Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

1.4. Explorações Comuns e Ataques

Tabela 1.1, “Explorações Comuns” detalha algumas das explorações mais comuns e pontos de entrada usados por invasores para acessar recursos de rede organizacionais. A chave para estas explorações comuns são explicações de como elas são realizadas e como os administradores podem proteger adequadamente sua rede contra tais ataques.

Tabela 1.1. Explorações Comuns

Exploração Descrição Notas
Senhas Nulas ou Padrão Deixar as senhas administrativas em branco ou usar um conjunto de senhas padrões definidas pelo fabricante do produto. Isto é mais comum em hardwares como routers e firewalls, embora alguns serviços aplicados no LInux possam conter senhas de administração padrão (embora o Red Hat Enterprise Linux não é distribuído com eles).
Geralmente associado ao hardware de rede, tais como os equipamentos de routers, firewalls, VPNs e armazenamento de rede anexado (NAS).
Comum em muitas legacias de sistemas operacionais, especialmente aqueles que agrupam serviços (como o UNIX e Windows).
Os administradores as vezes criam contas de usuários privilegiadas às pressas e deixam a senha em branco, criando um ponto de entrada perfeito para usuários mal-intencionados que descobrem a conta.
Chaves Compartilhadas Padrão Serviços seguros as vezes empacotam chaves de segurança padrão para o desenvolvimento ou avaliação para propósitos de testes. Se estas chaves são deixadas como estão e colocadas em um ambiente de produção na Internet, todos os usuários com as mesmas chaves padrões possuem acesso ao recurso de chave compartilhada e qualquer informação confidencial que ele contenha.
O mais comum em pontos de acesso wireless e equipamentos de servidor seguro pré-configurados.
IP Spoofing Uma máquina remota que age como um nó em sua rede local, encontra vulnerabilidades em seus servidores e instala um programa de backdoor (porta-dos-fundos) ou um trojan horse para obter controle sob seus recursos de rede.
Spoofing é um tanto difícil, pois ele envolve que o atacante prediga os números da sequência do TCP/IP para coordenar uma conexão aos sistemas alvo, mas diversas ferramentas estão disponíveis para ajudar os invasores a explorar tal vulnerabilidade.
Depende do sistema alvo que está executando os serviços (tal como rsh, telnet, FTP entre outros) que usam as técnicas de autenticação sem criptografia, que não são recomendadas quando comparadas ao PKI ou outras formas de autenticação criptografadas usadas em ssh ou SSL/TLS.
Eavesdropping (Interceptação) Uma coleta dos dados que passam entre dois nós ativos em uma rede, interceptando a conexão entre os dois nós.
Este tipo de ataque funciona mais com protocolos de transmissão de texto simples como o Telnet, FTP, e transferências de HTTP.
Invasores remotos devem ter acesso ao sistema comprometido em uma LAN para realizar tal ataque. Geralmente o atacante usou um ataque ativo (como o IP spoofing ou man-in-the-middle) para comprometer um sistema na LAN.
Medidas preventivas incluem serviços com troca de chave criptográfica, senhas de uma vez, ou autenticação criptografada para prevenir que senhas sejam roubadas. Uma criptografia forte durante a transmissão também é recomendada.
Vulnerabilidades de Serviços Um atacante encontra um defeito ou um furo em um serviço executado sob a Internet; através desta vulnerabilidade, o atacante compromete todo o sistema e qualquer dado que ele possa conter, e pode possivelmente comprometer outros sistemas na rede.
Os serviços baseados em HTTP como o CGI são vulneráveis à execução de comando remoto e até mesmo acesso de shell interativo. Mesmo se o serviço HTTP executasse um usuário não privilegiado como "nobody", informações como arquivos de configuração e mapas de rede poderiam ser lidos ou o atacante pode iniciar uma negação de ataque de serviço que drena os recursos do sistema ou o torna indisponível para outros usuários.
Os serviços as vezes podem conter vulnerabilidades que passam despercebidas durante o desenvolvimento e teste; estas vulnerabilidades (tais como buffer overflows, onde atacantes quebram um sistema usando valores arbitrários que preenchem o buffer de memória de um aplicativo, (dando ao atacante o pedido de comando interativo do qual eles podem executar comandos arbitrários) pode fornecer controle administrativo completo ao atacante.
Administradores devem ter certeza de que os serviços não são executados como root, e devem estar atentos às correções e atualizações de erratas para aplicativos de fabricantes ou organizações de segurança como o CERT e CVE.
Vulnerabilidades de Aplicativos Atacantes encontram falhas em desktops e aplicativos de estações de trabalho (tal como clientes de email) e executam códigos arbitrários, implementam trojan horses para comprometimento futuro ou quebra de sistemas. Explorações futuras podem ocorrer se a estação de trabalho comprometida possui privilégios administrativos no resto da rede.
As estações de trabalho e desktops têm mais tendência a serem exploradas pois os funcionários não possuem o conhecimento ou experiência de evitar ou detectar o comprometimento. É crucial informar indivíduos dos riscos que correm quando instalam softwares não autorizados ou abrir anexos de emails não solicitados.
Medidas de segurança podem ser implementadas para que clientes de email não abram automaticamente ou executem anexos. Além disso, a atualização automática de software da estação de trabalho via Red Hat Network ou outros serviços de gerenciamento de sistemas podem aliviar a carga da implementação de segurança de máquina em máquina.
Ataques Denial of Service (DoS) O atacante ou grupo de atacantes coordenam contra uma rede de uma empresa ou recursos de servidor enviando pacotes não autorizados ao host alvo (tanto o servidor, router ou estação de trabalho). Isto força o recurso a se tornar indisponível para usuários legítimos.
O caso de ataque DoS mais reportado nos E.U.A. ocorreu em 2000. Diversos sites do governo e comerciais com alto índice de tráfego se tornaram indisponíveis por um ataque coordenado de inundação de pings, usando diversos sistemas comprometidos com conexões de banda larga agindo como zombies, ou nós de broadcast redirecionados.
Pacotes fonte são geralmente forjados (assim como retransmitidos), tornado a investigação da verdadeira fonte de ataque um tanto difícil.
Avanços nos filtros de ingresso (IETF rfc2267) usando o iptables e Network Intrusion Detection Systems como o snort assistem administradores no rastreamento e previnem ataques distribuídos do DoS.