Putz valeu pelo soft o.O 
- Welcome to FORUM DARKERS.
FORUM DARKERS
...
This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.
Pages1
#2
Bugs | Exploits | Vulnerabilidades / Re: Conta na globo.com Grátis.
17 de September , 2006, 10:40:31 PM
Nao da nada, so cancelam... e em relacao a R$0.00 reparem no desconto e facam as contas de qto vem por mes vem 0 reais so 1 mes.,,, depois vem normal.
#3
Delphi / Re: Crypter soucer delph
11 de September , 2006, 10:46:14 PMQuoteunit encry;
interface
uses
Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,
Dialogs, StdCtrls, ExtCtrls;
type
TForm1 = class(TForm)
Button1: TButton;
Button2: TButton;
Label1: TLabel;
Label2: TLabel;
Label3: TLabel;
Button3: TButton;
Button4: TButton;
Edit1: TMemo;
Edit2: TMemo;
Image1: TImage;
Panel1: TPanel;
Panel2: TPanel;
procedure Button1Click(Sender: TObject);
procedure Button2Click(Sender: TObject);
procedure Button3Click(Sender: TObject);
procedure Button4Click(Sender: TObject);
private
{ Private declarations }
public
{ Public declarations }
end;
var
Form1: TForm1;
implementation
{$R *.dfm}
const Masc=15;
// <> --- Função de DeCrypt[] --- <>
function Decry(Texto: String):String; // <> ---- 1 ---- <>
var
w : string;
i : integer;
begin
FOR i := 1 TO Length(texto) do
w := w + chr( Ord(texto) - i - Masc);
result:= w;
end;
function Encryptar(Texto: String):String;
var
r : string;
i : integer;
begin
For i := 1 to Length(texto) do
r := r + chr(Ord(Texto) + i + Masc);
result:= r;
end;
procedure TForm1.Button1Click(Sender: TObject);
begin
Close;
end;
procedure TForm1.Button2Click(Sender: TObject);
begin
Edit2.Text := Encryptar(Edit1.Text);
end;
procedure TForm1.Button3Click(Sender: TObject);
begin
Edit2.Text := Decry(Edit1.Text);
end;
procedure TForm1.Button4Click(Sender: TObject);
begin
Edit1.Text := '';
Edit2.text := '';
end;
end.
A Unit principal e esta se quizer o source completo manda Mp vlw
#4
Bugs | Exploits | Vulnerabilidades / Re: NoHack Port Scanner
01 de May , 2006, 05:13:39 PM
Deu pau aqui na hora de scanear um server :/ ta bugado esse scanner ou é impressao minha?
#5
Penetration Tests / Re: Máquinas Virtuais
21 de April , 2006, 12:09:25 PM
Otimo post!, não esquecendo de lembrar que máquinas virtuais nao rodam em qualquer computador, precisa-se ter um requisito minimo para ficar digamos que legal(sem travar)
Memoria: 256 mb
placa aceleradora: 32mb
e um processador legalzin: a partir de 1.3Ghz hehe
Memoria: 256 mb
placa aceleradora: 32mb
e um processador legalzin: a partir de 1.3Ghz hehe
#6
Penetration Tests / Re: O lado Mal do arquivo SAM
15 de April , 2006, 06:51:49 PM
Grande ideia! porem sera que o o Ruindows vai deixar um programa modificar um arquivo do sistema assim?
humm, O programa poderia copiar deixando copia rs sera que da? hehe
humm, O programa poderia copiar deixando copia rs sera que da? hehe
#7
O que é um rootkit?
Um rootkit é um trojan que busca se esconder de softwares de segurança e do usuário utilizando diversas técnicas avançadas de programação.
Rootkits escondem a sua presença no sistema, escondendo suas chaves no registro (para que você não possa vê-las) e escondendo os seus processos no Gerenciador de Tarefas, além de retornar sempre erros de "arquivo inexistente" ao tentar acessar os arquivos do trojan.
Diversos trojans utilizam essas tecnologias com o objetivo de dificultar sua remoção e o fazem com sucesso: os rootkits mais avançados são bem difíceis de serem removidos.
Origem do nome rootkit
Os rootkits possuem esse nome por serem, inicialmente, "kits" de programas para a plataforma Linux/Unix para manter o acesso total ao sistema previamente comprometido, agindo como backdoor. Como "root" é o usuário com o controle total do computador nas plataformas Unix, originou-se o nome "rootkit" para denominar estes conjuntos de aplicativos.
Funcionamento
Os rootkits para Linux/Unix geralmente substituem os programas mais comuns, como os programas que listam arquivos, de modo que o administrador do sistema, ao listar os arquivos, não veja a presença dos arquivos do trojan.
No Windows, eles 'infectam' os processos na memória, de modo que toda vez que um processo requisite alguma informação sobre os arquivos do trojan, esta informação seja anulada antes de ser retornada ao programa, o que fará com que os softwares acreditem que estes arquivos não estejam lá.
O Hacker Defender é um dos rootkits mais avançados para Windows atualmente.
Por: Linhadefensiva
Um rootkit é um trojan que busca se esconder de softwares de segurança e do usuário utilizando diversas técnicas avançadas de programação.
Rootkits escondem a sua presença no sistema, escondendo suas chaves no registro (para que você não possa vê-las) e escondendo os seus processos no Gerenciador de Tarefas, além de retornar sempre erros de "arquivo inexistente" ao tentar acessar os arquivos do trojan.
Diversos trojans utilizam essas tecnologias com o objetivo de dificultar sua remoção e o fazem com sucesso: os rootkits mais avançados são bem difíceis de serem removidos.
Origem do nome rootkit
Os rootkits possuem esse nome por serem, inicialmente, "kits" de programas para a plataforma Linux/Unix para manter o acesso total ao sistema previamente comprometido, agindo como backdoor. Como "root" é o usuário com o controle total do computador nas plataformas Unix, originou-se o nome "rootkit" para denominar estes conjuntos de aplicativos.
Funcionamento
Os rootkits para Linux/Unix geralmente substituem os programas mais comuns, como os programas que listam arquivos, de modo que o administrador do sistema, ao listar os arquivos, não veja a presença dos arquivos do trojan.
No Windows, eles 'infectam' os processos na memória, de modo que toda vez que um processo requisite alguma informação sobre os arquivos do trojan, esta informação seja anulada antes de ser retornada ao programa, o que fará com que os softwares acreditem que estes arquivos não estejam lá.
O Hacker Defender é um dos rootkits mais avançados para Windows atualmente.
Por: Linhadefensiva
#8
Penetration Tests / O lado Mal do arquivo SAM
15 de April , 2006, 01:37:24 PM
O Windows, armazena os nomes das contas e valores hash em um arquivo chamado SAM. Esse arquivo, por sua vez, pode ser encontrado no diretório WINNT\system32\config\sam do disco em que está instalado o Sistema Operacional (por exemplo, C:). O problema é que, enquanto o Windows está sendo executado, esse arquivo é intocavel: não pode ser copiado ou movido. Ele só pode ser acessado no modo Somente leitura. Portanto, não é possivel copiar o arquivo de uma maquina em pleno funcionamento, nem copiar o arquivo via rede, mesmo que o usuário da máquina tenham compartilhado o diretorio WINNT ou todo o drive C:.
Mas é claro que, com um pouco de criatividade, é possível contornar o problema.A primeira coisa que vem a cabeça é a possibilidade de iniciar o computador com um Live CD), como o Kurumin, por exemplo, e no prompt de comando, se o sistema estiver formatado em FAT32, digitar:
mount -t ntfs /dev/hda1 mnt/windows
Caso esteja formatado em NTFS, digite:
mount -t vfat /dev/hda1 /mnt/windows
Após montar o disco em que estáo Windows, você terá acesso a todos os dados dessa partição, incluindo o arquivo SAM, que agora poderá ser copiado livremente para outro local, já que não está sendo utilizado. Para copia-lo para um disquete, bastaria digitar o comando:
cp -a /dev/hda1/WINNT/system32/config/sam /dev/fd0
A cópia em um disquete é apenas um exemplo. Como a maioria desses Live CDs possui suporye para redes e internet, seria perfeitamente possiovel configurar a rede local e o aceso à Web enviar o arquivo SAM, via e-mail, FTP ou mensageiros instantaneos, para qualquer lugar.
A segunda maneira de se conseguir um arquivo SAM, paracida com a priomeira , é colocar um segundo disco rígido, com Windows 2000 ou XP, na máquina em que está o arquivo de senhas que se quer copiar. O detalhe é que a máquina será iniciado por meio do segundo HD (Algumas configurações na BIOS ou nos jumpers que acompanham os discos rígidos devem ser feitas para que isso aconteça). Assim, o Arquivo SAM do disco rígidooriginal permanecerá ativado, o que fará com que ele possa ser facilmente copiado.
Apesar da simplicidade dessas duas técnicas (basta ter acesso físico à maquina), elas são um bocado agressivas, em uma rede minimamenteorganizada, não é admissivel que um usuário inicialize uma maquina que não a sua sem um bom motivo, e muito menos que ele insira um outro disco rígido ou gravador de CDs nessa máquina. Mas, como estas situações não são impossiveis, e como o administrador de sistemas não é um ser material, livre das necessidades de sono e alimentacão o.O ;P , alguem abriu ou está prestes a abrir a máquina do colega de escritório em busca do tal arquivo SAM.
Uma Matéria do //Invasão feita pelo h4x0r (#Elite Top Team) é muito boa no tocante ao SAM também ...
http://www.invasao.com.br/coluna-diogenes-07.php#
Mas é claro que, com um pouco de criatividade, é possível contornar o problema.A primeira coisa que vem a cabeça é a possibilidade de iniciar o computador com um Live CD), como o Kurumin, por exemplo, e no prompt de comando, se o sistema estiver formatado em FAT32, digitar:
mount -t ntfs /dev/hda1 mnt/windows
Caso esteja formatado em NTFS, digite:
mount -t vfat /dev/hda1 /mnt/windows
Após montar o disco em que estáo Windows, você terá acesso a todos os dados dessa partição, incluindo o arquivo SAM, que agora poderá ser copiado livremente para outro local, já que não está sendo utilizado. Para copia-lo para um disquete, bastaria digitar o comando:
cp -a /dev/hda1/WINNT/system32/config/sam /dev/fd0
A cópia em um disquete é apenas um exemplo. Como a maioria desses Live CDs possui suporye para redes e internet, seria perfeitamente possiovel configurar a rede local e o aceso à Web enviar o arquivo SAM, via e-mail, FTP ou mensageiros instantaneos, para qualquer lugar.
A segunda maneira de se conseguir um arquivo SAM, paracida com a priomeira , é colocar um segundo disco rígido, com Windows 2000 ou XP, na máquina em que está o arquivo de senhas que se quer copiar. O detalhe é que a máquina será iniciado por meio do segundo HD (Algumas configurações na BIOS ou nos jumpers que acompanham os discos rígidos devem ser feitas para que isso aconteça). Assim, o Arquivo SAM do disco rígidooriginal permanecerá ativado, o que fará com que ele possa ser facilmente copiado.
Apesar da simplicidade dessas duas técnicas (basta ter acesso físico à maquina), elas são um bocado agressivas, em uma rede minimamenteorganizada, não é admissivel que um usuário inicialize uma maquina que não a sua sem um bom motivo, e muito menos que ele insira um outro disco rígido ou gravador de CDs nessa máquina. Mas, como estas situações não são impossiveis, e como o administrador de sistemas não é um ser material, livre das necessidades de sono e alimentacão o.O ;P , alguem abriu ou está prestes a abrir a máquina do colega de escritório em busca do tal arquivo SAM.
Uma Matéria do //Invasão feita pelo h4x0r (#Elite Top Team) é muito boa no tocante ao SAM também ...
http://www.invasao.com.br/coluna-diogenes-07.php#
#9
Artigos / Técnicas de Crackers para entrar em redes corporativas e privadas (parte 2)
21 de March , 2006, 08:19:03 PM
4.3 Instalando Sniffers
Uma maneira extremamente efetiva dos crackers obterem rapidamente uma grande quantidade de usernames e passwords dos hosts da rede interna é usar programas especiais chamados de "Ethernet Sniffers". Os tais sniffers (farejadores) precisam operar na mesma ethernet usada pelo host do qual o cracker deseja obter acesso, ele não será efetivo se for executado em um host externo que esteja sendo usando como bridge por exemplo.
