Tcnicas Adotadas pelos Crackers para Entrar em Redes Corporativas

Cristiano Gerlach <vexxor@iname.com> Rede Nacional de Ensino e Pesquisa (RNP) Introduo A estrutura de uma rede O ataque Abusos e privilgios em um acesso a uma rede Concluso Referncias bibliogrficas Ferramentas e programas Escrito pelos consultores da Network Security Solutions Ltd. Front-line Information Security Team (FIST), em dezembro 1998, este artigo trata de um dos principais temas em discusso na Internet nos ltimos anos: a segurana de redes. Ele foi produzido para dar aos administradores de redes e relacionados uma idia das metodologias adotadas pelos crackers de sistemas tpicos quando esto atacando grandes redes, no sendo de forma alguma uma espcie de manual tcnico obscuro.
^

Introduo
Este documento no um guia sobre como tornar uma rede segura. No entanto, tenta-se ajudar aos administradores a identificar os riscos de segurana que existem na sua rede e com isso ajud-lo a prevenir-se de algum incidente que ele tema que possa acontecer. A leitura deste documento altamente recomendada para os administradores de sistemas preocupados com aspectos de segurana. Espera-se que com isto eles possam aprender como os crackers agem para que se possam tomar as precaues necessrias. QUEM VULNERVEL? Redes de computadores so usadas todos os dias por corporaes e vrias outras organizaes. Elas permitem que os usurios troquem uma vasta quantidade de informaes ou dados de forma eficiente. Usualmente, redes corporativas no so desenvolvidas e implementadas com os aspectos de segurana em mente, mas sim para terem uma funcionalidade e eficincia mximas. Embora isto

seja bom do ponto de vista empresarial, os problemas de segurana certamente aparecero depois, e as empresas gastaro dinheiro para resolv-los na direta proporo do tamanho de suas redes. Muitas redes corporativas e privadas funcionam baseadas no princpio cliente-servidor, onde os usurios utilizam estaes de trabalho para conectarem-se aos servidores e compartilharem informaes. Este documento ir concentrar-se na segurana do servidor, que o alvo primordial dos crackers, pois se eles conseguem acesso ao mesmo, que geralmente o mais bem protegido da rede, torna-se muito fcil conseguir acesso ao restante da rede. As entidades mais vulnerveis a um ataque em grande escala, normalmente, incluem:

Instituies financeiras e bancos; ISPs (provedores de Internet); Companhias farmacuticas; Governo e agncias de defesa; Empresas multinacionais.

Embora muitos desses ataques sejam feitos pelos prprios funcionrios da empresa, que j tm senhas de acesso a determinados setores, nos concentraremos nas tcnicas utilizadas pelos invasores de fora da rede. O PERFIL DE UM CRACKER DE SISTEMAS TPICO Os estudos tm mostrado que um cracker de sistemas tpico geralmente do sexo masculino, com idade entre 16 e 25 anos. Eles, comumente, esto interessados em invadir as redes para aumentar suas habilidades ou para utilizar os seus recursos para seus propsito. Muitos crackers so bastante persistentes em seus ataques, isto d-se devido a quantidade de tempo livre que eles dispem (alguns trabalham no setor, e muitos dos mais jovens sequer trabalham, sobrando muito tempo livre para a execuo dos ataques). As tcnicas por eles utilizadas so as mais diversas.
^

A estrutura de uma rede

Nesta seo, apresenta-se a principal forma de conexo Internet adotada pela maiorias das instituies e o que isto implica em termos de vulnerabilidades. FORMA DE CONEXO MAIS ADOTADA Em uma corporao tpica, a presena na Internet ocorre pelos seguintes propsitos:

