro do perímetro da segurança, ou seja, um usuário que possa alcançar os recursos do sistema, porém, o faz de forma ilícita, usando de maneira não aprovada por aqueles que concederam à autorização. Os ataques externos se originam fora do perímetro da segurança de uma entidade atacada, considerando, assim, que todos os potenciais atacantes são elementos não autorizados ao uso de recursos, diferenciando daqueles que possuem essa autorização internamente (SHIREY, 2000). Geralmente, a maior fonte de ataques se dá externamente, através da Internet. A principal razão de buscar garantir uma segurança satisfatória a serviços disponíveis está em preservar seu ambiente computacional contra ataques. Em se tratando da análise de um ataque, podemos definir alguns perfis de atacantes bem como suas motivações.

21 PERFIL DO ATACANTE E SUAS MOTIVAÇÕES Denomina-se atacante ou invasor o personagem que está por trás da máquina e software, que arquiteta e elabora todo o processo de um ataque, indo desde análise de fingerprinting 10. Este tipo de indivíduo pode ser classificado através de algumas definições que vieram a surgir na área de segurança digital, conforme seu avanço. O termo hacker, muito mal empregado atualmente pela mídia, é definido no RFC 2828 como todo o indivíduo que se interesse por sistemas computacionais e que aprecie aprender sobre eles, além de experimentar com eles. Portanto, na grande maioria das vezes, o atacante não se encaixará nesse perfil, pois não se trata de um criminoso (SHIREY, 2004). O termo que confunde a maioria das pessoas, principalmente leigas, são os chamados crackers. Essas pessoas sempre são comparadas aos hackers por possuírem grande conhecimento na área computacional e na segurança digital. Porém, esses atacantes fazem uso indevido de sistemas computacionais para obter vantagens, burlando leis, assim, tornando-se criminosos. Embora esses dois lados existam, há uma outra definição que surgiu com o crescimento da Internet: são os chamados script kiddies 11. Um script kid é geralmente um adolescente em busca de aventuras, que tenta penetrar em sistemas através de programas já prontos sem saber na verdade o que está fazendo. Suas motivações são as mais diversas possíveis, o que ocasiona certa instabilidade quando feita uma análise pericial em sistemas comprometidos por eles. Comumente são motivados por aventuras e invadem com a finalidade de se destacar no meio de sua comunidade e aumentar seu ego. São de fácil captura, pois na maioria das vezes deixam rastros (como em arquivos de logs) e por se interessarem em ataques a servidores http, 10 Fingerprinting: técnica que analisa a pilha de protocolos TCP/IP com o objetivo de identificar e fazer um reconhecimento do sistema operacional de uma vítima, permitindo que vulnerabilidades conhecidas sejam utilizadas para um eventual ataque, à invasão propriamente dita, que tenta ganhar de forma deliberada acesso a um sistema ou parte de seu recurso. 11 Script kiddies: grupos de crackers inexperientes que utilizam ferramentas criadas por especialistas de segurança da informação.

22 22 alterando páginas de websites 12, demonstrando total falta de preocupação em não chamar atenção em um comprometimento. 2.3 TIPOS DE ATAQUES Uma vez identificado o perfil do atacante, inúmeras formas de ataques podem ser classificadas, variando conforme seu risco e grau de complexidade na arquitetura e elaboração do mesmo. Alguns problemas conhecidos e explorados são os existentes em sistemas de impressão de rede, utilitários de configuração de sistemas remotos, aplicações utilizadas para compartilhamento de arquivos, problemas com senhas fracas, scripts e programas de CGI 13 (Common Gateway Interface). Vírus e Worms De forma simples, os vírus de computador são pequenos programas projetados com intenções maliciosas e que, intencionalmente, se replicam através de programas ou arquivos. São chamados assim pela emulação das mesmas características de seu variante biológico: propaga-se, vive num ambiente próprio, e move-se através de infecções (GRIFFIN, 2000). Por definição, trata-se de um código de software, ou parte dele, geralmente escrito em linguagem Assembly 14, capaz de se propagar em qualquer localização, tipicamente sem o consentimento do usuário e normalmente causando destruição ao sistema computacional onde está hospedado. Os worms possuem as mesmas particularidades de um vírus comum, porém sua diferença está em ter como objetivo a disseminação através da rede de computadores e não entre arquivos em um sistema operacional, como ocorre naturalmente nos vírus eletrônicos. 12 Websites conjunto de hipertextos acessíveis na internet. 13 CGI protocolo básico de interação entre o HTTPd e um programa gerador de páginas dinâmicas. 14 Assembly linguagem de programação de baixo nível.