Para "farejar" o fluxo de dados em uma rede interna, o cracker precisa fazer uma invasão remota ao um host e obter acesso root, este host precisa ter também o mesmo número de Ethernet dos outros host internos. As técnicas mencionadas nas seções 3.2, 3.3, 3.4, 3.5 e 3.6 são adotadas aqui, já que o cracker precisa acessar e instalar backdoors no host para certificar-se que o sniffer possa ser instalado e usado efetivamente.
Depois de invadir, instalar as backdoors e instalar trojans nos binários "ps" e "netstat", o cracker instalará o ethernet sniffer no host. Os sniffers usualmente são instalados nos diretórios /usr/bin ou /dev (no Solaris 2.x), eles são também modificados para que se pareçam com um binário do sistema qualquer.
Muitos ethernet sniffers executam em modo "background" e produzem um arquivo de log na máquina local, é importante lembrar que o cracker terá uma backdoor instalada no "ps", para que este processo não seja percebido pelo administrador.
Tais etherent sniffers funcionam mudando a interface de rede para o chamado "modo promíscuo", esta interface então "ouve" e manda os dados para o arquivo de log do sniffer quaisquer usernames, passwords ou outros dados que possam ser usados para obter acesso a outros hosts da rede.
Por estes programas estarem instalados em ethernets, literalmente quaisquer dados que trafegam na rede podem ser "farejados"; tanto o tráfego de dados que passa pelor este host como o tráfego que sai dele pode ser farejado.
O cracker usualmente retornará uma semana depois e fará o download do arquivo de logs que o sniffer produziu. No caso de uma rede corporativa ter uma brecha como esta, está mais do que claro que o sniffer funcionará muito bem, e dificilmente será detectado se uma boa política de segurança não for implementada.
Um excelente utilitário usado por administradores conscientes é o "TripWire" disponível no site do COAST (veja seção 5.2). O Tripwire faz uma espécie de MD5 (checkSum) em seu sistema de arquivo e notificará qualquer mudança feita neles.
Para detectar interfaces de redes promíscuas (um sinal comum de instalação de sniffers), a ferramanta "cpm" disponível no site da CERT é muito útil, veja o endereço http://www.cert.org/ft/tools/cpm/ para mais informações.
4.4 "Tomando" redes
Se o cracker pode comprometer servidores considerados críticos que estejam executando aplicações como bases de dados, operações de sistemas de rede ou outras "funções críticas", ele pode facilmente "tomar" a sua rede por um certo período de tempo.
Uma técnica cruel, mas não usual adotadas pelos cracker que tentam desabilitar as funções da rede, é a de deletar todos os arquivos dos servidores principais, usando o comando "rm -rf / &" neste servidor. Dependendo da política de backups do sistema, ele poderá ficar por horas inutilizável ou até meses.
Se o cracker obteve acesso a sua rede interna, ele poderá abusar das vulnerabilidades presentes em muitos roteadores como Cisco, Bay e Ascend. Em alguns casos ele pode resetá-los ou desligá-los até que o administrador tome providências e os reative. Isto pode causar grandes problemas com a funcionalidade da rede, já que o cracker montou uma lista dos roteadores vulneráveis que executam papéis fundamentais na rede (se eles forem usados em algum backbone corporativo, por exemplo). O cracker pode então facilmente desabilitar a rede da corporação por algum tempo. Por este motivo, é fundamental que os roteadores e servidores de "missão critica" sejam especialmente verificados, instalando patches e cuidando de sua segurança.
Fonte: http://www.aheadinformatica.com.br/text ... ackers.php
Uma maneira extremamente efetiva dos crackers obterem rapidamente uma grande quantidade de usernames e passwords dos hosts da rede interna é usar programas especiais chamados de "Ethernet Sniffers". Os tais sniffers (farejadores) precisam operar na mesma ethernet usada pelo host do qual o cracker deseja obter acesso, ele não será efetivo se for executado em um host externo que esteja sendo usando como bridge por exemplo.
Para "farejar" o fluxo de dados em uma rede interna, o cracker precisa fazer uma invasão remota ao um host e obter acesso root, este host precisa ter também o mesmo número de Ethernet dos outros host internos. As técnicas mencionadas nas seções 3.2, 3.3, 3.4, 3.5 e 3.6 são adotadas aqui, já que o cracker precisa acessar e instalar backdoors no host para certificar-se que o sniffer possa ser instalado e usado efetivamente.
Depois de invadir, instalar as backdoors e instalar trojans nos binários "ps" e "netstat", o cracker instalará o ethernet sniffer no host. Os sniffers usualmente são instalados nos diretórios /usr/bin ou /dev (no Solaris 2.x), eles são também modificados para que se pareçam com um binário do sistema qualquer.
Muitos ethernet sniffers executam em modo "background" e produzem um arquivo de log na máquina local, é importante lembrar que o cracker terá uma backdoor instalada no "ps", para que este processo não seja percebido pelo administrador.
Tais etherent sniffers funcionam mudando a interface de rede para o chamado "modo promíscuo", esta interface então "ouve" e manda os dados para o arquivo de log do sniffer quaisquer usernames, passwords ou outros dados que possam ser usados para obter acesso a outros hosts da rede.
Por estes programas estarem instalados em ethernets, literalmente quaisquer dados que trafegam na rede podem ser "farejados"; tanto o tráfego de dados que passa pelor este host como o tráfego que sai dele pode ser farejado.
O cracker usualmente retornará uma semana depois e fará o download do arquivo de logs que o sniffer produziu. No caso de uma rede corporativa ter uma brecha como esta, está mais do que claro que o sniffer funcionará muito bem, e dificilmente será detectado se uma boa política de segurança não for implementada.
Um excelente utilitário usado por administradores conscientes é o "TripWire" disponível no site do COAST (veja seção 5.2). O Tripwire faz uma espécie de MD5 (checkSum) em seu sistema de arquivo e notificará qualquer mudança feita neles.
Para detectar interfaces de redes promíscuas (um sinal comum de instalação de sniffers), a ferramanta "cpm" disponível no site da CERT é muito útil, veja o endereço http://www.cert.org/ft/tools/cpm/ para mais informações.
4.4 "Tomando" redes
Se o cracker pode comprometer servidores considerados críticos que estejam executando aplicações como bases de dados, operações de sistemas de rede ou outras "funções críticas", ele pode facilmente "tomar" a sua rede por um certo período de tempo.
Uma técnica cruel, mas não usual adotadas pelos cracker que tentam desabilitar as funções da rede, é a de deletar todos os arquivos dos servidores principais, usando o comando "rm -rf / &" neste servidor. Dependendo da política de backups do sistema, ele poderá ficar por horas inutilizável ou até meses.
Se o cracker obteve acesso a sua rede interna, ele poderá abusar das vulnerabilidades presentes em muitos roteadores como Cisco, Bay e Ascend. Em alguns casos ele pode resetá-los ou desligá-los até que o administrador tome providências e os reative. Isto pode causar grandes problemas com a funcionalidade da rede, já que o cracker montou uma lista dos roteadores vulneráveis que executam papéis fundamentais na rede (se eles forem usados em algum backbone corporativo, por exemplo). O cracker pode então facilmente desabilitar a rede da corporação por algum tempo. Por este motivo, é fundamental que os roteadores e servidores de "missão critica" sejam especialmente verificados, instalando patches e cuidando de sua segurança.
Fonte: http://www.aheadinformatica.com.br/text ... ackers.php
#10
Artigos / Técnicas de Crackers para entrar em redes corporativas e privadas
21 de March , 2006, 08:16:47 PM
1. Introdução
1.1 quem é vulnerável?
1.2 Perfil de um cracker típico
2 Networking
2.1 Metodologias de Networking adotadas pelas companhias
2.2 Entendendo as vulnerabilidades
3 O ataque
3.1 Técnicas usadas para ocultar a localização dos agressores
3.2 Network probing e coleta de informações
3.3 Identificando componentes confiáveis de uma rede
3.4 Identificando os componentes vulneráveis da rede
3.5 Tomando vantagem do componentes vulneráveis de uma rede.
3.6 Obtendo acesso a componentes vulneráveis da rede.
4 Abusos e privilégios em um acesso a uma rede
4.1 Fazendo download de informações sigilosas ou sensíveis
4.2 Crackeando outras redes de hosts confiáveis
4.3 Instalando sniffers
4.4 Tomando redes
1.0 Introdução
Este documento foi feito para dar aos administradores de redes e relacionados uma idéia das metodologias adotadas pelos crackers de sistemas típicos quando estão atacando grandes redes. Não é de forma alguma uma espécie de manual técnico obscuro.
Este documento não é um guia sobre como tornar sua rede segura mas tentaremos ajudar você a identificar os riscos de segurança que existem na sua rede e talvez dar uma ajuda sobre algum incidente que você tema que possa acontecer.
Nós encorajamos você a ler este documento e esperamos que com isto você possa aprender como os crackers agem e tomar as precauções necessárias.
1.1 Quem é vulnerável?
Redes de computadores são usadas todos os dias por corporações e várias outras organizações. As redes de computadores permitem que os usuários troquem uma vasta quantidade de informações ou dados muito eficientemente.
Usualmente redes corporativas não são desenvolvidas e implementadas com uma certa segurança em mente, mas sim para terem uma funcionalidade e eficiência máximas, embora isto seja bom do ponto de vista empresarial, os problemas de segurança certamente aparecerão depois, e as empresas gastarão muito dinheiro para resolvê-los, na direta proporção do tamanho de suas redes.
Muitas redes corporativas e privadas funcionam baseadas no princípio Cliente-Servidor, onde os usuários utilizam workstations para conectarem-se as servidores e compartilharem as informações. Este documento irá concentrar-se na segurança do servidor, que é o alvo primordial dos crackers pois se ele consegue acesso a este computador, que geralmente é o mais bem protegido da rede, é muito fácil conseguir acesso as restante da rede.
Os elementos vulneráveis de um ataque em grande escala, normalmente incluem:
Instituições financeiras e bancos;
ISPs (provedores de internet);
Companhias farmacêuticas;
Governo e agências de defesa;
Empresas multinacionais.
Embora muitos desses ataques são feitos pelos próprios funcionários da empresa, que já tem senhas de acesso a determinados setores, nos concentraremos nas técnicas utilizadas pelos invasores de fora da rede.
Instituições financeiras e bancos são testados e atacados justamente para cometer fraudes, como desvio de dinheiro, transferências, etc. Muitos Bancos já foram atacados desta forma, colocando em risco seus fundos monetários. A política adotada pela maior parte dos bancos é a de não revelar que sofreram um ataque, pois certamente perderiam clientes e a confiança se o ataque for levado ao conhecimento público.
Provedores Internet são sem dúvida o alvo mais comum dos crackers, pois são facilmente acessados através própria Internet e muitas vezes eles têm acesso a conexões de fibra óptica velozes que podem ser utilizadas para transferir grandes quantidades de dados pela rede. Os grandes provedores possuem uma base de dados dos clientes, que usualmente contém números de cartões de crédito, e outras informações confidenciais como nomes e endereços. Estas informações podem ser de muita valia para o cracker.
Companhias farmacêuticas são vítimas das principais tentativas de espionagem industrial, onde os crackers serão muito bem pagos em troca de dados confidenciais dessas companhias. Como todos sabem, tais companhias gastam milhões em pesquisa e desenvolvimento de novas drogas e tudo isso pode ser perdido se ocorrerem roubo de dados.
Nos últimos 6 anos as agências do governo e de defesa dos Estados Unidos foram vítimas de milhares de ataques originários da Internet. Devido ao baixo orçamento destinado a segurança da informação e às fracas políticas de segurança de tais agências, a segurança da informação tem sido um campo de batalha e os servidores do governo e servidores militares têm sido constantemente testados e atacados pelos crackers.
