|
Segurança da Informação, Curso |
 |
 |
 |
|
Escrito por Alexander Kohler
|
|
Qui, 16 de Outubro de 2008 18:40 |
Curso básico de Segurança da Informação
Uma abordagem técnica e conceitual para usuários finais
New York (EUA) - Já ultrapassam 20 horas e 600 reféns no atentado ao Aeroporto Internacional JFK em New York, onde um grupo de hackers terroristas assumiu o controle de todas as operações de pouso e de decolagem do aeroporto, após um pronunciamento acalorado do presidente dos Estados Unidos da América, ao apoiar o secretário geral de defesa e decretar "um fim ao vandalismo e à guerra virtual que assola a internet".
Os maiores especalistas dos EUA e do mundo estão reunidos buscando uma solução para o problema, inclusive acatando o pagamento do resgate no valor de 2,5 bilhões de dólares, exigido pelo grupo terrorista. "O problema de pagarmos o resgate é que não temos garantias. Precisamos confiar nos hackers de que após a transferência desta quantia eles nos retornem o controle do aeroporto. Nem mesmo nossas técnicas de 'transferência fantasma' funcionariam para simular o pagamento, pois eles nos parecem ter total controle das nossas movimentações bancárias", declara John Smith, secretário de defesa e principal negociador, "estamos completamente perdidos", desabafa.
Como agravante da situação, os aeroportos próximos a New York e as freqüências de rádio estão sendo monitorados e manipulados pelos hackers no intuito de direcionar o tráfego aéreo para o JFK. Com isso o grupo já conseguiu impedir a fuga de vários aviões e os obrigou a pousar sob ameaças de mudança de rota e colisões no ar. Muitos não têm combustível suficiente para chegar a tempo em um aeroporto seguro e são obrigados a obedecer. O prejuízo calculado pelo aeroporto internacional já chega a 200 milhões de dólares em atrasos e vôos cancelados e as perdas causadas pela imagem da empresa e a falta de confiança no sistema são incalculáveis.
O cenário acima é pura ficção científica, só não sabemos ainda até quando. A cada dia centenas de sistemas vitais estão sendo interconectados, operando em conjunto com outros sistemas, tornando a vida das pessoas cada dia mais fácil - e perigosa! São sistemas de controle médico: máquinas de vigilância de pacientes, diagnósticos pela rede e até cirurgias online; Controle aéreo: interoperabilidade entre diversos aeroportos; Trânsito: semáforos, pontes móveis, pedágios; Até sistemas de monitoramento de vulcões que mandam seus alarmes pela rede...
Infelizmente não é um tópico muito distante para que digamos: "isso não é comigo, só quero ficar no meu chat e fazer meus trabalhos em paz". Todos nós devemos nos preocupar com a segurança de agora em diante, ou então estaremos nas mãos das pessoas que se aproveitaram do fato de não darmos muita importância a isso. Certamente você não precisa aprender a proteger um sistema de controle de tráfego aéreo, mas está na hora de começar a adquirir hábitos de comportamento seguro.
Durante toda a evolução, os primatas que criaram o hábito de acender uma fogueira na entrada das suas cavernas durante a noite viviam mais, ao contrário dos outros que, vez por outra, eram devorados por tigres dentes-de-sabre. Este costume se espalhou e, mesmo que os mais novos não soubessem o motivo da fogueira, este "comportamento adquirido" era de extrema importância para a sua sobrevivência.
Com esta matéria, estaremos dando início a uma série sobre Introdução à Segurança de Sistemas Computacionais, direcionada ao usuário final - àquele que utiliza os computadores como um "meio" para se chegar ao objetivo, seja administrar sua agenda pessoal, seu escritório ou até mesmo passar simples emails e se divertir pela rede.
A proposta do Curso Básico de Segurança na Internet é, antes de tudo, conscientizar você de que a segurança é muito mais do que um simples ramo de trabalho ou um bom método de vendedores de anti-vírus ficarem ricos. Ela não faz parte do futuro, ela já está presente em nosso cotidiano e precisamos nos adaptar.
Vamos entrar em uma era virtual onde o mundo estará evoluindo mais rápido que nossos pensamentos, onde cada falha pode custar nossas carreiras, onde a competição entre seres da mesma espécie chegará a um nível nunca visto antes na natureza. Precisamos acender uma fogueira na entrada da nossa caverna!
Inicie aqui sua leitura e boa sorte!
Capítulo 1
Identificando os principais problemas de segurança
Existem diferenças fundamentais na segurança voltada para o mercado corporativo onde nos deparamos com a utilização de tecnologias avançadas com alta capacidade de tráfego e gerenciamento de estações quando comparadas à segurança voltada para o mercado doméstico, do usuário da internet ou da dona de casa que guarda suas receitas no micro (microcomputador, não microondas, ainda...). ;-)
O objetivo do nosso curso básico é ajudar a resolver os problemas do usuário doméstico, aquele que lê seus emails, faz sua pesquisa escolar ou consultas para seu escritório e aquele que usa computadores por diversão em bate-papos, jogos, paqueras etc. Neste capítulo estaremos mostrando os principais atentados à segurança que você pode sofrer usando o seu computador pessoal.
Estes atentados se dividem em três grandes categorias que muitas vezes estão interligadas, sendo necessário um ataque à uma categoria antes de se iniciar ataques as outras. São elas: (1) ataques à privacidade, (2) destruição e (3) obtenção de vantagens.
Ataques à privacidade - Este é o ataque direto mais comum ao usuário doméstico. Assim como muitas pessoas têm compulsão em ler correspondência alheia ou observar vizinhos com lunetas, hackers têm compulsão em "dar uma olhadinha" na sua vida pessoal e a melhor maneira de se descobrir coisas sobre a vida de uma pessoa é olhando dentro do seu computador. Os principais alvos são os seus emails mandados, recebidos e apagados, seu histórico de visitação de sites ou seus "arquivos.doc", onde podem conter cartas, procurações, contratos e até aqueles poeminhas que você fez e jurou jamais mostrá-los a alguém.
Destruição - Apesar de ser perfeitamente possível para um hacker, uma vez estando dentro do seu computador, destruir seus dados, as estatísticas mostram que na grande maioria dos incidentes nos quais há perdas de informação a causa é a ação de vírus ou programas com funções semelhantes, que raramente são implantados de forma proposital. Geralmente a infecção ocorre com programas recebidos de terceiros que muitas vezes também não sabem que estão infectados. As conseqüências podem ser as piores, pois os usuários domésticos não têm o costume de fazer backups dos dados do seu computador pessoal.