23 23 Os worms são geralmente escritos em linguagens de script (como VBS, por exemplo) e tendem a explorar falhas de serviços como meios de propagação, visando, assim, atingir máquinas que não possuem correções de software atualizadas, consumindo seus recursos ou parte deles. Backdoors e Cavalos de Tróia Uma backdoor 15 trata-se de qualquer processo referente a uma futura entrada no sistema de forma não-autorizada, sendo inserido clandestinamente e criando um acesso, na maioria das vezes, irrestrito ao invasor, o mesmo pretendendo controlar o sistema conforme sua vontade (PAXSON; ZHANG, 2000). Existem diversos modelos funcionais. Eles variam conforme seu grau de ocultação em relação ao administrador do sistema, tentando se esconder para evitar ser rastreada e fechada a porta de conexão para com o atacante. Com isto, há aquelas que trabalham em user-space (backdoors mais simples), onde se trata apenas de um processo em execução, e kernel-space, sendo um pouco mais complexa e se escondendo como um módulo do kernel do sistema operacional afetado (BURDACH, 2004). Um cavalo de tróia trojan horse faz analogia à história, onde os gregos presentearam os troianos na Guerra de Tróia com um enorme cavalo de madeira, tendo escondido seu exército no interior do presente para abrir os portões e proceder à invasão; essas pragas virtuais seguem a mesma filosofia. Trata-se de um arquivo aparentemente inofensivo, porém com um código malicioso inserido em seu contexto, abrindo portas para futuras conexões a invasores, servindo como backdoor (GRIFFIN, 2000). São exemplos comuns de trojans: SubSeven e NetBus.

24 24 A Figura 1 apresenta um exemplo de trojan horse chamado Netbus: Figura 1 Trojan Netbus A diferença entre as duas entidades está justamente em seus métodos de inserção. No cavalo de tróia há o consentimento do usuário administrador do sistema, que na maioria das vezes é o agente responsável pela sua inserção. Já uma backdoor é inserida sem o consentimento do administrador de forma obscura após um comprometimento, no qual o atacante queira garantir sua permanência no sistema. Na informática, um cavalo de tróia (trojan horse) é um programa normalmente recebido como um presente (por exemplo, cartão virtual, álbum de fotos, protetor de tela, jogo, etc), que além de executar funções para as quais foi aparentemente projetado, também executa outras funções normalmente maliciosas e sem o conhecimento do usuário. 15 Backdoor programa que permite a um invasor retornar a um computador comprometido.

25 25 O Cavalo de Tróia é um programa que se aloca como um arquivo no computador da vítima. Ele tem o intuito de roubar informações como senhas, logins, quaisquer dados, sigilosos ou não, mantidos no micro da vítima. Quando a máquina contaminada por um trojan conecta-se à internet, pode ter todas as informações contidas no disco rígido visualizadas e capturadas por um intruso qualquer. Estas visitas são feitas imperceptivelmente (MARCIO, 2001). A Figura 2 apresenta um exemplo de Cavalo de tróia : Figura 2 Cavalo de tróia Algumas das funções maliciosas que podem ser executadas por um cavalo de tróia são: instalação de keyloggers 16 ou screenloggers 17 ; furto de senhas e outras informações sensíveis, como números de cartões de crédito; inclusão de backdoors, para permitir que um atacante tenha total controle sobre o computador; alteração ou destruição de arquivos. 16 Keyloggers são pequenos aplicativos, destinados a capturar dígitos do teclado. 17 Screenloggers são pequenos aplicativos capazes de armazenar a posição do cursor e da tela no momento do clique do mouse.