Empresas Multinacionais são os principais exemplos de tentativas de espionagem industrial. Multinacionais possuem escritórios e filiais espalhadas pelo mundo todo, e geralmente são instaladas grandes redes para que a comunicação e troca de dados entre estes escritórios ou filiais seja possível. A NSS têm feito testes de invasão em muitas destas corporações e nós concluímos que muitas delas (e não são poucas) estão com sua segurança comprometida.
Assim como as companhias farmacêuticas, as multinacionais que estão operando com o ramo de eletrônica, software ou relacionado com computadores também gastam milhões na pesquisa e desenvolvimento de seus produtos, e é muito tentador para um competidor contratar uma equipe de crackers para roubar dados da corporação-alvo. E tais dados podem ser usados para dar um grande "empurrão" em tal corporação, fazendo com que esta absorva a tecnologia e conhecimento da outra empresa, resultando em enormes perdas para a corporação-alvo, já que a empresa que contratou os crackers não precisará gastar para desenvolver sua própria tecnologia.
Uma outra forma de ataque adotado pelos competidores "infiéis" das outras corporações e derrubar a rede corporativa por certo período de tempo, E isso pode causar a perda de um bom dinheiro, dependendo do tipo da empresa-alvo. Em muitos casos é extremamente difícil localizar a fonte de tal ataque. Dependendo da segmentação interna da rede, este tipo de ataque pode ser altamente eficiente e resultar, como já foi dito antes, em uma perda massiva de dinheiro. Este "Joguinho sujo" é comum hoje em dia, e precisa ser considerado seriamente.
1.2 Perfil de Cracker de sistemas típico
Os estudos têm mostrado que um cracker de sistemas típico é usualmente do sexo masculino, com idade entre 16 e 25 anos. Os crackers geralmente estão interessados em entrar nas redes para aumentar suas habilidades ou utilizar os recursos da rede para seu próprio propósito. Muitos crackers são bastante persistentes em seus ataques, isto é devido a quantidade de tempo livre que ele possuem (alguns trabalham no setor e os mais jovens não trabalham, sobrando muito tempo livre para a execução dos ataques).
Uma alta porcentagem de crackers são oportunistas, e rodam scanners para checar um número massivo de hosts ou redes a procura de vulnerabilidades no sistema remoto. Identificando os hosts ou redes vulneráveis, o cracker poderá obter acesso root ao sistema, logo ele poderá instalar backdoors e alguns chegam até a instalar patches no host, para evitar que outros cracker invadam esta mesma máquina usando as mesmas técnicas.
Os oportunistas operam primariamente dois domínios: o primeiro sendo da Internet e o segundo sendo de redes telefônicas.
Para escanear hosts internet a procura de vulnerabilidades remotas comuns, o cracker irá preferencialmente lançar o seu ataque a provedores que tenham conexão de fibra ótica ou a backbones rápidos.
Para escanear máquinas ligadas à redes telefônicas, como Terminal Servers, BBSs ou sistemas de Correio de voz. O cracker usará um tipo de programa chamado de "Wardialing", que escaneará automaticamente um grande quantidade de números telefônicos por sinais de "carrier" (um sinal de carrier seria quase como aquele sinal que você ouve quando seu modem disca para seu provedor internet), que no caso identificam tais sistemas.
Uma porcentagem pequena de crackers definem antes os alvos e os tipos de tentativas para o ataque, tais indivíduos são mais qualificados e adotam técnicas de "cutting-edge" para atacar uma certa rede. Estes tipos de crackers geralmente atacam redes de grandes empresas, que possuem proteção de firewalls, explorando vulnerabilidades não publicadas ou não conhecidas e também explorando os recursos que essas redes possuem.
As redes e hosts que são alvos deste tipo de cracker possuem usualmente dados confidenciais, como dados de pesquisa e desenvolvimento de projetos ou quaisquer tipos de dados que sejam úteis a ele.
Alguns crackers também têm acesso a exploits e ferramentas utilizados por analistas de segurança de grandes companhias, e as utilizam para escanear máquinas definidas a procura de vulnerabilidades remotas. Este tipo de cracker é geralmente muito paciente, e perde muitos meses coletando dados antes de tentar acesso a estas redes e/ou computadores.
2.1 Metodologias de Networking adotadas por muitas companhias
Uma corporação típica uma certa presença na Internet pelos seguintes propósitos:
- A hospedagem de servidores corporativos;
- E-mail e outras comunicações globais via Internet;
- Fornecer aos funcionários o acesso a Internet.
A NSS têm executado testes de invasão para algumas empresas podemos ver que um ambiente de rede diferente é adotado, onde a rede corporativa e a internet são separadas por firewalls e proxies.
Em tais ambientes, o webserver corporativo e os mail-servers são às vezes deixados "do lado de fora" da rede da empresa e as informações são transmitidas por canais confiáveis para a rede interna.
No caso, estes canais confiáveis presentes em mailservers externos e hosts da rede interna da corporação, uma política bem pensada de "filtragem" deve ser posta em ação, como por exemplo configurar os mailservers para somente conectar à porta 25 de um único servidor seguro da rede corporativa, isto já irá diminuir massivamente a probabilidade de acessos não autorizados, quando um mailserver externo for comprometido.
Em uma das redes corporativas que a NSS executou testes de invasão, tinha um bocado de "dual-homed" hosts, estes hosts possuem as interfaces de rede ativas tanto na Internet como na rede interna da empresa. Do ponto de vista de segurança, tais hosts que operam em redes múltiplas podem ser uma séria ameaça à segurança da rede, pois estes hosts fazem simplesmente uma "ponte" entre as duas redes, portanto se você tem acesso a este host, tem acesso a rede da empresa (remotamente!).
2.2 Entendendo as vulnerabilidades destes sistemas de rede.
Na Internet, a corporação tem 5 webservers externos, 2 mailservers externos e um firewall ou algum sistema de filtragem implementado.
Os webservers, usualmente não são atacados por crackers que esperam ganhar acesso a rede corporativa, a menos que um firewall está configurado de alguma maneira que permita ao cracker acessar a rede da empresa através do webserver. Embora seja sempre bom Ter seus webservers seguros e rodar TCP wrapers para permitir que somente clientes confiáveis se conectem as portas de telnet e ftp.
Os mailservers são alvos de crackers que tentam acessar a rede interna, pois o mailserver é uma máquina que necessita ter acesso a rede corporativa para trocar e distribuir as mensagens entre a rede interna e a Internet. Novamente dependendo da "filtragem" da rede em questão, o ataque pode ou não ser efetivo para o lado do cracker.
Roteadores de filtro também são alvos comuns de crackers, com ataques agressivos de SNMP-Scanning e password crackers do tipo força-bruta. Se tal ataque for efetivo, o roteador pode facilmente tornar-se um bridge, dando então acesso não autorizado a rede.
Neste tipo de situação, o cracker avaliará exatamente quais hosts externos ele ele teve acesso, e então tentará identificar qual o nível de confiança entre estes hosts e a rede corporativa. Então, se você instalar TCP Wrappers em todos os seus hosts externos, Você define que somente as partes confiáveis poderão comunicar-se em portas críticas de seus hosts, que são usualmente:
ftp (21), ssh (22), telnet (23), smtp (25), named (53),
pop3 (110), imap (143), rsh (514), rlogin (513), lpd (515).
SMTP, named e portmapper precisam ser configurados de acordo, dependendo da sua função na rede. Tudo isso pode reduzir bastante o risco de ataque a uma rede corporativa.
Nos casos de redes com uma política de "corporação para Internet" não muito clara, certamente existirão multiple-homed hosts e roteadores com configuração imprópria. A falta de uma segmentação da rede interna também existirá, e isto tornará muito fácil a um cracker baseado na Internet, Ter acesso não autorizado a rede interna.
O mapeamento da rede corporativa pode facilmente ocorrer se os servidores de DNS externos estão configurados de maneira imprópria. A NSS tem feitos testes de penetração bem sucedidos, e foi possível mapear a rede corporativa através de servidores DNS impropriamente configurados, por isso, é muito importante que servidores DNS não existam entre os hosts da rede corporativa e os hosts da rede externa, está muito longe de ser seguro simplesmente utilizar endereços IP para conectar as máquinas da rede corporativa com a rede externa e vice-versa.
Hosts inseguros com interfaces de rede ativas em redes múltiplas podem ser forçadas para obter acesso e rede corporativa muito facilmente.
Os Hosts inseguros nem mesmo precisam estar comprometidos, é muito fácil abusar do finger daemon em um host que permita o forwarding... assim como usuários, hosts e outras informações da rede podem ser coletadas para identificar hosts "exploitáveis" na rede corporativa, o sistema operacional de um host pode ser determinado em muitos casos pelo uso de um pedido de finger para root@host, bin@host e daemon@host.
Alguns crackers estão adotando agora, técnicas relativas ao "wardialling" nos próprios locais das empresas como edifícios e centros de operações.
Se um cracker conseguisse encontrar e comprometer um terminal server, ele poderia ter um certo grau de acesso a rede corporativa, obviamente "passando direto" por firewalls e filtros que separam a rede corporativa da Internet. Portanto, é muito importante identificar e certificar a segurança de seus terminal servers. Logar as conexões para os servidores é também extremamente recomendado.
Quando tentamos entender as vulnerabilidades dos sistemas de rede, um ponto chave para lembrar-mos é a "confiança" entre os hosts de sua rede e o uso de TCP wrappers, arquivos hosts.equiv, arquivos .rhosts ou .shosts. Muitas das grandes redes são usualmente atacadas justamante explorando a confiança entre os hosts.
Por exemplo, se um agressor usa um exploit CGI para visualizar o seu arquivo hosts.allow, ele pode encontrar todas as suas portas para conexões telnet e ftp para *.euconfio.com. É claro, o agressor pode então Ter acesso a qualquer host no sub-domínio euconfio.com, e obter acesso a eles facilmente.
Por estas razões, é sempre uma boa idéia certificar-se que os seus hosts confiáveis estão seguros contra um ataque remoto.
Um outro ataque que deve ser mencionado é a instalação de trojans e backdoors nos hosts corporativos (como máquinas Windows 95/98), se os funcionários tem acesso a Internet utilizando um proxy de aplicação e um firewall, as vezes eles podem visitar sites Warez para fazer o download de softwares piratas.
Tais sites Warez, muitas vezes tem um programa de screensaver e outros utilitários a oferecer, que em alguns casos podem conter trojans como o Back Orifice. Com a instalação do screensaver, o trojan infecta o registro da máquina e é carregado toda a vez que a máquina inicia.
No caso do Back Orifice, podem ser adicionados alguns plugins para fazer a máquina executar certas operações automaticamente, como por exemplo, conectar-se a servidores de IRC e entrar em determinados canais e coisas assim. Não parece mas isto pode ser muito perigoso e mostra que uma máquina da sua rede pode ser controlada remotamente por alguém na Internet facilmente.
O trojan BO é infinitamente mais efetivo se o cracker já tem acesso a rede corporativa, ou se o cracker em questão é um empregado da empresa que tem um acesso não autorizado aos hosts da corporação. O Trojan BO poderia ser instalado em cada máquina Windows 95/98 em poucas semanas se o cracker utilizar a estratégia correta, após ele ter o controle remoto total das máquinas em questão, ele pode manipular arquivos, reiniciar máquinas, formatar drives, etc, remotamente.
3.1 Técnicas para ocultar a localização dos agressores
Crackers típicos usualmente usarão as seguintes técnicas para esconder seu endereço IP real:
Conectar-se através de hosts comprometidos via. telnet ou rsh.
Conectar-se através de hosts windows via Wingates.
Conectar-se através de hosts utilizando proxies configurados impropriamente.
Se você desconfia que um cracker mantém sempre a rotina de escanear os seus hosts de máquinas já comprometidas, wingates ou proxies, é aconselhável contatar o administrador da máquina por telefone e notificá-lo dos problemas. Nunca mande um E-mail ao administrador se o seu caso for este, pois o cracker pode interceptar a mensagem antes que ela chegue ao seu destino.