Obtenção de Vantagens - Para se obter vantagens causando incidentes de segurança nos computadores pessoais geralmente é necessária a utilização de técnicas onde primeiro a vítima será exposta a ataques de privacidade ou destruição. As motivações deste tipo de ataque são tão distintas quanto seu próprio objetivo real.
Por exemplo, garotos podem invadir computadores de amigos para obter informações ou destruir dados com o único intuito de se vangloriar perante a vítima derrotada, atitude normal nas definições de status e liderança em qualquer grupo animal. Outros podem ter objetivos mórbidos, como o simples prazer na destruição, sem importar-se com a sua tese de mestrado na qual trabalhou quase dois anos. E, como não poderia deixar de ser, as vantagens financeiras estão presentes com uma fatia assustadora dos objetivos de ataques a computadores pessoais.
Faça isso agora: classifique a informação presente no seu computador pessoal. Não só a informação que fica armazenada nele mas, principalmente, a informação que "passa" por ele. Você verá que a informação armazenada, apesar de ter toda a sua atenção e preocupação, corresponde a apenas parte do problema no caso de uma quebra de segurança no seu computador. Você pode não deixar gravado no seu computador o número do seu cartão de crédito ou a sua senha do internet banking, mas esta informação, após ter sido digitada, faz parte do seu computador temporariamente. O que alguns hackers fazem é monitorar seu computador e esperar por informações deste tipo. Com esta informação na mão eles podem abandonar seu computador e quem sabe até fechar a porta por onde eles entraram para não levantar futuras suspeitas. O último a sair apaga as luzes!
Com base apenas nestas informações, tente responder às seguintes perguntas: Você usaria hoje, em seu computador pessoal, um programa de internet banking para fazer transferências de dinheiro? Você faria compras na internet, mesmo sabendo que o site/loja possui um servidor seguro, digitando seu cartão de crédito no seu computador pessoal? Você trataria de assuntos importantes na sua vida pessoal e profissional, na qual se utiliza de dados particulares, através de simples emails? Caso tenha respondido "não" às três perguntas, responda mais essa: Para que serve a internet?
Felizmente temos meios de impedir - ou, pelo menos, de dificultar enormemente - as ações que põe em risco nossa vida online. O risco sempre vai existir, assim como existe na nossa vida fora dos bits e bytes. A questão é trazer o "grau de risco" a um nível aceitável, de modo que possamos evoluir na utilização da tecnologia até um patamar mais confiável e conseqüentemente mais eficaz, porque, sem segurança, a internet não vai passar de uma grande idéia ou de um caro brinquedo.
Capítulo 2
Fechando as portas do seu computador
Computadores e equipamentos informatizados podem se comunicar uns com os outros através de padrões estabelecidos que ditam como cada participante da conversa deve se comportar. O padrão utilizado na Internet (e na maioria dos sistemas atuais) é o chamado "Cliente/Servidor". Você certamente já ouviu falar disso mas, afinal, do que se trata?
A comunicação em um ambiente cliente/servidor é composta de dois módulos básicos: um módulo que faz requisições de serviços - cliente - e outro que recebe estes pedidos para executar as tarefas pedidas - servidor - e, eventualmente, retornar o resultado desta tarefa. Você utiliza enormemente este esquema durante sua conexão internet. Por exemplo, o seu navegador - que é o programa cliente - fez um pedido ao programa servidor instalado nos computadores onde estão hospedadas as páginas deste site, que o recebeu e respondeu com a página pedida - esta que você está lendo agora. O mesmo acontece quanto você verifica seus emails, baixa arquivos etc.
Como você já deve ter imaginado, a maior parte dos programas utilizados no seu computador só precisa fazer pedidos e esperar a resposta, ou seja, são programas clientes. Teoricamente é isso o que deve acontecer, mas nem sempre nossos computadores são tão inofensivos. Os grandes vilões dos últimos anos são programas que invertem este papel, fazendo com que nossos computadores se tornem servidores. A maioria arrasadora vem na modalidade de 'cavalos-de-tróia' (discutiremos sobre ela mais tarde), por isso se convencionou a chamar este método de 'invasão através de cavalos-de-tróia'.
O que acontece, geralmente, é que um usuário recebe um programa de alguém, através de qualquer meio - por email, ICQ, fazendo um download ou por disquete - e o executa em seu computador. Este programa, após ser executado, instala um 'servidor' que passa a responder aos pedidos de conexão pela Internet, ou seja, seu computador adquire as características de um 'servidor internet'. Os tipos de pedidos que ele pode aceitar e executar variam de acordo com o 'servidor' instalado.
Uma característica presente neste tipo de comunicação é a necessidade de se atribuir 'portas de comunicação' por onde os pedidos e as respostas irão passar. Todos os programas para uso na Internet se utilizam destas portas que geralmente são abertas com o intuito de fazer pedidos a servidores remotos. Quando um computador está, digamos, 'infectado' por um programa servidor, este abre uma porta naquele, de forma a permitir que outros computadores façam pedidos através dela.
Com base nesta explicação, percebemos que não é necessário nem interessante impedir que nossos computadores abram portas. Se isso for feito, nenhum dos nossos programas irá funcionar. O que precisamos fazer é impedir que programas maliciosos abram portas para receber conexões! Através delas é que hackers podem vasculhar seu computador.
E como fechar as portas? Simples, vamos usar um exemplo: eu vejo que meu computador tem uma porta aberta e sei que esta porta é referente ao programa de email, pois eu estou checando minha caixa postal no provedor e sei que é necessário uma porta para isso. Se eu quiser fechá-la, basta fechar meu programa de email. Parece simples, mas o problema é identificar a que programa uma porta está relacionada. Além desta identificação ser complexa, caso encontremos uma porta relacionada a um servidor malicioso precisaremos ainda encontrar o próprio programa servidor, que na grande maioria das vezes está escondido ou inacessível.
O ideal neste caso é deixar a identificação destes programas a cargo de outros programas especializados nessa procura. Ao encontrar e remover um programa servidor do seu computador, a porta associada a ele será automaticamente fechada, já que não há mais nenhum programa responsável por abrí-la. Estes rastreadores podem ser programas especializados em procura de 'servidores maliciosos' conhecidos ou mesmo programas anti-vírus, já que o método utilizado para se vasculhar o computador é semelhante ao utilizado para se encontrar um vírus.
