Introdução

As pessoas que se importam com a segurança do seu computador são geralmente paranóicas quando o assunto é invasão, principalmente quando lêem repetidamente a frase mágica que diz que você nunca está seguro. Vamos tentar esclarecer como funciona uma invasão.

Definição: Serviço

Durante este artigo utilizarei diversas vezes a palavra serviço. Serviços são diversos softwares que abrem portas no seu computador com o objetivo de fornecer um serviço ou funcionalidade. Alguns exemplos:

  • Servidores HTTP, FTP, Telnet e Banco de Dados
  • Compartilhamento de arquivos e pastas
  • Serviços do sistema que abrem conexões no seu computador
  • Clientes P2P escutam por conexões para enviar arquivos

Importante: Nem todos os Serviços listados no painel Serviços no Windows 2000/XP abrem portas. Nesse artigo, somente um serviço que abre portas no sistema e recebe conexões será considerado um “Serviço”. Um navegador de Internet também abre portas no sistema, mas o estado da porta não permite que ela receba conexões, portanto não é um Serviço.

A Invasão

A invasão propriamente dita só ocorre de uma forma: um indivíduo malicioso se conecta em um serviço falho do seu computador para conseguir acesso. O problema está nesse serviço, sejam falhas de segurança ou erros de configuração. Não é possível que ele entre de qualquer outra forma. Seu sistema está seguro quando todos os serviços estão com as versões mais atuais e, quando necessitam configurações, sem erros na configuração.

Para conseguir explorar as falhas desse serviço, o cracker precisa, primeiramente, ser capaz de conectar-se nele. É por este motivo que um firewall é importante: se você estiver usando um, o cracker não vai conseguir se conectar no seu serviço, mesmo que ele esteja com problemas.

Certos serviços não precisam possuir falhas para causar problemas, como o Telnet (onde o problema pode ser uma senha fraca) ou o Compartilhamento de arquivos e Pastas (onde os compartilhamentos sem senha podem ser acessados por qualquer pessoa na Internet). Em todos os casos, é sempre necessário que alguém conecte no seu computador. Se o seu computador rejeitar a conexão, não será possível fazer mais nada.

Como ocorre a invasão

  1. Cracker conecta no seu computador na porta onde está o serviço
  2. Cracker explora falha de segurança ou falha de configuração no serviço
  3. Cracker consegue acesso ao seu computador com os mesmos privilégios do serviço

Vamos supor que você está rodando um serviço falho (por exemplo, uma versão antiga do MySQL) com as permissões de administrador do sistema. O cracker que explorar a falha neste serviço terá estas mesmas permissões.

O worm Blaster nada mais é do que uma ‘invasão automática’. O worm invade o serviço de Chama de Procedimento Remoto e ganha as permissões de sistema. Com esta permissão, ele se envia para o computador da vítima e se instala. Da mesma forma o OpaServ explorava erros de configuração E falhas no serviço de compartilhamento de arquivose impressora.

Um cracker poderia fazer exatamente o mesmo sem problema nenhum e instalar diversos tipos de programas ou trojans no seu computador e, portanto, o que previne um também previne o outro. Instalar a “correção do Blaster”, na verdade, corrige a falha do serviço e, quando um cracker (ou outro worm)tentar explorar a falha, nada vai acontecer.

Páginas: 1 2 3

Escrito por Altieres Rohr

Editor da Linha Defensiva.

Todos os posts Website