Técnicas de Crackers para entrar em redes corporativas e privadas (parte 2)

[dark_soldier]

4.3 Instalando Sniffers

Uma maneira extremamente efetiva dos crackers obterem rapidamente uma grande quantidade de usernames e passwords dos hosts da rede interna é usar programas especiais chamados de "Ethernet Sniffers". Os tais sniffers (farejadores) precisam operar na mesma ethernet usada pelo host do qual o cracker deseja obter acesso, ele não será efetivo se for executado em um host externo que esteja sendo usando como bridge por exemplo.

Para "farejar" o fluxo de dados em uma rede interna, o cracker precisa fazer uma invasão remota ao um host e obter acesso root, este host precisa ter também o mesmo número de Ethernet dos outros host internos. As técnicas mencionadas nas seções 3.2, 3.3, 3.4, 3.5 e 3.6 são adotadas aqui, já que o cracker precisa acessar e instalar backdoors no host para certificar-se que o sniffer possa ser instalado e usado efetivamente.
Depois de invadir, instalar as backdoors e instalar trojans nos binários "ps" e "netstat", o cracker instalará o ethernet sniffer no host. Os sniffers usualmente são instalados nos diretórios /usr/bin ou /dev (no Solaris 2.x), eles são também modificados para que se pareçam com um binário do sistema qualquer.

Muitos ethernet sniffers executam em modo "background" e produzem um arquivo de log na máquina local, é importante lembrar que o cracker terá uma backdoor instalada no "ps", para que este processo não seja percebido pelo administrador.

Tais etherent sniffers funcionam mudando a interface de rede para o chamado "modo promíscuo", esta interface então "ouve" e manda os dados para o arquivo de log do sniffer quaisquer usernames, passwords ou outros dados que possam ser usados para obter acesso a outros hosts da rede.

Por estes programas estarem instalados em ethernets, literalmente quaisquer dados que trafegam na rede podem ser "farejados"; tanto o tráfego de dados que passa pelor este host como o tráfego que sai dele pode ser farejado.

O cracker usualmente retornará uma semana depois e fará o download do arquivo de logs que o sniffer produziu. No caso de uma rede corporativa ter uma brecha como esta, está mais do que claro que o sniffer funcionará muito bem, e dificilmente será detectado se uma boa política de segurança não for implementada.

Um excelente utilitário usado por administradores conscientes é o "TripWire" disponível no site do COAST (veja seção 5.2). O Tripwire faz uma espécie de MD5 (checkSum) em seu sistema de arquivo e notificará qualquer mudança feita neles.

Para detectar interfaces de redes promíscuas (um sinal comum de instalação de sniffers), a ferramanta "cpm" disponível no site da CERT é muito útil, veja o endereço http://www.cert.org/ft/tools/cpm/ para mais informações.

4.4 "Tomando" redes

Se o cracker pode comprometer servidores considerados críticos que estejam executando aplicações como bases de dados, operações de sistemas de rede ou outras "funções críticas", ele pode facilmente "tomar" a sua rede por um certo período de tempo.

Uma técnica cruel, mas não usual adotadas pelos cracker que tentam desabilitar as funções da rede, é a de deletar todos os arquivos dos servidores principais, usando o comando "rm -rf / &" neste servidor. Dependendo da política de backups do sistema, ele poderá ficar por horas inutilizável ou até meses.

Se o cracker obteve acesso a sua rede interna, ele poderá abusar das vulnerabilidades presentes em muitos roteadores como Cisco, Bay e Ascend. Em alguns casos ele pode resetá-los ou desligá-los até que o administrador tome providências e os reative. Isto pode causar grandes problemas com a funcionalidade da rede, já que o cracker montou uma lista dos roteadores vulneráveis que executam papéis fundamentais na rede (se eles forem usados em algum backbone corporativo, por exemplo). O cracker pode então facilmente desabilitar a rede da corporação por algum tempo. Por este motivo, é fundamental que os roteadores e servidores de "missão critica" sejam especialmente verificados, instalando patches e cuidando de sua segurança.

Fonte: http://www.aheadinformatica.com.br/text ... ackers.php