Para se fazer um teste em seu computador ou, se apenas por curiosidade, quiser verificar as portas que estão sendo abertas, o comando que mostra estas conexões é o 'netstat'. Executando este programa com o parâmetro '-a', serão mostradas todas as conexões ativas, por exemplo:
(Iniciar > Arquivos de Programas > Prompt do MS-DOS)
c:\>netstat -a
Conexões ativas
Proto Endereço local Endereço externo Estado
TCP localhost:1249 www.uol.com.br:80 ESTABLISHED
A listagem original possui várias e várias linhas como esta, cada uma relatando o estado de uma porta de conexão. O exemplo acima nos diz que meu computador (localhost) está se comunicando pela porta 1249 com o computador no endereço www.uol.com.br, que está recebendo os pedidos pela porta 80. A conexão foi estabelecida (Established). A porta 80 está especificada mundialmente como sendo a porta padrão para a Web. Resumindo, estou navegando no site do Universo Online.
O que muitos usuários fazem após a execução deste comando é entrar em desespero, pois mesmo em condições normais e, dependendo da configuração do computador de cada pessoa, muitas portas podem aparecer abertas. Elas são responsáveis pelo funcionamento do Windows, principalmente (mas não exclusivamente) em rede. O método usado para se identificar servidores maliciosos com base nas portas que eles abrem é extremamente falho pois, além desta porta poder ser alterada, existem muitos programas e muitas portas disponíveis, e alguns deles utilizam portas que não podem ser fechadas, pois afetaria o funcionamento do sistema.
Por isso a recomendação é a de não se preocupar com o relatório de portas e sim com os programs instalados no seu computador. E, como já foi dito, isto pode ser feito utilizando programas específicos para estas tarefas, ou bons anti-vírus atualizados. Dessa forma, estaremos cortando o mal pela raíz.
Capítulo 3
Identificando vírus e programas maliciosos
A grande maioria dos problemas relacionados a incidentes de segurança em computadores pessoais é causada por programas maliciosos, dentre os quais estão os vírus (normais e de macro), os worms, os programas servidores - muitas vezes chamados de cavalos de Tróia, ver capítulo anterior - é até mesmo simples instruções que, quando executadas no seu computador, destroem o sistema ou comprometem seu funcionamento.
O grande paradoxo é que boa parte da culpa por estes estragos cabe à vítima, uma vez que em quase todos os casos ela é inocentemente cúmplice do ataque. É uma questão de educação: siga sempre os velhos conselhos de boa conduta com computadores, tome os devidos cuidados blá blá blá e "não execute programas estranhos". Assim fica muito mais difícil ter problemas, mas em certas horas precisamos nos arriscar e muitas vezes nem sabemos que estamos nos arriscando tanto.
Como prova de que o conselho sobre não executar arquivos de estranhos é eficaz, temos os muitos vírus e worms que se propagam por email enviando cópias de si mesmo para sua lista de amigos. Dessa forma abre-se uma brecha na confiança da vítima, que pensa: "Bom, se meu amigo está me mandando, deve ser coisa boa!" Zapt! Pimba! Dançou...
Pronto, você executou um programa malicioso no seu computador, e agora? Bom, se o programa for muito violento e apagar seus arquivos, não há muito o que fazer senão recomeçar do zero, instalando os softwares novamente. Mas geralmente não são tão destrutivos e ficam tão quietos que você só percebe depois de bastante tempo, exatamente quando for tarde demais. E o pior: um programa desses pode estar destruindo seu computador agorinha mesmo, sem que você saiba. O que fazer?
Esses programas, em especial os mais furtivos, são catalogados de acordo com suas ações e características do seu código. Programas possuem uma assinatura, uma parte das suas intruções internas que é única, assim como nosso DNA e, fazendo uma busca em todos os arquivos do seu computador podemos identificar, através desta assinatura, se algum programa malicioso "conhecido" habita seus discos.
Veja bem, eu disse "programa malicioso conhecido" porque, se um programa novo é lançado, nós ainda não somos capazes de reconhecer sua assinatura, pelo menos até ele ser catalogado e cadastrado na nossa lista de assinaturas.
Trazendo tudo para a nossa linguagem cotidiana: nós não vamos pessoalmente vasculhar cada arquivo do computador, que geralmente passam de centenas de milhares. Vamos usar um outro programa para fazer isso. Adivinhe o nome desse programa? Um doce para quem respondeu "Anti-Vírus". Resumidamente, o que os programas anti-vírus fazem é, de posse de uma lista de assinaturas de programas maliciosos, abrir cada arquivo do seu disco e comparar com as assinaturas desta lista. Caso alguma coincida, ele terá identificado um problema, algumas vezes oferecendo a possibilidade de remover apenas o trecho malicioso outras vezes apagando o arquivo problemático.
Este método não está restrito aos vírus, ele pode ser utilizado para identificar qualquer tipo de programa devidamente cadastrado na lista de assinaturas. Os fabricantes cadastram nesta lista todo código que julgam prejudicial ao seu computador e dependem dos seus laboratório de pesquisa, que recebem e estudam estes programas, extraindo a sua assinatura de identificação e colocando-a disponível para a atualização da lista de programas maliciosos.
Você já deve ter percebido a importância dos tais "anti-vírus atualizados". Se um anti-vírus não possui uma lista de assinaturas completa, pode ser que ele vasculhe um arquivo contaminado mas, por não "conhecer" o vírus, deixe-o ileso. Certamente o vírus não fará o mesmo...
A forma como cada programa atualiza esta lista varia de acordo com o fabricante mas, atualmente, este processo é feito online e a verificação de novas listas pode ser programada para uma determinada periodicidade. Como a internet tem um poder muito grande de disseminação, uma atualização a cada 3 dias ainda é considerada segura para um usuário costumaz.
Mas o que, você não tem um anti-vírus? Vamos voltar ao início desta página e começar tudo de novo... ;-)
Capítulo 4
Atualizando programas - Uma prevenção eficaz!
Antigamente os lançamentos de softwares no mercado eram, em sua grande maioria, lançamentos de novas versões dos programas, com adição de muitos recursos, novas ferramentas e aperfeiçoamento das características funcionais, principalmente a interface com o usuário. Muitas dessas atualizações não traziam uma vantagem significativa para o usuário médio que, na maioria das vezes, se limitava a utilizar as funções básicas do programa como, por exemplo, usar um editor de textos exclusivamente para editar textos!
Entretanto, o usuário não estava interessado em "quais" recursos eram adicionados na versão mais nova do seu programa, ele queria se manter atualizado, a qualquer preço, mesmo que fosse para adicionar um corretor ortográfico em aramaico arcaico ou um acoplamento com uma base de dados alienígena que ele jamais faria funcionar.
Atualmente o cenário está um pouco mudado, os lançamentos de novas versões continuam existindo mas as principais novidades são correções de problemas nas versões atuais. O fabricante, ao ser notificado de um problema interno no seu produto, escreve um pequeno programa que corrige o defeito e o distribui aos seus clientes. Estas atualizações são divulgadas e recomendadas pelos fabricantes mas - eis o grande paradoxo - os usuários não dão a mínima!