Os crackers mais talentosos que estão aptos a invadir hosts através de telefone, podem usar as seguintes técnicas:
- Conectar-se através de números do tipo "0800" de centrais telefônicas privadas antes de se conectar a um Provedor Internet utilizando contas crackeadas ou roubadas;
- Conectar-se a um host por telefone, e conseqüentemente, à Internet.
Os crackers que adotam estas técnicas especiais de conexão (Bouncing) através de redes telefônicas são extremamente difíceis de rastrear, porque eles podem estar, literalmente em qualquer lugar do mundo, Se uma cracker pode fazer um dialup para um número 0800, ele pode conectar-se a máquinas em qualquer lugar do globo sem se preocupar com custos.
3.2 Network probing e coleta de informações
Antes de iniciar um ataque a uma rede corporativa através da internet, o cracker típico executará alguns testes preliminares nos hosts externos da rede que estão ligados de alguma forma à Internet. Ele tentará obter os nomes de hosts externos e internos, usando as seguintes técnicas:
Usando nslookup para executar comandos tipo "ls".
Visualizar o código HTML nos seus webservers para tentar identificar outros hosts.
Visualizar documentos armazenados em seus servidores de FTP.
Conectar-se aos seus mail servers e executar comandos tipo "expn".
Dar um Finger e identificar os usuários em hosts externos.
Crackers normalmente tentam obter informações sobre o "layout" da sua rede em primeiro lugar, ao invés de tentar identificar as vulnerabilidades específicas.
Observando então os resultados dos "pedidos" acima mencionados, é geralmente fácil para o cracker construir uma lista de hosts e entender as relações existentes entre eles.
Quando executar estes testes preliminares, o cracker pode cometer, sem saber, alguns pequenos erros, como as vezes utilizar seu próprio IP para conectar-se a portas de suas máquinas para checar as versões do sistema o outros pequenos detalhes. Então, se você acha que talvez seus hosts estejam de alguma forma comprometidos, seria uma boa idéia checar os logs de FTP e HTTPD e verificar qualquer registro anormal.
3.3 Identificando componentes de rede confiáveis
Os crackers procuram por componentes de rede confiáveis para atacar, pois um componente da rede considerado "confiável" e usualmente uma máquina dos administradores ou um servidor qualquer que seja considerado seguro.
O cracker iniciará conferindo o fluxo de dados NFS para qualquer das máquinas que estejam executando nfsd ou mountd, o caso é que aqueles diretórios críticos em alguns hosts (como /usr/bin/, /etc, e /home por exemplo) podem ser somente acessados (e montados por um host confiável.
O finger daemon é freqüentemente abusado para identificar hosts e usuários confiáveis que se logam com freqüência em hosts específicos.
O cracker irá então verificar suas máquinas por outras formas de "confiabilidade". Por exemplo, ele pode "exploitar" uma máquina utilizando alguma vulnerabilidade no CGI e então Ter acesso ao arquivo /etc/hosts.allow.
Após analisar os dados decorrentes das checagens mencionadas acima, o cracker poderá iniciar a identificação das partes confiáveis da sua rede entre os hosts. O próximo passo seria então identificar quaisquer hosts confiáveis que possam ser suscetíveis a algum tipo de vulnerabilidade remota.
3.4 Identificando componentes de rede vulneráveis
Se o cracker elaborar listas de hosts externos e internos da sua rede, ele usará programas para Linux tais como ADMhack, mscan, nmap e alguns scanners simples para procurar por vulnerabilidades específicas nestes hosts.
Usualmente tais "escaneadas" em seus hosts externos terão origem de máquinas com conexões rápidas (geralmente conexões de fibras óticas), o ADMhack por exemplo, requer ser executado por um usuário root em uma máquina Linux, então logicamente o cracker utilizará uma máquina Linux com uma conexão rápida, da qual ele tenha conseguido algum acesso ilegal e tenha instalado um rootkit ou algo semelhante nela. Esse rootkit é usado para instalar backdoors em binários críticos do sistema, para tornar o acesso do cracker neste host indetectável.
Os administradores destes hosts que são usados para escanear hosts corporativos externos usualmente não fazem idéia que esta tarefa esteja sendo executada por suas máquinas, pois binários como "ps" e o "netstat" possuem trojans para ocultar os processos de scanning. Qual o administrador que inicialmente desconfiará que existe um trojan no comando ps?. Essa é a essência da coisa.
Outros programas tais como mscan e nmap não requerem ser executados como root, e podem ser lançados de máquinas Linux (ou outras plataformas, no caso do nmap), para identificar efetivamente vulnerabilidades remotas, todavia estes scanners são lentos e geralmente não podem ser ocultados muito bem (já que o agressor não necessita ter acesso root, que é o caso do ADMhack)
Tanto o ADMhack como mscan executam os seguintes tipos de teste em hosts remotos:
- Um TCP portscan neste host.
- Dump do serviço RPC rodando através do portmapper.
- Uma listagem dos dados exportados via nfsd.
- Listagem dos compartilhamentos (shares) via samba ou netbios.
- Pedidos de Finger múltiplos para identificar "contas default".
- Escaneamento de Vulnerabilidades de CGI.
- Identificação de versões vulneráveis de server daemons incluindo Sendmail, IMAP, POP3, RPC status e RPC mountd.
Programas como o SATAN raramente são usados pelos crackers atuais (ou melhor informados) pois estes tipos de scanners são lentos e procuram por vulnerabilidades já obsoletas.
Após executar o ADMhack ou mscan nos hosts externos, o cracker terá uma boa idéia dos hosts vulneráveis e dos hosts seguros.
Se existirem roteadores e estes possuírem capacidades para SNMP, então os crackers mais avançados adotarão técnicas do tipo "agressive-SNMP scanning" e também tentarão ataques "brute force".
3.5 Tomando vantagem dos componentes de rede vulneráveis
Se o cracker identificou qualquer host externo confiável então ele também identificou algumas vulnerabilidades deste host. Se algum componente vulnerável de sua rede foi identificado, então ele tentará comprometer seus hosts.
Um cracker paciente não invadirá seus hosts em hoas normais de expediente, ele usualmente lançará seu ataque entre 21:00 às 6:00 horas da manhã seguinte, isto reduzirá probabilidade de alguém descobrir o ataque, e dará ao cracker um bom tempo para instalar backdoors e sniffers em suas máquinas sem se preocupar com a presença de administradores de sistema. Muitos crackers tem a maior parte de seu tempo livre nos fins de semana e muitos ataques são feitos nos longos sábados e domingos.
O cracker poderá invadir um host confiável externo, que poderá ser usado como ponto de referência para lançar um ataque a uma rede corporativa. Dependendo da proteção entre a rede corporativa externa e interna, esta técnica pode ou não funcionar.
Se o cracker invade um servidor de e-mail externo, pode ser que ele consiga acesso total a um segmento da rede interna, e então ele pode iniciar um trabalho
para tentar entrar em uma camada mais profunda da rede.
Para invadir ou comprometer muitos componentes da rede, os crackers usarão programas para explorar remotamente versões vulneráveis de server daemons executando em hosts externos, tais daemons incluem versões vulneráveis do Sendmail, IMAP, POP3 e serviços RPC como statd, mountd e pcnfsd.
Muitos exploits remotos usados pelos crackers são lançados de hosts previamente comprometidos, pois em muitos casos estes exploits precisam ser compilados na mesma plataforma usada pelo host do qual eles querem usar o exploit. Por exemplo, um exploit para solaris deve ser, necessariamente ser compilado em uma máquina solaris.
Ao executar tal programa remotamente para exploitar um server daemon vulnerável rodando em algum host extreno da sua rede, o cracker usualmente obtém acesso root ao seu host, que pode ser abusado para obter acesso a outros hosts da rede corporativa.
3.6 Quando o acesso a componentes vulneráveis da rede é obtido.
Depois de explorar um server daemon, o cracker uma operação de "limpeza", cuidando dos logs e dos binários que contém backdoors, para que a sua presença não seja notada depois.
Primeiramente o cracker iniciará a implementação de backdoors, para que ele possa mais tarde Ter acesso ao sistema. Muitas backdoors que os crackers usam já são pré-compiladas, e as técnicas que são adotadas para mudar a data e a permissão dos novos binários que contém backdoors, em alguns casos sempre tem o mesmo tamanho e o novo binário têm o mesmo tamanho do binário original. Os agressores têm consciência dos Logs de transferências por FTP, então eles podem usar o programa "rcp" para transferir seus backdoors para os hosts em questão.
É improvável que tal cracker invadindo uma rede corporativa iniciará seu ataque instalando "patches de vulnerabilidades" em seus hosts, geralmente ele instalará backdoors e trojans em binários considerados críticos como o "ps" e o "netstat" para ocultar quaisquer conexões que ele por ventura venha fazer em seu host.
São instalados backdoors nos seguintes "binários críticos" em máquinas solaris 2.x:
/usr/bin/login
/usr/sbin/ping
/usr/sbin/in.telnetd
/usr/sbin/in.rshd
/usr/sbin/in.rlogind
Alguns crackers também sabem colocar um arquivo .rhosts no diretório /usr/bin para permitir acesso remoto ao host via rsh e csh. (em modo interativo).
A próxima coisa que o cracker precisa fazer é checar o host por qualquer presença de sistemas de logging que possam ter logado suas conexões a este host, então ele procederá editando tais conexões e apagando sua presença e assim sucessivamente até conseguir eliminar totalmente sua presença do sistema. Se você tem uma máquina "muito visada" ou se você desconfia que uma máquina sua possa estar sendo utilizada indevidamente, seria bastante aconselhável direcionar os logs a uma impressora, isto tornaria extremamente difícil para o cracker eliminar sua presença do sistema.
Ao certificar-se que sua presença não está mais logada de forma alguma, o cracker procederá com a sua invasão a rede privada corporativa. Muitos crackers não irão se aborrecer explorando vulnerabilidades em outros hosts externos se eles já possuem acesso a sua rede interna.
4.1 Fazendo o Download de informações sigilosas
Se a meta do cracker é fazer o download de informações sigilosas ou sensíveis de servidores FTP ou webservers na rede interna da corporação, ele pode fazer isto de um host externo que esteja atuando como um "bridge" entre a Internet e a rede interna.
Porem, se a meta do cracker e fazer o download de informação sensível armazenada entre os hosts da rede interna, ele tentará obter acesso e eles pelo abuso da confiança que o host externo que ele está utilizando possui.
4.2 Crackeando outros hosts e redes confiáveis
Muitos crackers simplesmente repetirão os passos descritos nas seções 3.2, 3.3,
3.4 e 3.5 para testar e obter acesso aos hosts de uma rede corporativa interna, dependendo do que o cracker está tentando obter, trojans e backdoors talvez não sejam instalados nos hosts internos da sua rede.
Se o cracker desejar obter acesso total aos hosts da rede interna, ele instalará trojans e backdoors e remover os logs citados na seção 3.6. Eles poderão também instalar sniffers en seus hosts, isto será explicado na seção 4.3.
Se o cracker meramente quer fazer o download de dados de servidores "críticos" ele tentará diferentes tipos de aproximações para obter acesso aos seus hosts, Identificando e atacando então tais hosts que são confiáveis aos servidores também considerados "críticos".
1.1 quem é vulnerável?
1.2 Perfil de um cracker típico
2 Networking
2.1 Metodologias de Networking adotadas pelas companhias
2.2 Entendendo as vulnerabilidades
3 O ataque
3.1 Técnicas usadas para ocultar a localização dos agressores
3.2 Network probing e coleta de informações
3.3 Identificando componentes confiáveis de uma rede
3.4 Identificando os componentes vulneráveis da rede
3.5 Tomando vantagem do componentes vulneráveis de uma rede.
3.6 Obtendo acesso a componentes vulneráveis da rede.
4 Abusos e privilégios em um acesso a uma rede
4.1 Fazendo download de informações sigilosas ou sensíveis
4.2 Crackeando outras redes de hosts confiáveis
4.3 Instalando sniffers
4.4 Tomando redes
1.0 Introdução
Este documento foi feito para dar aos administradores de redes e relacionados uma idéia das metodologias adotadas pelos crackers de sistemas típicos quando estão atacando grandes redes. Não é de forma alguma uma espécie de manual técnico obscuro.
