Red Hat Training

A Red Hat training course is available for RHEL 8

1.7. Explorações e ataques comuns

Tabela 1.1, “Explorações comuns” detalha algumas das explorações e pontos de entrada mais comuns usados por intrusos para acessar recursos da rede organizacional. A chave para estas explorações comuns são as explicações de como elas são realizadas e como os administradores podem proteger adequadamente sua rede contra tais ataques.

Tabela 1.1. Explorações comuns

ExploraçãoDescriçãoNotas

Senhas nulas ou padrão

Deixar senhas administrativas em branco ou usar uma senha padrão definida pelo fornecedor do produto. Isto é mais comum em hardware como roteadores e firewalls, mas alguns serviços que rodam no Linux também podem conter senhas default de administrador (embora o Red Hat Enterprise Linux 8 não seja enviado com elas).

Comumente associado com hardware de rede como roteadores, firewalls, VPNs e dispositivos de armazenamento conectado à rede (NAS).

Comum em muitos sistemas operacionais antigos, especialmente aqueles que agrupam serviços (como UNIX e Windows)

Os administradores às vezes criam contas de usuários privilegiados com pressa e deixam a senha nula, criando um ponto de entrada perfeito para usuários maliciosos que descobrem a conta.

Chaves compartilhadas por padrão

Serviços seguros, às vezes chaves de segurança padrão de pacotes para fins de desenvolvimento ou testes de avaliação. Se essas chaves forem deixadas inalteradas e colocadas em um ambiente de produção na Internet, all usuários com as mesmas chaves padrão têm acesso a esse recurso de chave compartilhada, e a qualquer informação sensível que ela contenha.

Mais comum em pontos de acesso sem fio e aparelhos de servidor seguro pré-configurados.

IP spoofing

Uma máquina remota atua como um nó em sua rede local, encontra vulnerabilidades com seus servidores e instala um programa de backdoor ou cavalo de Tróia para ganhar controle sobre os recursos de sua rede.

O spoofing é bastante difícil, pois envolve o atacante prever números de seqüência TCP/IP para coordenar uma conexão com sistemas alvo, mas várias ferramentas estão disponíveis para ajudar os crackers a realizar tal vulnerabilidade.

Depende dos serviços do sistema alvo (tais como rsh, telnet, FTP e outros) que utilizam técnicas de autenticação source-based, que não são recomendadas quando comparadas com PKI ou outras formas de autenticação criptografada utilizadas em ssh ou SSL/TLS.

Espionagem

Coleta de dados que passam entre dois nós ativos em uma rede através da escuta da conexão entre os dois nós.

Este tipo de ataque funciona principalmente com protocolos de transmissão de texto simples, tais como Telnet, FTP e transferências HTTP.

O atacante remoto deve ter acesso a um sistema comprometido em uma LAN para realizar tal ataque; geralmente o cracker usou um ataque ativo (como IP spoofing ou man-in-the-middle) para comprometer um sistema na LAN.

Medidas preventivas incluem serviços com troca de chaves criptográficas, senhas únicas ou autenticação criptografada para evitar a bisbilhotice de senhas; uma criptografia forte durante a transmissão também é aconselhada.

Vulnerabilidades de serviço

Um atacante encontra uma falha ou lacuna em um serviço executado através da Internet; através desta vulnerabilidade, o atacante compromete todo o sistema e quaisquer dados que ele possa conter, e pode possivelmente comprometer outros sistemas na rede.

Serviços baseados em HTTP, como CGI, são vulneráveis à execução de comandos remotos e até mesmo ao acesso de shell interativo. Mesmo que o serviço HTTP seja executado como um usuário não-privilegiado, como "ninguém", informações como arquivos de configuração e mapas de rede podem ser lidas, ou o atacante pode iniciar um ataque de negação de serviço que drena recursos do sistema ou o torna indisponível para outros usuários.

Serviços às vezes podem ter vulnerabilidades que passam despercebidas durante o desenvolvimento e testes; estas vulnerabilidades (tais como buffer overflows, onde atacantes quebram um serviço usando valores arbitrários que enchem o buffer de memória de uma aplicação, dando ao atacante um prompt de comando interativo a partir do qual podem executar comandos arbitrários) podem dar controle administrativo completo a um atacante.

Os administradores devem certificar-se de que os serviços não sejam executados como usuário root, e devem ficar atentos às atualizações de correções e erratas para aplicações de fornecedores ou organizações de segurança, tais como CERT e CVE.

Vulnerabilidades de aplicação

Os atacantes encontram falhas em aplicações desktop e estações de trabalho (como clientes de e-mail) e executam código arbitrário, implantam cavalos de Tróia para futuros compromissos, ou sistemas de crash. Exploração adicional pode ocorrer se a estação de trabalho comprometida tiver privilégios administrativos sobre o resto da rede.

As estações de trabalho e os desktops são mais propensos à exploração, pois os trabalhadores não têm o conhecimento ou a experiência para evitar ou detectar um comprometimento; é imperativo informar as pessoas sobre os riscos que estão correndo quando instalam software não autorizado ou abrem anexos de e-mail não solicitados.

As salvaguardas podem ser implementadas de modo que o software do cliente de e-mail não abra ou execute automaticamente os anexos. Além disso, a atualização automática do software da estação de trabalho usando Red Hat Network; ou outros serviços de gerenciamento de sistemas podem aliviar a carga de implementações de segurança com vários assentos.

Ataques de Negação de Serviço (DoS)

O atacante ou grupo de atacantes coordena contra os recursos da rede ou do servidor de uma organização, enviando pacotes não autorizados ao host alvo (seja servidor, roteador ou estação de trabalho). Isto força o recurso a ficar indisponível aos usuários legítimos.

O caso mais relatado de DoS nos EUA ocorreu em 2000. Vários sites comerciais e governamentais altamente traficados foram tornados indisponíveis por um ataque coordenado de inundação ping usando vários sistemas comprometidos com conexões de alta largura de banda agindo como zombies, ou nós de transmissão redirecionados.

Os pacotes-fonte são geralmente forjados (assim como retransmitidos), tornando difícil a investigação sobre a verdadeira origem do ataque.

Avanços na filtragem de entrada (IETF rfc2267) usando iptables e Sistemas de Detecção de Intrusão de Rede como snort ajudam os administradores a rastrear e prevenir ataques de DoS distribuídos.