A não ser que o defeito esteja impedindo o usuário de utilizar alguma função primordial para seu trabalho, ele será solenemente ignorado. Este é um vício que adquirimos durante a era medieval da computação, quando as redes de computadores eram raridades e a Internet era um brinquedo das forças armadas dos EUA.
O motivo pelo qual não tínhamos interesse em corrigir uma falha é resumido neste pensamento: "Se eu não uso esta função do programa, para que vou perder meu tempo tentanto consertá-la?". Hoje, ao conectarmos milhares de computadores uns nos outros, este pensamento se tornou muito perigoso, pois não estamos mais sozinhos no mundo e, se você não vai se interessar por aquela falha, alguém com certeza a utilizará para obter alguma vantagem ou causar problemas.
Os problemas de maior repercussão na área de segurança, tanto na esfera corporativa quanto em casa, no computador doméstico, estão relacionados a alguma falha em um software. Quanto mais utilizado o software, maior o número de pessoas atingidas que precisam aplicar a devida correção. Como a grande maioria dos usuários não se importa com aplicação de correções, podemos imaginar o caos quando, por exemplo, começaram a surgir os primeiros "nukes", ataques que exploravam um defeito encontrado no próprio Windows!
Exemplos como este infelizmente são muito comuns. É através de falhas não corrigidas em softwares que quase todos os hackers invadem sites na Internet. Algumas falhas encontradas nos programas de uso particular, como navegadores, programas de email, de bate-papo etc. também possibilitam ações danosas, em maior ou menor grau, dependendo do tipo de problema.
Ao contrário do que pode parecer a princípio, manter-se na "última versão" dos softwares para Internet pode não ser tão seguro. Ao lançar um programa novo - ou uma nova versão com bastante mudanças - no mercado, os fabricantes estão dando a largada em um enorme concurso no qual vence o hacker que primeiro descobrir as novas falhas do programa. Todos os programas têm falhas e mais do que nunca se aplica o velho ditado: "Os pioneiros são identificados pela flecha no peito!".
Solução? Manter contato com o fabricante dos softwares que você utiliza. Com a internet os problemas aumentaram mas o socorro também chega muito mais rápito. Visite regularmente o website do seu fornecedor e procure por termos do tipo "security update", "patch", "service pack", "service release" etc. Se você não se registrou, pegue seu cartão de registro, ou através da Internet, registre-se como usuário legítimo e cadastre-se nas listas de notificações.
Os responsáveis pelos seus programas estão tão interessados em fornecer um software seguro quanto você em recebê-los, então, mantenha-se informado. Mais do que nunca, a informação é o melhor remédio!
Capítulo 5
A verdade sobre seu número IP!
Está se tornando cada dia mais comum o medo de invasões na internet. Pânicos causados por pseudo-hackers têm atormentado centenas de pessoas e muitas vezes simples ameaças destroem momentos de paz e diversão de uma forma irremediável. O mais impressionante é que estas ameaças, na maioria das vezes, são completamente sem fundamentos, não fazem sentido e algumas nem existem. Basta usar uma meia dúzia de siglas para dizer que vai invadir seu computador, e o que mais tem aterrorizado os internautas é: "Vou descobrir seu IP!"
Vão descobrir seu IP? Oh, que espanto, mas e daí? Segundo os terroristas, após descobrir o IP de uma pessoa, sua alma estará completamente enterrada na maldição eterna, pois poderão invadir, derrubar, espionar, remover, sacudir, esculhambar, destruir e remexer...
Um número IP é um endereço que todo internauta, assim que se conecta na grande rede, recebe. É através deste endereço que seus programas se comunicarão, seu navegador, seu ICQ, seu programa de email etc. Este número não precisa ser fixo — e geralmente não é — e a cada conexão você recebe um número diferente.
IP significa "internet protocol", faz parte de um conjunto de instruções que permite a comunicação pela Internet. Ele é responsável pelo encaminhamento dos pacotes de dados que trafegam na rede, de forma que eles sejam entregues corretamente ao seu destino.
Descobrir o IP de uma pessoa significa saber o "endereço internet" (não tem nada a ver com email!) do seu computador naquele dia, ou durante aquela conexão. Somente isso, nada mais. O que se pode fazer com o IP de uma pessoa? Quase nada... Se o computador não estiver com problemas do tipo "cavalos de tróia" ou semelhantes (ver capítulo 2), o número IP não vai servir para mais nada além de terrorismo.
Mesmo assim, dá para esconder o número IP? Não, infelizmente não dá! Se por algum motivo seu computador não puder fornecer corretamente seu número IP, ele ficará incomunicável e sua conexão será desfeita. Ter um número IP faz parte da vida socialmente ativa dos computadores na Internet e a comunicação depende disso.
Alguns sistemas escondem esse número de outros internautas mas, pelo próprio bem da comunicação, eles são revelados. Por exemplo, bater papo requer que um computador se comunique com outro. Para isto ser feito, é necessário que ambos conheçam seus números IPs mutuamente pelo simples fato de precisarem saber com quem estão "falando".
É claro, sempre há as exceções: números IPs geralmente se mantém os mesmos em redes físicas como escritórios e internet predial. Na maioria das vezes, estes números são fixos mas "mascarados" durante a comunicação externa por uma aplicação conhecida como "gateway" ou "proxy" e quase sempre para quem está de fora desta rede o número é genérico e inútil.
Caso queira saber qual o seu número IP durante a conexão atual, um aplicativo distribuído com o próprio Windows dá as informações referentes. Vá em Iniciar > Executar e digite "winipcfg" (sem aspas).
Portanto, na próxima vez em que for ameaçado com seu próprio número IP apenas dê uma gostosa gargalhada e volte para a sua tranqüilidade habitual. Já temos problemas demais para ficar nos preocupando com coisas que não existem!
Capítulo 6
A-há! Te peguei, hacker... Mas, e agora?
É cada dia mais comum o surgimento de softwares que cuidam da segurança do seu computador pessoal e o mecanismo de monitoração mais utilizado é a "escuta" de portas de conexão (para maiores informações sobre ‘portas de conexão’, consulte o capítulo 2 deste curso básico).
Entretanto, de que adianta a informação de que um hacker tenta bisbilhotar nosso computador? O que podemos fazer no momento em que descobrimos uma tentativa de ataque e conseguimos informações básicas sobre o hacker — como, por exemplo, seu número IP — através dos relatórios destes programas de proteção?