Este documento não é um guia sobre como tornar sua rede segura mas tentaremos ajudar você a identificar os riscos de segurança que existem na sua rede e talvez dar uma ajuda sobre algum incidente que você tema que possa acontecer.
Nós encorajamos você a ler este documento e esperamos que com isto você possa aprender como os crackers agem e tomar as precauções necessárias.
1.1 Quem é vulnerável?
Redes de computadores são usadas todos os dias por corporações e várias outras organizações. As redes de computadores permitem que os usuários troquem uma vasta quantidade de informações ou dados muito eficientemente.
Usualmente redes corporativas não são desenvolvidas e implementadas com uma certa segurança em mente, mas sim para terem uma funcionalidade e eficiência máximas, embora isto seja bom do ponto de vista empresarial, os problemas de segurança certamente aparecerão depois, e as empresas gastarão muito dinheiro para resolvê-los, na direta proporção do tamanho de suas redes.
Muitas redes corporativas e privadas funcionam baseadas no princípio Cliente-Servidor, onde os usuários utilizam workstations para conectarem-se as servidores e compartilharem as informações. Este documento irá concentrar-se na segurança do servidor, que é o alvo primordial dos crackers pois se ele consegue acesso a este computador, que geralmente é o mais bem protegido da rede, é muito fácil conseguir acesso as restante da rede.
Os elementos vulneráveis de um ataque em grande escala, normalmente incluem:
Instituições financeiras e bancos;
ISPs (provedores de internet);
Companhias farmacêuticas;
Governo e agências de defesa;
Empresas multinacionais.
Embora muitos desses ataques são feitos pelos próprios funcionários da empresa, que já tem senhas de acesso a determinados setores, nos concentraremos nas técnicas utilizadas pelos invasores de fora da rede.
Instituições financeiras e bancos são testados e atacados justamente para cometer fraudes, como desvio de dinheiro, transferências, etc. Muitos Bancos já foram atacados desta forma, colocando em risco seus fundos monetários. A política adotada pela maior parte dos bancos é a de não revelar que sofreram um ataque, pois certamente perderiam clientes e a confiança se o ataque for levado ao conhecimento público.
Provedores Internet são sem dúvida o alvo mais comum dos crackers, pois são facilmente acessados através própria Internet e muitas vezes eles têm acesso a conexões de fibra óptica velozes que podem ser utilizadas para transferir grandes quantidades de dados pela rede. Os grandes provedores possuem uma base de dados dos clientes, que usualmente contém números de cartões de crédito, e outras informações confidenciais como nomes e endereços. Estas informações podem ser de muita valia para o cracker.
Companhias farmacêuticas são vítimas das principais tentativas de espionagem industrial, onde os crackers serão muito bem pagos em troca de dados confidenciais dessas companhias. Como todos sabem, tais companhias gastam milhões em pesquisa e desenvolvimento de novas drogas e tudo isso pode ser perdido se ocorrerem roubo de dados.
Nos últimos 6 anos as agências do governo e de defesa dos Estados Unidos foram vítimas de milhares de ataques originários da Internet. Devido ao baixo orçamento destinado a segurança da informação e às fracas políticas de segurança de tais agências, a segurança da informação tem sido um campo de batalha e os servidores do governo e servidores militares têm sido constantemente testados e atacados pelos crackers.
Empresas Multinacionais são os principais exemplos de tentativas de espionagem industrial. Multinacionais possuem escritórios e filiais espalhadas pelo mundo todo, e geralmente são instaladas grandes redes para que a comunicação e troca de dados entre estes escritórios ou filiais seja possível. A NSS têm feito testes de invasão em muitas destas corporações e nós concluímos que muitas delas (e não são poucas) estão com sua segurança comprometida.
Assim como as companhias farmacêuticas, as multinacionais que estão operando com o ramo de eletrônica, software ou relacionado com computadores também gastam milhões na pesquisa e desenvolvimento de seus produtos, e é muito tentador para um competidor contratar uma equipe de crackers para roubar dados da corporação-alvo. E tais dados podem ser usados para dar um grande "empurrão" em tal corporação, fazendo com que esta absorva a tecnologia e conhecimento da outra empresa, resultando em enormes perdas para a corporação-alvo, já que a empresa que contratou os crackers não precisará gastar para desenvolver sua própria tecnologia.
Uma outra forma de ataque adotado pelos competidores "infiéis" das outras corporações e derrubar a rede corporativa por certo período de tempo, E isso pode causar a perda de um bom dinheiro, dependendo do tipo da empresa-alvo. Em muitos casos é extremamente difícil localizar a fonte de tal ataque. Dependendo da segmentação interna da rede, este tipo de ataque pode ser altamente eficiente e resultar, como já foi dito antes, em uma perda massiva de dinheiro. Este "Joguinho sujo" é comum hoje em dia, e precisa ser considerado seriamente.
1.2 Perfil de Cracker de sistemas típico
Os estudos têm mostrado que um cracker de sistemas típico é usualmente do sexo masculino, com idade entre 16 e 25 anos. Os crackers geralmente estão interessados em entrar nas redes para aumentar suas habilidades ou utilizar os recursos da rede para seu próprio propósito. Muitos crackers são bastante persistentes em seus ataques, isto é devido a quantidade de tempo livre que ele possuem (alguns trabalham no setor e os mais jovens não trabalham, sobrando muito tempo livre para a execução dos ataques).
Uma alta porcentagem de crackers são oportunistas, e rodam scanners para checar um número massivo de hosts ou redes a procura de vulnerabilidades no sistema remoto. Identificando os hosts ou redes vulneráveis, o cracker poderá obter acesso root ao sistema, logo ele poderá instalar backdoors e alguns chegam até a instalar patches no host, para evitar que outros cracker invadam esta mesma máquina usando as mesmas técnicas.
Os oportunistas operam primariamente dois domínios: o primeiro sendo da Internet e o segundo sendo de redes telefônicas.
Para escanear hosts internet a procura de vulnerabilidades remotas comuns, o cracker irá preferencialmente lançar o seu ataque a provedores que tenham conexão de fibra ótica ou a backbones rápidos.
Para escanear máquinas ligadas à redes telefônicas, como Terminal Servers, BBSs ou sistemas de Correio de voz. O cracker usará um tipo de programa chamado de "Wardialing", que escaneará automaticamente um grande quantidade de números telefônicos por sinais de "carrier" (um sinal de carrier seria quase como aquele sinal que você ouve quando seu modem disca para seu provedor internet), que no caso identificam tais sistemas.
Uma porcentagem pequena de crackers definem antes os alvos e os tipos de tentativas para o ataque, tais indivíduos são mais qualificados e adotam técnicas de "cutting-edge" para atacar uma certa rede. Estes tipos de crackers geralmente atacam redes de grandes empresas, que possuem proteção de firewalls, explorando vulnerabilidades não publicadas ou não conhecidas e também explorando os recursos que essas redes possuem.
As redes e hosts que são alvos deste tipo de cracker possuem usualmente dados confidenciais, como dados de pesquisa e desenvolvimento de projetos ou quaisquer tipos de dados que sejam úteis a ele.
Alguns crackers também têm acesso a exploits e ferramentas utilizados por analistas de segurança de grandes companhias, e as utilizam para escanear máquinas definidas a procura de vulnerabilidades remotas. Este tipo de cracker é geralmente muito paciente, e perde muitos meses coletando dados antes de tentar acesso a estas redes e/ou computadores.
2.1 Metodologias de Networking adotadas por muitas companhias
Uma corporação típica uma certa presença na Internet pelos seguintes propósitos:
- A hospedagem de servidores corporativos;
- E-mail e outras comunicações globais via Internet;
- Fornecer aos funcionários o acesso a Internet.
A NSS têm executado testes de invasão para algumas empresas podemos ver que um ambiente de rede diferente é adotado, onde a rede corporativa e a internet são separadas por firewalls e proxies.
Em tais ambientes, o webserver corporativo e os mail-servers são às vezes deixados "do lado de fora" da rede da empresa e as informações são transmitidas por canais confiáveis para a rede interna.
No caso, estes canais confiáveis presentes em mailservers externos e hosts da rede interna da corporação, uma política bem pensada de "filtragem" deve ser posta em ação, como por exemplo configurar os mailservers para somente conectar à porta 25 de um único servidor seguro da rede corporativa, isto já irá diminuir massivamente a probabilidade de acessos não autorizados, quando um mailserver externo for comprometido.
Em uma das redes corporativas que a NSS executou testes de invasão, tinha um bocado de "dual-homed" hosts, estes hosts possuem as interfaces de rede ativas tanto na Internet como na rede interna da empresa. Do ponto de vista de segurança, tais hosts que operam em redes múltiplas podem ser uma séria ameaça à segurança da rede, pois estes hosts fazem simplesmente uma "ponte" entre as duas redes, portanto se você tem acesso a este host, tem acesso a rede da empresa (remotamente!).
2.2 Entendendo as vulnerabilidades destes sistemas de rede.
Na Internet, a corporação tem 5 webservers externos, 2 mailservers externos e um firewall ou algum sistema de filtragem implementado.
Os webservers, usualmente não são atacados por crackers que esperam ganhar acesso a rede corporativa, a menos que um firewall está configurado de alguma maneira que permita ao cracker acessar a rede da empresa através do webserver. Embora seja sempre bom Ter seus webservers seguros e rodar TCP wrapers para permitir que somente clientes confiáveis se conectem as portas de telnet e ftp.
Os mailservers são alvos de crackers que tentam acessar a rede interna, pois o mailserver é uma máquina que necessita ter acesso a rede corporativa para trocar e distribuir as mensagens entre a rede interna e a Internet. Novamente dependendo da "filtragem" da rede em questão, o ataque pode ou não ser efetivo para o lado do cracker.
Roteadores de filtro também são alvos comuns de crackers, com ataques agressivos de SNMP-Scanning e password crackers do tipo força-bruta. Se tal ataque for efetivo, o roteador pode facilmente tornar-se um bridge, dando então acesso não autorizado a rede.
Neste tipo de situação, o cracker avaliará exatamente quais hosts externos ele ele teve acesso, e então tentará identificar qual o nível de confiança entre estes hosts e a rede corporativa. Então, se você instalar TCP Wrappers em todos os seus hosts externos, Você define que somente as partes confiáveis poderão comunicar-se em portas críticas de seus hosts, que são usualmente:
ftp (21), ssh (22), telnet (23), smtp (25), named (53),
pop3 (110), imap (143), rsh (514), rlogin (513), lpd (515).
SMTP, named e portmapper precisam ser configurados de acordo, dependendo da sua função na rede. Tudo isso pode reduzir bastante o risco de ataque a uma rede corporativa.
Nos casos de redes com uma política de "corporação para Internet" não muito clara, certamente existirão multiple-homed hosts e roteadores com configuração imprópria. A falta de uma segmentação da rede interna também existirá, e isto tornará muito fácil a um cracker baseado na Internet, Ter acesso não autorizado a rede interna.
O mapeamento da rede corporativa pode facilmente ocorrer se os servidores de DNS externos estão configurados de maneira imprópria. A NSS tem feitos testes de penetração bem sucedidos, e foi possível mapear a rede corporativa através de servidores DNS impropriamente configurados, por isso, é muito importante que servidores DNS não existam entre os hosts da rede corporativa e os hosts da rede externa, está muito longe de ser seguro simplesmente utilizar endereços IP para conectar as máquinas da rede corporativa com a rede externa e vice-versa.
Hosts inseguros com interfaces de rede ativas em redes múltiplas podem ser forçadas para obter acesso e rede corporativa muito facilmente.
Os Hosts inseguros nem mesmo precisam estar comprometidos, é muito fácil abusar do finger daemon em um host que permita o forwarding... assim como usuários, hosts e outras informações da rede podem ser coletadas para identificar hosts "exploitáveis" na rede corporativa, o sistema operacional de um host pode ser determinado em muitos casos pelo uso de um pedido de finger para root@host, bin@host e daemon@host.
Alguns crackers estão adotando agora, técnicas relativas ao "wardialling" nos próprios locais das empresas como edifícios e centros de operações.
