domingo, 16 de maio de 2010

Scanners Introdução

Scanners
Definição
Todos sabemos que nenhum sistema é perfeito. Falhas em programas e sistemas existem
sim e são uma ameaça à segurança. Geralmente ocorre do seguinte modo: um administrador
acidentalmente descobre que algum recurso do seu sistema gera um erro em resposta a algum
tipo de pedido. Para exemplificar, suponhamos que a rede em que o administrador trabalha só
se comunica gerando mensagens de “olá”. Um dia ele escreve “alô” sem querer e descobre
que ao enviar a mensagem para outra máquina, ela fica confusa e trava. Bem, a resposta
deveria dizer “Desculpe, só olá aceito”. Foi descoberto um bug. Agora imagine que centenas
de bugs são descobertos a cada dia e que o seu sistema “confiável” de hoje, pode ser
destruído amanhã. Existem algumas saídas para fazer uma análise mais garantida. A primeira
é que você se torne um completo nerd e conheça desde o primeiro ao último bug existente. Se
você trabalha com mais de um tipo de sistema operacional então, boa sorte. Uma outra saída,
infinitamente mais eficaz, é a utilização de scanners. São programas que analisam um
sistema ou rede em busca de falhas de qualquer tipo. Existem dezenas de scanners diferentes,
cada um com suas vantagens. Aprendendo melhor sobre eles, poderá se proteger melhor e
evitar que algum invasor malicioso dê um passo à sua frente.
Descobrindo falhas em um host
Para entender qual a parte do seu sistema é mais vulnerável, você terá que pensar com
malícia. Ora, se você usa um firewall e desabilita o acesso externo aos servidores de FTP e
Telnet, com certeza eles não serão a sua maior preocupação. Em alguns hosts , deixa-se
habilitada apenas a porta 80 (www) para acesso externo. Muitos se sentem seguros desse
modo. Mas enganam-se. Atualmente, a quantidade de falhas existentes em servidores World
Wide Web é absurda. Tanto Internet Information Server quanto Apache ou qualquer outro,
possuem erros. Alguns deles tão perigosas que possibilitam acesso ao interpretador de
comandos do sistema, podendo gerar uma “entrada” para o invasor na rede. Outros podem
fazer com que se consuma toda a memória existente, causando um Buffer Overflow( nome
dado ao travamento do sistema devido a falhas de memória). Vamos dividir o nosso estudo
sobre scanners em partes: os scanners de portas, scanners de host, scanners netbios e scanners
de vulnerabilidade.
53
Portas abertas com serviços ativos
Ao contrário do que popularmente se pensa, não é tão fácil assim invadir um
computador pessoal. Nós já sabemos que o sistema é composto de 65535 portas TCP e UDP.
Em servidores, muitas delas possuem serviços rodando, tais como:
21 – FTP (File Transfer Protocol)
23 – TELNET
25 – SMTP (Simple Mail Transfer Protocol)
79 – FINGER
80 – WWW
Esses são apenas alguns dos muitos serviços que são rodados em computadores de
empresas que precisam estabelecer contato com filiais e clientes. Realmente, um sistema que
possua os seguintes serviços acima ativos, pode ganhar sérios problemas com segurança. Mas
imagine o seu computador na sua casa, em cima da mesa da sala, cheio de joguinhos dos seus
filhos e que você só utiliza para ler e-mails e navegar pelas homepages. As portas da sua
máquina estão descansando totalmente. Às vezes, uma ou outra se abre para estabelecer
conexão com um site, ou mandar uma mensagem pelo ICQ. Mas essas são randômicas, ou
seja, a cada vez que uma conexão for feita, a porta mudará. Isso impede que algum invasor
fique à espreita e tente se conectar a portas padrões. Dificulta, mas não impede. Algum
cavalo de tróia instalado sem você saber pode abrir uma porta qualquer e permitir a conexão
de qualquer pessoa. Para saber quais portas estão abertas em um sistema remoto, utilizamos o
scan de portas. Existem muitos e muitos programas desse tipo. Alguns exemplos são o
Cha0scan , o Shadow Scan e o Haktek.
Funcionam da seguinte maneira: vão tentar se conectar a todas as portas de um endereço ip
fornecido, mostrando todas as portas encontradas “ativas” e o seu conteúdo. É uma boa
táticas para encontrar cavalos de tróia sem depender de anti-vírus, já que todos usam portas.
Exemplo: eu quero analisar o meu próprio computador para saber se têm alguma porta aberta.
54
Para isso, vou usar o HakTek. Então mando o programa tentar scannear portas no endereço
127.0.0.1( o chamado endereço de loopback. Serve para quando você não está conectado na
Internet e precisa utilizar algum programa de análise que precise de endereço IP). Encontrei
as seguintes portas ativas:
80
1256
21554
31337
Ora, a primeira porta eu sei que é o servidor de páginas que rodo no meu pc. Mas e as
outras três? A porta 1256 era a que o icq havia aberto na hora. As outras duas são portas de
trojans que usei como teste. A porta 21554 é do trojan Girlfriend e a porta 31337 é do Back
Orifice.
O único problema desse scan é que como ele foi feito nas três vias do tcp (syn, syn-ack,
ack) pode ser facilmente detectado por sistemas IDS (detecção de intrusos). Uma boa saída é
usar o NMAP , disponível tanto em Windows NT quanto Linux. Utilizando-o, você pode
scannear portas de maneira furtiva, sem realizar as três vias do tcp. Ele possui muitas opções
diferentes para scan de portas, experimente-as.
Máquinas ativas da subnet
O segundo tipo de scanner estudado, é o mais usado quando o objetivo do invasor é
determinar todos os hosts ativos da subnet e saber seus nomes (DNS). Assim, vamos supor
que o endereço principal de um provedor é www.phela.com.br. Usamos um ping qualquer,
ou o próprio scanner, e descobrimos que o endereço ip é 200.205.215.37. Agora vou utilizar o
scanner de hosts para saber quais outras máquinas dessa rede estão ativas.
200.205.215.9 – diretoria.phela.com.br
200.205.215.34 – laboratorio.phela.com.br
200.205.215.35 – milho.phela.com.br
200.205.215.36 – gilmara.phela.com.br
200.205.215.37 – server.phela.com.br
200.205.215.65 – route.phela.com.br
Com isso conseguimos informações importantes do sistema. Sabemos por exemplo qual
é o endereço do roteador, e onde deve ficar informações importantes. Se fosse um site de
comércio eletrônico por exemplo, as chances de conseguir os dados era enorme, pois mesmo
que o invasor não conseguisse acesso diretamente ao computador 200.205.215.37 (que pode
inclusive ser um firewall) ele poderia se conectar a um outro IP da subnet e conseguir os
dados a partir dele. Às vezes poderia haver algum backup perdido por aí. Alguns bons
scanners de hosts são o Shadow Scan e o Haktek. Claro que para Unix e Linux existem outros
muito melhores.

0 comentários:

Postar um comentário

Proibido palavras ofensivas, racistas ou descriminatórias.

[Seu Comentário será liberado no máximo em 24horas]