Primeiro vamos analisar os fatos: um aviso emitido por um destes softwares de monitoração não significa que você está sendo invadido. É apenas uma notificação que houve uma tentativa de conexão em determinada porta. Muito provavelmente o hacker não obterá êxito pois os softwares de monitoração fazem uma checagem sobre as vulnerabilidades do computador, eliminando os programas ou falhas que permitiriam o ataque. Ficar de olho nas portas é uma medida secundária para quase todos estes programas de segurança.
Ao identificar uma tentativa de conexão, os programas registram dados importantes como hora, IP, tipo de ataque etc. e mostram estas informações à você, usuário. Estes dados são referentes ao computador de onde partiu o ataque e identificam de forma bastante confiável o responsável pela ação.
De posse destes dados, devemos, antes de qualquer outra ação, identificar a qual "provedor" pertence este número. Para isto basta utilizamos um comando do próprio Windows, dentro da janela do "Prompt do MS-DOS", executando: "tracert 192.168.0.10" (trocando o IP pelo número identificado no relatório).
Este comando produzirá uma série de linhas "percorrendo" o caminho de um pacote de dados do seu computador até o computador do invasor. Cada linha identifica um computador intermediário e as últimas identificam equipamentos do provedor de destino. Pelo nome destes equipamentos é fácil deduzir a que provedor de acesso eles pertencem.
Caso o resultado ainda não esteja claro podemos consultar, nos órgãos regulamentadores, os responsáveis pelo IP pesquisado. Existem ferramentas na net para esta pesquisa como, por exemplo, o Whois da <Geektools> que fornece dados de diversas entidades de registro.
Através da página web do provedor, você pode conseguir um endereço de contato para reclamar sobre incidentes de segurança, geralmente
Este endereço de e-mail está protegido contra SpamBots. Você precisa ter o JavaScript habilitado para vê-lo.
, mas uma maneira de garantir o correto recebimento da sua mensagem é enviar cópias os endereços disponíveis na consulta Whois, explicada acima.
Com o endereço à mão, redija uma mensagem relatando a tentativa de acesso não autorizado ao seu computador pessoal partindo da rede sob a responsabilidade desta empresa provedora de acesso à Internet. Repare que é esta empresa que responde pelas tentativas de invasão originadas na sua (dela) rede. O fato do incidente ter sido provocado por um usuário é um problema do provedor com seu cliente em particular e, à você, cabe apenas a reclamação aos responsáveis pela rede. Não perca tempo tentando identificar o usuário.
Provedores sérios que se preocupam com sua imagem emitem uma notificação ao seu usuário (eles têm como identificar o usuário através do número IP e hora) avisando sobre as condutas aceitáveis dos seus clientes. Dependendo da política de cada provedor, o usuário, se estiver reincidindo nestas ações, pode ser bloqueado ou excluído.
Mas, o que pode dar errado? Infelizmente muita coisa... Para começar você pode não conseguir identificar o provedor através do IP por causa de configurações específicas de determinadas redes. Neste caso, peça auxílio ao suporte técnico do seu provedor. Um outro problema é ser ignorado quando enviar a mensagem relatando seus problemas de segurança. Uma ótima ferramenta contra esta atitude por parte dos provedores irresponsáveis é enviar uma cópia da mensagem ao <NicBR Security Office> (
Este endereço de e-mail está protegido contra SpamBots. Você precisa ter o JavaScript habilitado para vê-lo.
), equipe brasileira que mantém um serviço de auxílio e estatísticas sobre incidentes de segurança.
Outros grupos que mantém serviços sobre segurança são:
<CAIS> Centro de Atendimento a Incidentes de Segurança (RNP)
<CERT-RS> Centro de Emergência em Segurança da Rede
<
Este endereço de e-mail está protegido contra SpamBots. Você precisa ter o JavaScript habilitado para vê-lo.
> Responsável pela maioria dos backbones
Observações
· Manter o relógio do seu computador na maior sincronia possível com o horário oficial do Brasil pode ser imprescindível para a correta identificação do usuário no provedor ao qual está sendo feita a reclamação.
· Muitas alegações por parte dos provedores como, por exemplo, não punir o usuário por medo de perder o cliente ou alegar que "pura bisbilhotagem" (portscan) não é considerada como crime, pode fazer com que a indisciplina na Internet aumente. Nestas situações, notifique o descaso ao NicBr. Uma lista dos provedores mais irresponsáveis com a segurança é um argumento infalível para se exigir uma ação repressora.
· Caso decida acionar o NicBr para auxiliar no seu caso, encaminhe primeiramente um email solicitando informações sobre a melhor maneira para se fazer estas reclamações. São medidas que auxiliam o processo, viabilizando a ajuda gratuita que eles prestam a nós internautas.
Alguns dos programas mais comuns para a identificação de ataques são: Anti-Hack 2.0, TDS-2 e muitos dos pacotes de segurança e firewalls pessoais (como o ZoneAlarm) dos grandes produtores de software de segurança, como a <Symantec> ou a <McAfee>. Você pode encontrá-los nos grandes repositórios de softwares como, por exemplo, no <www.download.com> ou na <www.tucows.com>.
Capítulo 7
Invasão de sites pessoais
Entre todas as invasões de hackers divulgadas pela mídia a mais assustadora para o público em geral é a que modifica páginas de uma empresa na Internet. Conseqüentemente é o tipo de invasão mais divulgada, principalmente porque a empresa não tem como esconder os fatos, atitude padrão nas invasões internas. Parte do motivo para não se notificar invasões é o comprometimento da imagem da vítima, pois denota uma falta de cuidado com seu sistema de informação.
Paradoxalmente, os incidentes mais notificados - invasões e modificações de sites - são os que menos comprometem os dados da empresa, uma vez que na sua grande maioria estas modificações são conseguidas através de substituição ou adição de simples arquivos aos diretórios onde residem as páginas do site.
Invadir páginas na Internet é como colar um cartaz na vitrine de uma loja. Nem sempre é preciso entrar na loja para chamar a atenção do visitante e dar o seu recado.
Apesar das invasões de grandes sites receberem bastante atenção, boa parte dos incidentes, que são sofridos por pequenas empresas e páginas pessoais, nunca são notificados aos responsáveis pela prestação do serviço e muito menos às autoridades competentes.
Então, o que fazer se a sua página pessoal for invadida? Primeiro, você deve descobrir de que forma esta invasão foi feita para poder eliminar o problema. Tire a página do ar e analise os sistemas envolvidos. Grandes empresas têm vários becos por onde começar a procurar estas brechas de segurança, mas usuários simples ou pequenos sites - principalmente com serviço de hospedagem de sites contratado de terceiros - têm um número bem menor de problemas a analisar (mas com igual responsabilidade).