Se um cracker conseguisse encontrar e comprometer um terminal server, ele poderia ter um certo grau de acesso a rede corporativa, obviamente "passando direto" por firewalls e filtros que separam a rede corporativa da Internet. Portanto, é muito importante identificar e certificar a segurança de seus terminal servers. Logar as conexões para os servidores é também extremamente recomendado.
Quando tentamos entender as vulnerabilidades dos sistemas de rede, um ponto chave para lembrar-mos é a "confiança" entre os hosts de sua rede e o uso de TCP wrappers, arquivos hosts.equiv, arquivos .rhosts ou .shosts. Muitas das grandes redes são usualmente atacadas justamante explorando a confiança entre os hosts.
Por exemplo, se um agressor usa um exploit CGI para visualizar o seu arquivo hosts.allow, ele pode encontrar todas as suas portas para conexões telnet e ftp para *.euconfio.com. É claro, o agressor pode então Ter acesso a qualquer host no sub-domínio euconfio.com, e obter acesso a eles facilmente.
Por estas razões, é sempre uma boa idéia certificar-se que os seus hosts confiáveis estão seguros contra um ataque remoto.
Um outro ataque que deve ser mencionado é a instalação de trojans e backdoors nos hosts corporativos (como máquinas Windows 95/98), se os funcionários tem acesso a Internet utilizando um proxy de aplicação e um firewall, as vezes eles podem visitar sites Warez para fazer o download de softwares piratas.
Tais sites Warez, muitas vezes tem um programa de screensaver e outros utilitários a oferecer, que em alguns casos podem conter trojans como o Back Orifice. Com a instalação do screensaver, o trojan infecta o registro da máquina e é carregado toda a vez que a máquina inicia.
No caso do Back Orifice, podem ser adicionados alguns plugins para fazer a máquina executar certas operações automaticamente, como por exemplo, conectar-se a servidores de IRC e entrar em determinados canais e coisas assim. Não parece mas isto pode ser muito perigoso e mostra que uma máquina da sua rede pode ser controlada remotamente por alguém na Internet facilmente.
O trojan BO é infinitamente mais efetivo se o cracker já tem acesso a rede corporativa, ou se o cracker em questão é um empregado da empresa que tem um acesso não autorizado aos hosts da corporação. O Trojan BO poderia ser instalado em cada máquina Windows 95/98 em poucas semanas se o cracker utilizar a estratégia correta, após ele ter o controle remoto total das máquinas em questão, ele pode manipular arquivos, reiniciar máquinas, formatar drives, etc, remotamente.
3.1 Técnicas para ocultar a localização dos agressores
Crackers típicos usualmente usarão as seguintes técnicas para esconder seu endereço IP real:
Conectar-se através de hosts comprometidos via. telnet ou rsh.
Conectar-se através de hosts windows via Wingates.
Conectar-se através de hosts utilizando proxies configurados impropriamente.
Se você desconfia que um cracker mantém sempre a rotina de escanear os seus hosts de máquinas já comprometidas, wingates ou proxies, é aconselhável contatar o administrador da máquina por telefone e notificá-lo dos problemas. Nunca mande um E-mail ao administrador se o seu caso for este, pois o cracker pode interceptar a mensagem antes que ela chegue ao seu destino.
Os crackers mais talentosos que estão aptos a invadir hosts através de telefone, podem usar as seguintes técnicas:
- Conectar-se através de números do tipo "0800" de centrais telefônicas privadas antes de se conectar a um Provedor Internet utilizando contas crackeadas ou roubadas;
- Conectar-se a um host por telefone, e conseqüentemente, à Internet.
Os crackers que adotam estas técnicas especiais de conexão (Bouncing) através de redes telefônicas são extremamente difíceis de rastrear, porque eles podem estar, literalmente em qualquer lugar do mundo, Se uma cracker pode fazer um dialup para um número 0800, ele pode conectar-se a máquinas em qualquer lugar do globo sem se preocupar com custos.
3.2 Network probing e coleta de informações
Antes de iniciar um ataque a uma rede corporativa através da internet, o cracker típico executará alguns testes preliminares nos hosts externos da rede que estão ligados de alguma forma à Internet. Ele tentará obter os nomes de hosts externos e internos, usando as seguintes técnicas:
Usando nslookup para executar comandos tipo "ls
Visualizar o código HTML nos seus webservers para tentar identificar outros hosts.
Visualizar documentos armazenados em seus servidores de FTP.
Conectar-se aos seus mail servers e executar comandos tipo "expn
Dar um Finger e identificar os usuários em hosts externos.
Crackers normalmente tentam obter informações sobre o "layout" da sua rede em primeiro lugar, ao invés de tentar identificar as vulnerabilidades específicas.
Observando então os resultados dos "pedidos" acima mencionados, é geralmente fácil para o cracker construir uma lista de hosts e entender as relações existentes entre eles.
Quando executar estes testes preliminares, o cracker pode cometer, sem saber, alguns pequenos erros, como as vezes utilizar seu próprio IP para conectar-se a portas de suas máquinas para checar as versões do sistema o outros pequenos detalhes. Então, se você acha que talvez seus hosts estejam de alguma forma comprometidos, seria uma boa idéia checar os logs de FTP e HTTPD e verificar qualquer registro anormal.
3.3 Identificando componentes de rede confiáveis
Os crackers procuram por componentes de rede confiáveis para atacar, pois um componente da rede considerado "confiável" e usualmente uma máquina dos administradores ou um servidor qualquer que seja considerado seguro.
O cracker iniciará conferindo o fluxo de dados NFS para qualquer das máquinas que estejam executando nfsd ou mountd, o caso é que aqueles diretórios críticos em alguns hosts (como /usr/bin/, /etc, e /home por exemplo) podem ser somente acessados (e montados por um host confiável.
O finger daemon é freqüentemente abusado para identificar hosts e usuários confiáveis que se logam com freqüência em hosts específicos.
O cracker irá então verificar suas máquinas por outras formas de "confiabilidade". Por exemplo, ele pode "exploitar" uma máquina utilizando alguma vulnerabilidade no CGI e então Ter acesso ao arquivo /etc/hosts.allow.
Após analisar os dados decorrentes das checagens mencionadas acima, o cracker poderá iniciar a identificação das partes confiáveis da sua rede entre os hosts. O próximo passo seria então identificar quaisquer hosts confiáveis que possam ser suscetíveis a algum tipo de vulnerabilidade remota.
3.4 Identificando componentes de rede vulneráveis
Se o cracker elaborar listas de hosts externos e internos da sua rede, ele usará programas para Linux tais como ADMhack, mscan, nmap e alguns scanners simples para procurar por vulnerabilidades específicas nestes hosts.
Usualmente tais "escaneadas" em seus hosts externos terão origem de máquinas com conexões rápidas (geralmente conexões de fibras óticas), o ADMhack por exemplo, requer ser executado por um usuário root em uma máquina Linux, então logicamente o cracker utilizará uma máquina Linux com uma conexão rápida, da qual ele tenha conseguido algum acesso ilegal e tenha instalado um rootkit ou algo semelhante nela. Esse rootkit é usado para instalar backdoors em binários críticos do sistema, para tornar o acesso do cracker neste host indetectável.
Os administradores destes hosts que são usados para escanear hosts corporativos externos usualmente não fazem idéia que esta tarefa esteja sendo executada por suas máquinas, pois binários como "ps" e o "netstat" possuem trojans para ocultar os processos de scanning. Qual o administrador que inicialmente desconfiará que existe um trojan no comando ps?. Essa é a essência da coisa.
Outros programas tais como mscan e nmap não requerem ser executados como root, e podem ser lançados de máquinas Linux (ou outras plataformas, no caso do nmap), para identificar efetivamente vulnerabilidades remotas, todavia estes scanners são lentos e geralmente não podem ser ocultados muito bem (já que o agressor não necessita ter acesso root, que é o caso do ADMhack)
Tanto o ADMhack como mscan executam os seguintes tipos de teste em hosts remotos:
- Um TCP portscan neste host.
- Dump do serviço RPC rodando através do portmapper.
- Uma listagem dos dados exportados via nfsd.
- Listagem dos compartilhamentos (shares) via samba ou netbios.
- Pedidos de Finger múltiplos para identificar "contas default".
- Escaneamento de Vulnerabilidades de CGI.
- Identificação de versões vulneráveis de server daemons incluindo Sendmail, IMAP, POP3, RPC status e RPC mountd.
Programas como o SATAN raramente são usados pelos crackers atuais (ou melhor informados) pois estes tipos de scanners são lentos e procuram por vulnerabilidades já obsoletas.
Após executar o ADMhack ou mscan nos hosts externos, o cracker terá uma boa idéia dos hosts vulneráveis e dos hosts seguros.
Se existirem roteadores e estes possuírem capacidades para SNMP, então os crackers mais avançados adotarão técnicas do tipo "agressive-SNMP scanning" e também tentarão ataques "brute force".
3.5 Tomando vantagem dos componentes de rede vulneráveis
Se o cracker identificou qualquer host externo confiável então ele também identificou algumas vulnerabilidades deste host. Se algum componente vulnerável de sua rede foi identificado, então ele tentará comprometer seus hosts.
Um cracker paciente não invadirá seus hosts em hoas normais de expediente, ele usualmente lançará seu ataque entre 21:00 às 6:00 horas da manhã seguinte, isto reduzirá probabilidade de alguém descobrir o ataque, e dará ao cracker um bom tempo para instalar backdoors e sniffers em suas máquinas sem se preocupar com a presença de administradores de sistema. Muitos crackers tem a maior parte de seu tempo livre nos fins de semana e muitos ataques são feitos nos longos sábados e domingos.
O cracker poderá invadir um host confiável externo, que poderá ser usado como ponto de referência para lançar um ataque a uma rede corporativa. Dependendo da proteção entre a rede corporativa externa e interna, esta técnica pode ou não funcionar.
Se o cracker invade um servidor de e-mail externo, pode ser que ele consiga acesso total a um segmento da rede interna, e então ele pode iniciar um trabalho
para tentar entrar em uma camada mais profunda da rede.
Para invadir ou comprometer muitos componentes da rede, os crackers usarão programas para explorar remotamente versões vulneráveis de server daemons executando em hosts externos, tais daemons incluem versões vulneráveis do Sendmail, IMAP, POP3 e serviços RPC como statd, mountd e pcnfsd.
Muitos exploits remotos usados pelos crackers são lançados de hosts previamente comprometidos, pois em muitos casos estes exploits precisam ser compilados na mesma plataforma usada pelo host do qual eles querem usar o exploit. Por exemplo, um exploit para solaris deve ser, necessariamente ser compilado em uma máquina solaris.
Ao executar tal programa remotamente para exploitar um server daemon vulnerável rodando em algum host extreno da sua rede, o cracker usualmente obtém acesso root ao seu host, que pode ser abusado para obter acesso a outros hosts da rede corporativa.
3.6 Quando o acesso a componentes vulneráveis da rede é obtido.
Depois de explorar um server daemon, o cracker uma operação de "limpeza", cuidando dos logs e dos binários que contém backdoors, para que a sua presença não seja notada depois.
Primeiramente o cracker iniciará a implementação de backdoors, para que ele possa mais tarde Ter acesso ao sistema. Muitas backdoors que os crackers usam já são pré-compiladas, e as técnicas que são adotadas para mudar a data e a permissão dos novos binários que contém backdoors, em alguns casos sempre tem o mesmo tamanho e o novo binário têm o mesmo tamanho do binário original. Os agressores têm consciência dos Logs de transferências por FTP, então eles podem usar o programa "rcp" para transferir seus backdoors para os hosts em questão.
É improvável que tal cracker invadindo uma rede corporativa iniciará seu ataque instalando "patches de vulnerabilidades" em seus hosts, geralmente ele instalará backdoors e trojans em binários considerados críticos como o "ps" e o "netstat" para ocultar quaisquer conexões que ele por ventura venha fazer em seu host.
São instalados backdoors nos seguintes "binários críticos" em máquinas solaris 2.x:
/usr/bin/login
/usr/sbin/ping
/usr/sbin/in.telnetd
/usr/sbin/in.rshd
/usr/sbin/in.rlogind
Alguns crackers também sabem colocar um arquivo .rhosts no diretório /usr/bin para permitir acesso remoto ao host via rsh e csh. (em modo interativo).