26 26 Spywares Recentemente difundidos, spywares são implementações que buscam, em geral, comprometer a privacidade do usuário agindo de maneira distinta entre suas variadas versões. Alguns buscam dados sigilosos através da coleta de informações pessoais, outros tendem a mudar a configuração do sistema operacional afetado sem o consentimento do usuário, atrapalhando a usabilidade de ferramentas e softwares (MICROSOFT, 2005). Explorando falhas de alguma aplicação ou do próprio sistema operacional, os spywares geralmente se instalam em browsers 18 para mudar a página principal quando o usuário a abre. Alguns adicionam barras de busca do próprio fabricante que fez a praga, outros fazem com que abram janelas pop-up 19 mesmo não estando conectado à Internet. Muitos, ainda, conseguem monitorar toda a atividade realizada na Internet, capturando endereços de , sites que estão sendo visitados, senhas, e até número de cartões de crédito, passando as informações para outra pessoa ou companhia (BEAL, 2004). Embora essas pragas possam prejudicar o desempenho de computadores e serem semelhantes aos cavalos de tróia, não são considerados vírus devido ao seu funcionamento e capacidade de execução, não havendo disseminação e contaminação de arquivos binários. Ferramentas de Exploração de Falhas Essas ferramentas são muito difundidas pela comunidade de segurança. São pacotes ou softwares independentes, desenvolvidos por programadores experientes com grande conhecimento na área computacional e capacitados a explorar listas de fragilidades. Buscam comprometer, de forma automática, determinado sistema computacional, explorando falhas de protocolos e serviços que são divulgadas pelos fabricantes de software ou hackers em listas de discussões, possibilitando que o atacante obtenha acesso privilegiado ao seu alvo em potencial. 18 Browsers softwares que permitem explorar textos, fotos, gráficos, sons e vídeos na internet. 19 Pop-up elemento de interface muito usado para solucionar o problema de acomodar uma grande quantidade de links de navegação em um espaço reduzido.

27 27 Comumente chamados de exploits 20, são ferramentas públicas amplamente divulgadas em sites especializados, possuindo seu código-fonte aberto e livre para ser padronizado, adequando-se a um ataque específico. Muitos desses scripts agem de forma remota, explorando serviços que necessitam de comunicação via socket 21 ; e outros de forma local, agindo na mesma máquina em que foi executado, buscando escalação de privilégio. Dessa forma, qualquer pessoa com conhecimento mínimo de programação pode efetuá-lo sem maiores dificuldades. Existem também os rootkits 22, ferramentas mais sofisticadas para o comprometimento de um sistema operacional, que na maioria das vezes têm o Linux como alvo. Seu funcionamento ocorre de forma silenciosa, o que diferencia das tradicionais técnicas, afetando o kernel 23 do sistema. Através da programação em kernel-space o atacante pode inserir módulos maliciosos do kernel para esconder backdoors em arquivos binários como ls, lsmod, ps, entre outros (BURDACH, 2004). Esta técnica propicia um ataque cauteloso, sem alertar possíveis sensores e geração de logs 24. Negação de Serviços Um ataque de negação de serviço Denial of Service (DoS) se encaixa em uma categoria muito básica, porém poderosa, na engenharia de segurança computacional. O conceito de DoS é facilmente aplicado em uma infra-estrutura de redes, onde roteadores e servidores tendem a manipular inúmeros pacotes que trafegam em seu meio de comunicação em um certo tempo, limitados por fatores como performance de hardware, memória e largura de banda. Se essas taxas ou limites forem excedidos, certamente haverá 20 Exploits são partes de código com a finalidade de explorar vulnerabilidades. 21 Socket é um elemento de software que provê uam interface de rede para a aplicação. 22 Rootkits é um conjunto de programas que utiliza mecanismos para esconder e assegurar a presença no computador comprometido. 23 Kernel cerne, representa a camada mais baixa de interface como o hardware, sendo responsável por gerenciar os recursos do sistema computacional como um todo. 23 Logs são registros de atividades gerados por programas de computador.