O método mais simples de invadir um site é "não invadir". Pode-se utilizar o mesmo método usado para a sua manutenção, se fazendo passar pelo dono das páginas, conseguindo acesso para modificá-las. Isto geralmente é feito através de senha em uma conta FTP (ou qualquer outro método de acesso) e esta senha pode ser conseguida de várias maneiras como, por exemplo, atacar e/ou criar vulnerabilidades no computador do usuário responsável por esta senha.
Peguemos como exemplo a invasão de uma página pessoal hospedada no GeoCities: um hacker pode adivinhar a senha do usuário - sério, e isto é bem grave! - ou enviar (através do email de contato que geralmente reluz na página-alvo) uma série de arquivos (tipo cavalos-de-Tróia) que abrem brechas no computador da vítima e que fariam o trabalho sujo de monitorar a vida da pessoa até conseguir a senha para acesso à página. Alguns se utilizam de engenharia social, se fazendo passar por técnicos do GeoCities - criando emails falsos - e solicitando um "recadastramento" dos dados, recebendo de bandeja a senha da vítima.
A criatividade para estas ações não tem limites, seja no GeoCities ou em qualquer outro serviço de hospedagem de páginas - gratuito ou não - que oferece estas facilidades de inscrição e manutenção.
Métodos mais "nobres" - do ponto de vista hacker - envolvem apenas o serviço de hospedagem onde a página se encontra. Invasões deste tipo também podem ocorrer através de engenharia social, onde o hacker se faz passar pelo verdadeiro dono da página, mas é a minoria. Geralmente se utiliza alguma vulnerabilidade nos softwares responsáveis pelo serviço para obter acesso ao sistema e conseguir modificar as páginas desejadas. Serviços de hospedagem podem possuir, como qualquer outro site, falhas que permitem a modificação de páginas por terceiros. Por isso é de extrema importância notificar o serviço (gratuito ou não) que utiliza para hospedar sua página, caso note problemas com ela.
Se a sua página é hospedada em computadores que não estão sob sua responsabilidade - que é o caso dos GeoCities e outros serviços online e dos provedores de serviços internet - você deve se certificar de que o método utilizado para fazer a manutenção na sua página é seguro, e de que ninguém pode se fazer passar por você para ter acesso a ela. Esta é uma tarefa árdua que precisa ser feita com a maior atenção possível mas, uma vez livre desta culpa, a brecha estará sob a responsabilidade do serviço de hospedagem. Eles têm seus próprios mecanismos de verificação e é primordial que sejam notificados para que o trabalho em conjunto identifique e elimine o grande problema que é ter uma página na Internet invadida e modificada por hackers.
Capítulo 8
Invasão de grandes sites
Dando continuidade ao capítulo anterior sobre invasão de sites, vamos explicar neste capítulo o que acontece nos bastidores da Internet, nas empresas responsáveis por hospedar o seu site e nas redes corporativas, onde estão localizados os computadores e equipamentos operacionais que permitem a todos nós utilizarmos a grande rede.
Como o objetivo do curso básico é fornecer informações simples e acessíveis ao usuário comum, este capítulo servirá, para a maioria de nós, como uma pequena introdução à administração de redes, seus aspectos procedimentais mais seguros e suas relações com os métodos de ataques mais praticados.
Todo computador (ou equipamento computacional, que fique subentendido) possui na sua memória programas que regem o funcionamento do sistema - isso é básico - e, assim como nossos computadores pessoais, os grandes servidores da Internet podem possuir falhas. Você encontra uma explicação sobre o problema destas falhas no Capítulo 4 do curso.
Pois bem, um computador na internet, uma falha não corrigida e um hacker devidamente armado. Este trio perigoso é muito semelhante ao que aprendemos nas aulas de segurança - segurança pessoal, mesmo - com relação ao fogo: combustível, oxigênio e calor.
Tire qualquer um destes elementos e o fogo se extinguirá... Vamos supor que tenhamos um computador (combustível), uma falha (oxigênio) e um hacker (calor). O que é mais fácil de tirar? Para tirar o combustível você precisa desligar o computador - inviável. Para tirar o calor, você precisa manter os hackers de mãos atadas - impossível. Só nos resta acabar com o oxigênio da invasão, não permitindo falhas nos nossos sistemas.
Hackers são pessoas muito bem informadas sobre as falhas descobertas em softwares. Alguns, inclusive, descobrem sozinhos esta falha - e há quem diga que estes são os verdadeiros hackers - mas muitas vezes esta informação é divulgada por outros especialistas. Quanto maior a base instalada de um software, mais importante é o conhecimento da sua falha.
Os administradores que não se mantém informados sobre estas falhas estão injetando oxigênio na mistura. Basta que uma delas afete seu sistema e será a faisca que faltava para o início da sua grande dor de cabeça.
Estas falhas podem ser exploradas muito facilmente, pois geralmente o autor da descoberta divulga, juntamente com a notícia, um "roteiro" ou até mesmo programas que fazem todo o trabalho de comprometimento do computador afetado. Estes programas são disponibilizados muito rapidamente na Internet e uma verdadeira corrida tem seu início.
Mas, como estas invasões são feitas na prática? Variam bastante, dependendo do "buraco" por onde o hacker precisa passar. Apenas para sanar uma curiosidade mórbida que muitos de nós temos, isto não é feito através do browser (pelo menos não a maioria) e muitas vezes são utilizados computadores com sistemas Unix. Esta não é simplesmente uma escolha. O que acontece é que estes sistemas foram criados para a rede, estão mais preparados e com melhores recursos para a internet e como conseqüência os especialistas os utilizam e escrevem seus roteiros/programas para esta plataforma. O fato de serem melhores que o Windows é um mero detalhe. São feios, utilizam-se linhas de comandos em uma tela preta, executando programas e passando parâmetros para ele. (esqueça a parafernalha 3D e telões multicoloridos dos filmes de hackers)
A divulgação destes programas ou parâmetros de configuração e funcionamento é a responsável por possibilitar que muitas pessoas os colecionem e testem em cada computador da Internet, na esperança de que uma destas falhas seja encontrada.
Essa informação não pode ser sonegada e a sua divulgação pode ajudar aos administradores a "abrir os olhos" com relação ao seu sistema. Não adianta nada ter um sistema aparentemente seguro e dormir tranqüilo sem saber que cedo ou tarde alguém poderá invadir seu site.
O mais importante para se impedir estas invasões é descobrir as falhas do seu sistema, senão antes, pelo menos ao mesmo tempo que os hackers e providenciar - junto com o fabricante ou através de soluções disponibilizadas pelos mesmos responsáveis pela descoberta da falha - a solução para o problema.