A próxima coisa que o cracker precisa fazer é checar o host por qualquer presença de sistemas de logging que possam ter logado suas conexões a este host, então ele procederá editando tais conexões e apagando sua presença e assim sucessivamente até conseguir eliminar totalmente sua presença do sistema. Se você tem uma máquina "muito visada" ou se você desconfia que uma máquina sua possa estar sendo utilizada indevidamente, seria bastante aconselhável direcionar os logs a uma impressora, isto tornaria extremamente difícil para o cracker eliminar sua presença do sistema.
Ao certificar-se que sua presença não está mais logada de forma alguma, o cracker procederá com a sua invasão a rede privada corporativa. Muitos crackers não irão se aborrecer explorando vulnerabilidades em outros hosts externos se eles já possuem acesso a sua rede interna.
4.1 Fazendo o Download de informações sigilosas
Se a meta do cracker é fazer o download de informações sigilosas ou sensíveis de servidores FTP ou webservers na rede interna da corporação, ele pode fazer isto de um host externo que esteja atuando como um "bridge" entre a Internet e a rede interna.
Porem, se a meta do cracker e fazer o download de informação sensível armazenada entre os hosts da rede interna, ele tentará obter acesso e eles pelo abuso da confiança que o host externo que ele está utilizando possui.
4.2 Crackeando outros hosts e redes confiáveis
Muitos crackers simplesmente repetirão os passos descritos nas seções 3.2, 3.3,
3.4 e 3.5 para testar e obter acesso aos hosts de uma rede corporativa interna, dependendo do que o cracker está tentando obter, trojans e backdoors talvez não sejam instalados nos hosts internos da sua rede.
Se o cracker desejar obter acesso total aos hosts da rede interna, ele instalará trojans e backdoors e remover os logs citados na seção 3.6. Eles poderão também instalar sniffers en seus hosts, isto será explicado na seção 4.3.
Se o cracker meramente quer fazer o download de dados de servidores "críticos" ele tentará diferentes tipos de aproximações para obter acesso aos seus hosts, Identificando e atacando então tais hosts que são confiáveis aos servidores também considerados "críticos".
#11
Penetration Tests / Snnifers - Lado Bom e Lado Ruim
21 de March , 2006, 07:54:50 PM
Sniffers são programas que capturam pacotes de rede. Seu propósito legal é analisar tráfego de rede e identificar áreas potenciais de preocupação. Por exemplo, suponha que um segmento de sua rede esteja executando precariamente: a entrega de pacotes parece incrivelmente lenta ou as máquinas inexplicavelmente bloqueiam em uma inicialização de rede. Você utiliza um sniffer para determinar a causa precisa.
Sniffers variam significamente em funcionalidade e projeto. Alguns analisam somente um protocolo, enquanto outros podem analisar centenas. Como uma regra geral, sniffers mais modernos analisarão pelo menos os seguintes protocolos:
• Ethernet padrão
• TCP/IP
• IPX
• DECNet
Os sniffers capturam pacotes de rede colocando a interface de rede Ethernet por exemplo, em modo promíscuo.
Em redes locais os dados trafegam de uma máquina para outra ao longo do cabo em pequenas unidades chamadas frames. Esses frames são divididos em seções que carregam informações específicas. Os sniffers impõem um risco de segurança por causa da forma como os frames são transportados e entregues.
Cada estação de trabalho em uma rede local tem seu próprio endereço de hardware. Esse endereço identifica de maneira exclusiva essa máquina em relação a todos os outros na rede. Quando você envia uma mensagem através da rede local, seus pacotes são enviados para todas as máquinas disponíveis (broadcast).
Sob circunstâncias normais, todas as máquinas na rede podem "ouvir" esse tráfego, mas somente responderão aos dados endereçados especificamente a elas. (Em outras palavras, a estaçãoa de trabalho A não irá capturar dados destinados à estação de trabalho B. Em vez disso, a estação de trabalho A simplesmente ignora esses dados.)
Se uma interface de rede da estação de trabalho está em modo promíscuo, entretanto, ela pode capturar todos os pacotes e frames na rede. Uma estação de trabalho configurada dessa forma (e o software sobre ela) é um sniffer.
Os sniffers representam um alto nível de risco, porque:
• Os sniffers podem capturar senhas
• Os sniffers podem capturar informações confidenciais
• Os sniffers podem ser utilizados para abrir brechas na segurança de redes vizinhas ou ganhar acessos de alto nível.
De fato, a existência de um sniffer não autorizado em sua rede pode indicar que seu sistema já está comprometido.
Os sniffers capturarão todos os pacotes na rede, mas na prática, um atacante tem de ser altamente seletivo. Um ataque de sniffer não é tão fácil quanto parece. Ele requer algum conhecimento de rede. Simplesmente configurar um sniffer e deixá-lo trabalhando levará a problemas porque mesmo uma rede de cinco estações transmite milhares de pacotes por hora. Dentro de um breve tempo, o arquivo de saída de um sniffer pode facilmente encher uma unidade de disco rígido (se você capturar todos os pacotes).
Para superar esse problema, os crackers geralmente farejam somente os primeiros 200-300 bytes de cada pacote. O nome de usuário e senha estão contidos dentro dessa parte, o que é realmente tudo que a maioria de crackers querem.
A tecnologia de segurança desenvolveu-se consideravelmente. Alguns sistemas operacionais agora empregam criptografia no nível de pacote e, portanto, mesmo se um ataque de sniffer consiguir obter dados valiosos, esses dados são criptografados. Isso representa um obstáculo adicional a ser ultrapassado somente por aqueles com conhecimento mais profundo de segurança, criptografia e rede.
Veja abaixo alguns dos sniffers mais famosos disponíveis sob licença de uso de software freeware e shareware:
Plataforma: UNIX/Linux
• Esniff
http://www.asmodeus.com/archive/IP_toolz/ESNIFF.C
• LinSniff
http://www.rootshell.com/archive-1d8dks ... linsniff.c
• linux_sniffer
http://www.rootshell.com/archive-1d8dks ... _sniffer.c
• sniffit
http://reptile.rug.ac.be/~coder/sniffit/sniffit.html
Plataforma: MS-DOS/Windows
• Gobbler
http://www.cse.rmit.edu.au/~rdssc/cours ... obbler.zip
Derrotar ataques de sniffers não é fácil. Você pode adotar duas abordagens:
• Detectar e eliminar os sniffers
• Proteger seus dados contra sniffers
Os sniffers são extremamente difícies de detectar porque são programas passivos. Eles não geram uma trilha de auditoria e a menos que seu dono seja muito estúpido (farejando todo tráfego em vez dos primeiros bytes significativos por conexão), eles consomem poucos recursos de rede.
É possível localizar um sniffer em uma máquina usando o MD5, desde que tenha um banco de dados decente dos arquivos originais da instalação. Você precisa obter o script md5check que automatiza o processo.
http://wsspinfo.cern.ch/sec/cert/tools/ ... k/md5check
Certamente, pesquisar por soma de verificação em uma única máquina é bastante eficaz. Entretanto, localizar um sniffer em uma rede grande é difícil. Há algumas ferramentas que podem ajudar:
Nitwit
Detecta sniffers mesmo se a interface de rede não estiver no modo promíscuo.
http://www.7thsphere.com/hpvac/files/hacking/nitwit.c
Suponha que alguém entra em um escritório vazio, desconecta uma máquina da rede e conecta um laptop com o mesmo IP. Eles utilizam isto como um sniffer. Isso é difícil de detectar a menos que você esteja utilizando mapas de topologia de rede (ferramentas que marcam qualquer alteração na topologia) e os verifica diariamente.
Se você acredita verdadeiramente que alguém grampeou sua rede, você pode obter ferramentas para verificar isso. A ferramenta que você precisa chama-se TDR (time domain reflectometer). Os TDRs medem a propagação ou flutuação de ondas eletromagnéticas. Um TDR anexado à sua rede local revelará partes não autorizadas sugando dados de sua rede.
No final das contas, entretanto, soluções preventivas são difíceis e dispendiosas. Em vez disso, você deve adotar uma abordagem mais defensiva. Há duas defesas importantes contra sniffers:
• Topologia segmentada
• Sessões criptografadas
Os sniffers somente podem capturar os dados no mesmo segmento de rede. Isso significa que quanto mais você segmenta sua rede, menos informações um sniffer pode coletar. Há três interfaces de rede que um sniffer não pode cruzar:
• Switches
• Roteadores
• Bridges
As sessões criptografadas fornecem um solução diferente. Em vez de preocupar-se com dados sofrendo sniffing, você simplesmente os adultera até um ponto que estejam além do reconhecimento. O SSH (Secure Shell é um exemplo de programa que fornece comunicação criptografada, substituindo o velho Telnet. Você pode adquirir uma versão livre para Linux em:
http://www.cs.hut.fi/ssh/
Edit: Fonte: Google
Sniffers variam significamente em funcionalidade e projeto. Alguns analisam somente um protocolo, enquanto outros podem analisar centenas. Como uma regra geral, sniffers mais modernos analisarão pelo menos os seguintes protocolos:
• Ethernet padrão
• TCP/IP
• IPX
• DECNet
Os sniffers capturam pacotes de rede colocando a interface de rede Ethernet por exemplo, em modo promíscuo.
Em redes locais os dados trafegam de uma máquina para outra ao longo do cabo em pequenas unidades chamadas frames. Esses frames são divididos em seções que carregam informações específicas. Os sniffers impõem um risco de segurança por causa da forma como os frames são transportados e entregues.
Cada estação de trabalho em uma rede local tem seu próprio endereço de hardware. Esse endereço identifica de maneira exclusiva essa máquina em relação a todos os outros na rede. Quando você envia uma mensagem através da rede local, seus pacotes são enviados para todas as máquinas disponíveis (broadcast).
Sob circunstâncias normais, todas as máquinas na rede podem "ouvir" esse tráfego, mas somente responderão aos dados endereçados especificamente a elas. (Em outras palavras, a estaçãoa de trabalho A não irá capturar dados destinados à estação de trabalho B. Em vez disso, a estação de trabalho A simplesmente ignora esses dados.)
Se uma interface de rede da estação de trabalho está em modo promíscuo, entretanto, ela pode capturar todos os pacotes e frames na rede. Uma estação de trabalho configurada dessa forma (e o software sobre ela) é um sniffer.
Os sniffers representam um alto nível de risco, porque:
• Os sniffers podem capturar senhas
• Os sniffers podem capturar informações confidenciais
• Os sniffers podem ser utilizados para abrir brechas na segurança de redes vizinhas ou ganhar acessos de alto nível.
De fato, a existência de um sniffer não autorizado em sua rede pode indicar que seu sistema já está comprometido.
Os sniffers capturarão todos os pacotes na rede, mas na prática, um atacante tem de ser altamente seletivo. Um ataque de sniffer não é tão fácil quanto parece. Ele requer algum conhecimento de rede. Simplesmente configurar um sniffer e deixá-lo trabalhando levará a problemas porque mesmo uma rede de cinco estações transmite milhares de pacotes por hora. Dentro de um breve tempo, o arquivo de saída de um sniffer pode facilmente encher uma unidade de disco rígido (se você capturar todos os pacotes).
Para superar esse problema, os crackers geralmente farejam somente os primeiros 200-300 bytes de cada pacote. O nome de usuário e senha estão contidos dentro dessa parte, o que é realmente tudo que a maioria de crackers querem.
A tecnologia de segurança desenvolveu-se consideravelmente. Alguns sistemas operacionais agora empregam criptografia no nível de pacote e, portanto, mesmo se um ataque de sniffer consiguir obter dados valiosos, esses dados são criptografados. Isso representa um obstáculo adicional a ser ultrapassado somente por aqueles com conhecimento mais profundo de segurança, criptografia e rede.
Veja abaixo alguns dos sniffers mais famosos disponíveis sob licença de uso de software freeware e shareware:
Plataforma: UNIX/Linux
• Esniff
http://www.asmodeus.com/archive/IP_toolz/ESNIFF.C
• LinSniff
http://www.rootshell.com/archive-1d8dks ... linsniff.c
• linux_sniffer
http://www.rootshell.com/archive-1d8dks ... _sniffer.c
• sniffit
http://reptile.rug.ac.be/~coder/sniffit/sniffit.html
Plataforma: MS-DOS/Windows
• Gobbler
http://www.cse.rmit.edu.au/~rdssc/cours ... obbler.zip
Derrotar ataques de sniffers não é fácil. Você pode adotar duas abordagens:
• Detectar e eliminar os sniffers
• Proteger seus dados contra sniffers
Os sniffers são extremamente difícies de detectar porque são programas passivos. Eles não geram uma trilha de auditoria e a menos que seu dono seja muito estúpido (farejando todo tráfego em vez dos primeiros bytes significativos por conexão), eles consomem poucos recursos de rede.
É possível localizar um sniffer em uma máquina usando o MD5, desde que tenha um banco de dados decente dos arquivos originais da instalação. Você precisa obter o script md5check que automatiza o processo.
http://wsspinfo.cern.ch/sec/cert/tools/ ... k/md5check
Certamente, pesquisar por soma de verificação em uma única máquina é bastante eficaz. Entretanto, localizar um sniffer em uma rede grande é difícil. Há algumas ferramentas que podem ajudar:
Nitwit
Detecta sniffers mesmo se a interface de rede não estiver no modo promíscuo.
http://www.7thsphere.com/hpvac/files/hacking/nitwit.c
Suponha que alguém entra em um escritório vazio, desconecta uma máquina da rede e conecta um laptop com o mesmo IP. Eles utilizam isto como um sniffer. Isso é difícil de detectar a menos que você esteja utilizando mapas de topologia de rede (ferramentas que marcam qualquer alteração na topologia) e os verifica diariamente.
Se você acredita verdadeiramente que alguém grampeou sua rede, você pode obter ferramentas para verificar isso. A ferramenta que você precisa chama-se TDR (time domain reflectometer). Os TDRs medem a propagação ou flutuação de ondas eletromagnéticas. Um TDR anexado à sua rede local revelará partes não autorizadas sugando dados de sua rede.
No final das contas, entretanto, soluções preventivas são difíceis e dispendiosas. Em vez disso, você deve adotar uma abordagem mais defensiva. Há duas defesas importantes contra sniffers:
• Topologia segmentada
• Sessões criptografadas
Os sniffers somente podem capturar os dados no mesmo segmento de rede. Isso significa que quanto mais você segmenta sua rede, menos informações um sniffer pode coletar. Há três interfaces de rede que um sniffer não pode cruzar:
• Switches
• Roteadores
• Bridges
As sessões criptografadas fornecem um solução diferente. Em vez de preocupar-se com dados sofrendo sniffing, você simplesmente os adultera até um ponto que estejam além do reconhecimento. O SSH (Secure Shell é um exemplo de programa que fornece comunicação criptografada, substituindo o velho Telnet. Você pode adquirir uma versão livre para Linux em:
http://www.cs.hut.fi/ssh/
Edit: Fonte: Google
#12
Temas Livres (Relacionados a Informática) / Re: Grupo Darkers
13 de March , 2006, 10:52:14 PM
Alguns me conhecem, sou o Dark Soldier,
Conhecimentos Básicos: Linux, PHP, PHP Injection, Delphi, TCP/IP, Protecão de rede, Google Stringer.
Conhecimentos Intermediários: Engenharia Social, Furto de dados, Noções de HTML, Fireworks, Photoshop.
Livros Lidos: Universidade Hacker 1 e 2, Google Hacking, Universidade Redes, Dossie Hardware, Universidade Photoshop
Até mais
Conhecimentos Básicos: Linux, PHP, PHP Injection, Delphi, TCP/IP, Protecão de rede, Google Stringer.
Conhecimentos Intermediários: Engenharia Social, Furto de dados, Noções de HTML, Fireworks, Photoshop.
Livros Lidos: Universidade Hacker 1 e 2, Google Hacking, Universidade Redes, Dossie Hardware, Universidade Photoshop
Até mais
#13
Penetration Tests / Tutorial scan login e senhas Modens ADSL
27 de February , 2006, 09:26:05 PM
Voce podera pegar ips de routers ou modens adsl que alguns administradores ou usuarios esquecem de alterar e deixam padrao.....
Primeiro passo ter ips de adsl. Entre em algum irc e pergunta qual o ip do cabra que esta usando adsl e claro e so os 3 primeiros numeros ips basta. Se o cara falar po voce quer me invadir fala deixa de ser mane ou ate mesmo alguem de sua lista do msn ou se voce usa adsl tambem pode usar em cima do seu ip. Se voce usar o ip hoje ja mete o scan pra catar o login e a senha da pessoa pois assim que a pessoa rebotar nao se esqueca se nao for ip fixo vai mudar e voce se lasca tem que usar em cima de ips validos assim que voce pegar o login e senha daquele ip pode descarta aquele ip.
Exemplo voce faz um scan em cima dos ips 200.200.200.1 200.200.200.255 pra saber os ativos
boa parte que consegui foi dos provedores TERRA, BRTURBO, ONDA, NETPAR, MATRIX, BSI, AONDA, VOE, TERRACOM, AE.DF, REDEPURA, DOURANET, BRTE, VSP, BS2, SOFTONE, VEGATURBO, MARINGA no scan voce dara atencao aos ips porta 21 ou 23 aberta. Nao esqueca voce faz o scan em cima de um range de ips exemplo inicial 200.192.168.1 ip final para o scan 200.192.168.99.....
200.141.122.0 ATÉ o ip que vc queira termina
tipo
200.141.122.0 até 200.141.123.255
mais recomendo vc fazer scan menores do tipo 100 em 100
Bem logo abaixo mostrarei algumas imagens de como rodar e como funciona o scan mais antes entenda o funcionamento...
Vamos a um exemplo pegamos este ip n scan 200.146.64.222 abra seu navegador e faca assim http://200.146.64.222/index.htm em alguns voce vai em PPP depois em config e tera a senha em xxx agora e so usar um programa que ira mostrar a senha xxxxx o programa que uso pra mostrar a senha e o revelation.
Existem alguns modens que precisao de login e senha pra voce logar neles caso a pessoa nao altere e deixe o padrao e so tentar estes:
Padroes para os modens alcatel, 3com,dslink,dynalink,vinking,greetsspeed
senhas pro alcatel:
login: naum colokanada
senha: keycode&senh@01 ou keycode&senh@02
senha do 3com:
login: root
senha: !root
ou user !root senha !root
senhas do dslink
login: root
senha: root
de alguns modens
Depois vc entra em configuration REMOTE FILES PROFILES DEPOIS EM MODIFY
veja abaixo algumas imagens para que possa entender melhor o scan
gamezi.net/image/imagem.jpg
gamezi.net/image/imagem2.jpg
gamezi.net/image/scan.jpg
Abaixo link download revelation e do scan
www.ijusarang.com/photo/scan+revelation.zip
Agora antencao no scan veja o seguinte e acompanhe na imagem tambem
agora do lado do 255 ou seja no final do ip tem umas setas para baixo aperta nelas entao
olha no seu scan agora do lado do START !! tem umas setas para baixo aperta nelas
tem um box com 3 pontinhos aperta nele ai vai abri uma nova tela e no 1 lugar onde esta escrito ports
coloca assim 21,23 aperta OK ! e comece o scan
Maximiza o SCAN !
depois .. aumenta os espaços entre
IP , PING , HOST NAME
Open PortXegadoS> esta do lado do HOST name
entre duas barras
| |
| |-->
quando vc clica em ping aparece os menores pings e vai aumentando
entao é soh vc clica em OPEN PORTS
que vai aparecer so as abertas
so ip com o icone VERDE que siguinifica porta aberta
Do lado HOST NAME !!
Estara assim
|......IP.....|......PING.....|......HOSTNAME.....|..|
repara que tem mais UM !
mais ele naum aparec
Entao click nesta ultima barra e buxa pra direita
Vai fica assim
|......IP.....|......PING.....|......HOSTNAME.....|....OPEN PORTS....|
So clicar no OPEN PORTS
que os de porta aberta .. fica em cima
By: GAGO
Primeiro passo ter ips de adsl. Entre em algum irc e pergunta qual o ip do cabra que esta usando adsl e claro e so os 3 primeiros numeros ips basta. Se o cara falar po voce quer me invadir fala deixa de ser mane ou ate mesmo alguem de sua lista do msn ou se voce usa adsl tambem pode usar em cima do seu ip. Se voce usar o ip hoje ja mete o scan pra catar o login e a senha da pessoa pois assim que a pessoa rebotar nao se esqueca se nao for ip fixo vai mudar e voce se lasca tem que usar em cima de ips validos assim que voce pegar o login e senha daquele ip pode descarta aquele ip.
Exemplo voce faz um scan em cima dos ips 200.200.200.1 200.200.200.255 pra saber os ativos
boa parte que consegui foi dos provedores TERRA, BRTURBO, ONDA, NETPAR, MATRIX, BSI, AONDA, VOE, TERRACOM, AE.DF, REDEPURA, DOURANET, BRTE, VSP, BS2, SOFTONE, VEGATURBO, MARINGA no scan voce dara atencao aos ips porta 21 ou 23 aberta. Nao esqueca voce faz o scan em cima de um range de ips exemplo inicial 200.192.168.1 ip final para o scan 200.192.168.99.....
200.141.122.0 ATÉ o ip que vc queira termina
tipo
200.141.122.0 até 200.141.123.255
mais recomendo vc fazer scan menores do tipo 100 em 100
Bem logo abaixo mostrarei algumas imagens de como rodar e como funciona o scan mais antes entenda o funcionamento...
Vamos a um exemplo pegamos este ip n scan 200.146.64.222 abra seu navegador e faca assim http://200.146.64.222/index.htm em alguns voce vai em PPP depois em config e tera a senha em xxx agora e so usar um programa que ira mostrar a senha xxxxx o programa que uso pra mostrar a senha e o revelation.
Existem alguns modens que precisao de login e senha pra voce logar neles caso a pessoa nao altere e deixe o padrao e so tentar estes:
Padroes para os modens alcatel, 3com,dslink,dynalink,vinking,greetsspeed
senhas pro alcatel:
login: naum colokanada
senha: keycode&senh@01 ou keycode&senh@02
senha do 3com:
login: root
senha: !root
ou user !root senha !root
senhas do dslink
login: root
senha: root
de alguns modens
Depois vc entra em configuration REMOTE FILES PROFILES DEPOIS EM MODIFY
veja abaixo algumas imagens para que possa entender melhor o scan
gamezi.net/image/imagem.jpg
gamezi.net/image/imagem2.jpg
gamezi.net/image/scan.jpg
Abaixo link download revelation e do scan
www.ijusarang.com/photo/scan+revelation.zip
Agora antencao no scan veja o seguinte e acompanhe na imagem tambem
agora do lado do 255 ou seja no final do ip tem umas setas para baixo aperta nelas entao
olha no seu scan agora do lado do START !! tem umas setas para baixo aperta nelas
tem um box com 3 pontinhos aperta nele ai vai abri uma nova tela e no 1 lugar onde esta escrito ports
coloca assim 21,23 aperta OK ! e comece o scan
Maximiza o SCAN !
depois .. aumenta os espaços entre
IP , PING , HOST NAME
Open PortXegadoS> esta do lado do HOST name
entre duas barras
| |
| |-->
quando vc clica em ping aparece os menores pings e vai aumentando
entao é soh vc clica em OPEN PORTS
que vai aparecer so as abertas
so ip com o icone VERDE que siguinifica porta aberta
Do lado HOST NAME !!
Estara assim
|......IP.....|......PING.....|......HOSTNAME.....|..|
repara que tem mais UM !
mais ele naum aparec
Entao click nesta ultima barra e buxa pra direita
Vai fica assim
|......IP.....|......PING.....|......HOSTNAME.....|....OPEN PORTS....|
So clicar no OPEN PORTS
que os de porta aberta .. fica em cima
By: GAGO
Pages1