Em alguns dos sites especializados nestes boletins e notificações podemos encontrar informações sobre a grande maioria das falhas e vulnerabilidades encontradas nos programas que possibilitam estas invasões. Uma boa relação destes sites pode ser encontrada em <http://www.attrition.org/security/advisory/>.
E então, você está com o seu extintor carregado?
Capítulo 9
Analisando as falhas de software
Estamos sendo bombardeados - cada dia mais - com notícias sobre falhas descobertas neste ou naquele software, as quais permitem que hackers provoquem os mais variados incidentes de segurança. Mas, afinal, o que são estas falhas?
No capítulo 4 falamos sobre os problemas de se possuir um programa com falhas e quais as melhores maneiras para se certificar de que fizemos as devidas atualizações dos nossos sistemas. Agora vamos explicar como funcionam - ou "não funcionam" - estes mecanismos problemáticos.
Quando profissionais da área de informática sentem uma inclinação para o ramo da programação, eles devem descobrir se possuem determinados vícios de raciocínio lógico imprescindíveis para a tarefa. Uma dessas qualificações é o exercício de "pensar o impensável", sempre fugir do padrão e analisar seriamente as exceções. Infelizmente nem todos dão o devido valor a isso.
A partir de agora vamos analisar um exemplo extremamente simplificado e descobrir porque administrar exceções é fundamental na segurança de um software.
Imagine uma rotina que verifique a senha de um usuário antes de liberar seu acesso a um sistema qualquer. Ela seria, a muito grosso modo, assim:
1ª instrução: Pedir senha de 4 números ao usuário - usuário digita a senha.
2ª instrução: Se os 4 números forem iguais à senha cadastrada, siga para 3ª instrução.
Se os 4 números forem diferentes, negar acesso. Fim do programa.
3ª instrução: Liberar seu acesso. Fim do programa.
Esta é uma rotina simples que funciona muito bem, desde que o usuário obedeça a primeira instrução e digite sua senha de forma correta. Entretanto, é com relação a desobediência que se dá a importância de trabalhar com as exceções.
Vamos supor que o usuário não forneça os dados conforme o programa espera. Por exemplo, ao invés de números, ele digite 4 letras. Quando o programa chegar à 2ª instrução, o computador vai tentar colocar as letras em uma memória que está preparada para receber apenas números, e isto pode provocar um erro que invalidaria toda a 2ª instrução. Ao dar continuidade, o acesso estaria liberado na 3ª instrução independentemente da senha digitada, desde que não fossem 4 números.
O exemplo acima foi bem simplificado para facilitar o entendimento mas a idéia geral por trás das falhas de software é essa: rotinas mal projetadas que não prevêem todas as ações dos usuários (ou de outras partes do programa). Uma correção para o problema exposto seria uma alteração lógica na filosofia de comparação. Veja:
1ª instrução: Pedir senha de 4 números ao usuário - usuário digita a senha.
2ª instrução: Se os 4 números forem diferentes da senha cadastrada, siga para 3ª instrução.
Se os 4 números forem iguais, liberar acesso. Fim do programa.
3ª instrução: Negar seu acesso. Fim do programa.
Com esta alteração, qualquer que fosse o erro provocado pela entrada incorreta de dados resultaria na negação do acesso, uma vez que um erro na 2ª instrução eliminaria a comparação juntamente com a decisão de liberar o acesso do usuário.
Obviamente, este tipo de problema não está limitado a situações de verificação de senhas, muito pelo contrário, ele se espalha pelas rotinas que não recebem muita atenção com relação à segurança, como por exemplo, rotinas de verificação de datas, classificação de dados e principalmente aquelas que recebem dados de outros programas.
Rotinas que são feitas para se comunicar - remotamente - com outras rotinas são as que apresentam as maiores falhas pois, ao construírem estes programas, não é levado em consideração que a rotina interlocutora pode ser modificada - ou substituída, por um hacker, talvez - e, com isso, passar a enviar dados fora do padrão e do formato esperados, causando erros internos nos programas.
Estes erros provocados por ações despadronizadas e inesperadas nem sempre são tão inofensivos como o exemplo acima, fazendo com que o programa caia em uma falha pura e simples. Algumas vezes estes erros abrem uma brecha por onde podem ser inseridos comandos que o computador, desnorteado com a falha, assume ser parte do programa original e passa a seguir estas instruções implantadas.
O modo como estes comandos são implantados através das falhas é extremamente complexo do ponto de vista didático, principalmente em um curso básico sobre segurança, sendo um trabalho bastante árduo até mesmo para os maiores "escovadores de bits".
Portanto tenha em mente que, quando ouvir falar em uma falha de software que permite a invasão de um sistema ou interrupção de um serviço, você estará vendo o resultado de um trabalho que deveria ter sido feito na época da construção do programa, mas que ficou para depois, nas mãos de especialistas e de hackers.
Capítulo 10
Rastreando o hacker - Conceitos básicos
Uma das tarefas que mais tem crescido na área da segurança digital, principalmente nas divisões de combate re-ativo e departamentos de autoridades legais, é a identificação do autor de um crime praticado através de computadores, principalmente da Internet.
O rastreamento de um usuário da Internet - qualquer usuário - é possível graças aos inúmeros registros que nossos acessos executam em cada computador por onde passamos. Alguns deles o fazem por motivos técnicos, para viabilizar o serviço, outros possuem realmente tal banco de dados para que sejam auditados quanto à utilização da rede, para estatísticas e mesmo para identificação de atividades criminosas.
Estes dados geralmente são tratados com o mesmo sigilo com que uma empresa guarda informações dos seus clientes como, por exemplo, um banco que certifica a inviolabilidade dos dados sobre a movimentação em uma conta bancária. Por esse motivo a investigação aprofundada dos registros muitas vezes esbarra em questões de quebra de sigilo, assim como nos bancos, apenas autorizada mediante imposições legais.
Uma vez permitida a verificação destes registros, os caminhos para se chegar a um hacker - dependendo da sua habilidade, ou da falta dela - podem ser diretos e limpos ou bastante tortuosos, mas na grande maioria das vezes começa com a identificação de um número IP, identificador único do usuário online. (consulte mais informações sobre número IP no capítulo 5)
Fazendo o caminho inverso, fica mais fácil observar por onde as autoridades chegam ao hacker. Simplificando o nosso exemplo: o hacker liga seu computador e se conecta à Internet. Se esta conexão estiver sendo feita em uma rede seu número IP será fixo, mas se a conexão for feita via linha telefônica, seu IP será aleatório. Pela linha telefônica, é necessário discar para um provedor de acesso, onde a conexão será estabelecida e um número IP será entregue ao hacker.
Então, uma vez conectado, o hacker inicia suas investidas contra determinado alvo na Internet. Este alvo pode estar protegido ou não. Caso não esteja, o hacker invade e pode tentar apagar seus rastros. Caso contrário, ou caso o hacker não tenha habilidade ou possibilidade técnica para apagar os registros, as informações sobre seu acesso - principalmente seu número IP - estarão disponíveis para uma investigação.
Ao iniciar a investigação, primeiro identificamos a localidade física daquele endereço IP e a que rede este número pertence. Caso pertença a um computador fixo, seu usuário será investigado criminalmente a respeito dos acessos indevidos. Caso pertença a um provedor, podemos conseguir, senão com o próprio provedor, com a empresa de telefonia da região, o número de telefone de onde partiu a ligação que originou esta conexão em particular. De posse do número de telefone, encontramos o local utilizado e uma investigação regular sobre o autor é iniciada.
Evidentemente este é um caso muito simples e fácil de resolver, motivo pelo qual os criminosos experientes que executam grandes façanhas online se protegem de várias formas. Vamos analisar as principais:
· Invasão de um servidor intermediário - O hacker pode procurar computadores na internet (geralmente servidores secundários, de pouca importância) onde conseguem controle total sobre o sistema. A partir deste computador, ele inicia suas atividades que, ao serem rastreadas, levarão os investigadores ao ponto intermediário de onde partiu o ataque. Normalmente seria possível continuar a investigação a partir deste ponto, até chegarmos no computador original. Entretanto, ter o controle total sobre um ponto intermediário é o suficiente para que o hacker bloqueie o caminho de volta, já que ele pode apagar todos os registros neste ponto e frustrar a investida contra seus rastros.
· Enganar o sistema de telefonia - Caso o hacker não queira deixar o conforto do seu lar, ou precise de equipamentos específicos para uma invasão, a saída é bloquear a investigação no último nível, que é a identificação através do número de telefone - ou sistema que o substitua. O sistema de telefonia ainda possui uma grande desatenção com relação a segurança sobre reprogramação de centrais telefônicas. É possível, inclusive, ter acesso físico aos cabos de telefones nas maiorias das ruas e substituir ou adicionar ligações, de forma que atividades criminosas sejam feitas através de linhas de terceiros.
· Manter-se sempre em movimento - Com a facilidade de comunicação móvel e pontos públicos de acesso à rede, fica cada dia mais fácil executar crimes virtuais sem que uma identificação positiva seja concretizada. É possível, por exemplo, utilizar vários sistemas de acesso público, como cybercafé ou quiosques para iniciar uma sondagem sobre um determinado alvo e, uma vez identificada a possibilidade de invasão, procurar meios mais seguros de utilizar ferramentas especiais como, por exemplo, linhas telefônicas em quartos de hotel ou equipamentos celulares e notebooks.
No próximo capítulo vamos analisar dois casos de rastros, uma recente identificação de um grupo hacker brasileiro e a monumental investigação que levou o famoso hacker Kevin D. Mitnick à prisão, em 1995.
Capítulo 11
Rastreando o hacker - Exemplos reais
Dando continuidade ao capítulo anterior sobre o rastreamento de hackers, vamos exemplificar nosso curso com dois casos de investigação que ficaram na história da Internet.
O primeiro caso é o do grupo Inferno.br, responsável por inúmeras invasões de sites no Brasil e no exterior, que logo despertou o interesse da equipe especializada em crimes virtuais comandada, na época, pelo delegado Mauro Marcelo de Lima e Silva, da Polícia Civil de São Paulo.
O grupo de hackers parecia ser bastante cuidadoso apagando sempre seus rastros nos sistemas invadidos, mas cometeu uma falha: divulgou um email para contatos, atitude até então rara de se ver em invasões em série como as praticadas pelo grupo. Era uma conta de email gratuita, oferecida pelo Hotmail, atualmente de propriedade da Microsoft.
Além das tentativas de investigação nos locais dos crimes - o que é muito trabalhoso, principalmente em se tratando de vítimas internacionais - os especialistas se dirigiram à Microsoft, solicitando o fornecimento de informações sobre a caixa-postal do grupo, principalmente sobre os usuários que a verificavam regularmente.
Mesmo que as mensagens não tivessem nenhum conteúdo, o simples fato de consultá-las mostraria informações sobre a localização - no mínimo alguns números IPs - das máquinas e redes utilizadas, levando a equipe cada vez mais perto dos invasores, até uma identificação positiva ser feita.
O grupo alegava que esta verificação de correspondência era feita de forma anônima - como pode ser visto nas declarações que substituíam as páginas invadidas - mas provavelmente não tinham controle sobre os pontos intermediários de acesso para impedir o rastreamento das suas informações.
Cerca de cinco anos antes, Kevin David Mitnick, invadira a rede particular de um especialista em segurança procurando códigos hackers para telefones celulares. Sua ação foi muito bem executada e os rastros foram apagados tão bem quanto se tivessem sido feitos localmente mas, para a sua infelicidade, Tsutomu Shimomura foi mais hábil, conseguindo recuperar traços de arquivos apagados - inclusive os logs - identificando números IPs utilizados durante o ataque.
Após vários dias de estudos, foi possível identificar algumas conexões, partindo de vários pontos de presença do provedor americano Netcom que, de acordo com as informações disponíveis, tinha como origem ligações da cidade de Raleigh, mas com um agravante: ligações de um telefone celular.
Entretanto, as investigações de Shimomura não eram amparadas pela lei e foi preciso uma licença especial para "espionar", diretamente no backbone da Netcom, os passos do hacker, até que provas legais fossem juntadas para dar base à perseguição.
A equipe de investigadores receava que Kevin estivesse acessando a rede de pontos diferentes na cidade, o que tornaria a caçada praticamente impossível, mas ele cometeu o maior erro da sua longa vida de crime: acessava sempre de seu apartamento - alugado sob um nome falso.
Com o auxílio da operadora de telefonia celular, foi possível identificar de que célula (antena) provinha as ligações daquele número, o que diminuiu a área de busca para cerca de 1Km, permitindo à equipe utilizar rastreadores manuais e antenas direcionais para identificar primeiro a direção, depois o prédio e finalmente o apartamento de onde vinham os sinais do celular, onde a polícia efetuou a prisão em flagrante de um dos hackers mais conhecidos e procurados de todos os tempos.
Nos dois exemplos acima podemos perceber que mesmo os mais experientes hackers deixam rastros das suas atividades na rede, não por falta de conhecimento ou habilidades, mas porque essa é uma tarefa extremamente complexa e, assim como não existe sistema livre de falhas - o que permite as ações hackers - não existe hacker livre de falhas - o que permite seu rastreamento e captura.
Fonte: www.hackers.com.br
Marcos Machado
|
|
|
|