Hospedagem de servidores corporativos; Servio de e-mail e outras facilidades de comunicao; Fornecimento aos funcionrios dos servios desta rede. Testes de invaso executados por empresas especializadas em segurana tm mostrado um ambiente onde a rede corporativa e a Internet so separadas por firewalls e proxies. Em tais ambientes, o servidor Web corporativo e os servidores de correio eletrnico so, s vezes, deixados do "lado de fora" da rede da empresa e as informaes para a rede interna so transmitidas por canais confiveis. No caso, para estes canais confiveis presentes entre servidores externos e mquinas da rede interna, uma poltica bem pensada de "filtragem" deve ser posta em ao, como, por exemplo, configurar os servidores de correio eletrnico para somente conectar porta 25 de um nico servidor seguro da rede corporativa. Isto j ir diminuir massivamente a probabilidade de acessos no autorizados quando um servidor externo for comprometido. Do ponto de vista de segurana, hosts que operam em redes mltiplas podem ser uma sria ameaa segurana da rede como um todo, pois os mesmos fazem simplesmente uma "ponte" entre as duas redes. Se algum tem acesso a este host, pode conseguir acessar a rede da empresa. ENTENDENDO AS VULNERABILIDADES DESTES SISTEMAS DE REDE Tomando como exemplo uma instituio que, na Internet, possui servidores Web e servidores de correio eletrnico externos, onde estes so isolados da rede interna atravs de um firewall ou algum sistema de filtragem implementado. Os servidores Web, geralmente, no so atacados por crackers que esperam ganhar acesso rede corporativa, a menos que o firewall esteja configurado de alguma maneira que o permita acessar a rede da empresa atravs dos mesmos. Assim, sempre bom ter configurado nestes servidores o TCP Wrappers para permitir que somente clientes confiveis se conectem s portas de Telnet e FTP. Os servidores de correio eletrnico, por sua vez, so os alvos prediletos de crackers que tentam acessar a rede interna. Esta predileo se d porque tais mquinas necessitam ter acesso rede corporativa para trocar e distribuir as mensagens entre a rede interna e a Internet. Novamente, dependendo da "filtragem" da rede em questo, o ataque pode ou no surtir efeito. Roteadores com filtro tambm so alvos comuns de crackers atravs de ataques agressivos deSNMP-Scanning e password crackers do tipo fora-bruta. Se tal ataque for efetivo, o roteador pode facilmente tornar-se uma ponte, dando ento acesso no autorizado rede.

Neste tipo de situao, o invasor avaliar quais servidores externos ele teve acesso, e ento tentar identificar qual o nvel de confiana entre estes e a rede corporativa. Se o TCP Wrappers for instalado em todos os servidores externos, pode-se definir que somente as partes confiveis podero comunicar-se com portas crticas destas mquinas, que so: ftp (21), ssh (22), telnet (23), smtp (25), named (53), pop3 (110), imap (143), rsh (514), rlogin (513), lpd (515). Os protocolos SMTP, named e portmapper precisam ser configurados de acordo, dependendo da sua funo na rede. Tudo isso pode reduzir bastante o risco de ataque a uma rede corporativa. Nos casos de redes com uma poltica de "corporao para Internet" no muito clara, certamente existiro multiple-homed hosts e roteadores com configurao imprpria. Tudo isso, aliado a falta de uma segmentao da rede interna tornar muito fcil a um cracker baseado na Internet, ter acesso no autorizado rede interna.
^

O ataque
Sero vistas, nesta seo, as tcnicas utilizadas pelos invasores para ocultar a sua ao, as formas de coleta de informao, bem como os programas de explorao que eles fazem uso. TCNICAS USADAS PELOS INVASORES PARA OCULTAR A SUA LOCALIZAO Crackers tpicos, usualmente, usaro as seguintes tcnicas para esconder seu endereo IP real:

Conectar-se atravs de outras mquinas comprometidas via Telnet ou rsh; Conectar-se atravs de computadores com Windows via Wingates; Conectar-se atravs de hosts utilizando proxies configurados impropriamente. Se um administrador descobre que um cracker est mantendo a rotina de rastrear os seus hosts a partir de mquinas j comprometidas, aconselhvel que este contacte o administrador destas mquinas por telefone e notifique-o do problema. Neste caso, no se deve fazer uso do correio eletrnico, pois o prprio cracker pode interceptar a mensagem antes que ela chegue ao seu destino. Os crackers que esto aptos a invadir mquinas atravs de telefone, podem usar as seguintes tcnicas para ocultar a sua ao:

Conectar-se, atravs de nmeros do tipo "0800", a centrais telefnicas privadas antes de se conectar a um provedor Internet utilizando contas "crackeadas" ou roubadas; Conectar-se a um host por telefone, e conseqentemente, Internet.

Aqueles que adotam estas tcnicas especiais de conexo (bouncing) atravs de redes telefnicas so extremamente difceis de rastrear, porque eles podem estar, literalmente em qualquer lugar do mundo. Se um cracker pode fazer um dial-up para um nmero 0800, ele pode conectar-se a mquinas em qualquer lugar do globo sem se preocupar com custos. A COLETA DE INFORMAES Antes de iniciar um ataque a uma rede corporativa atravs da Internet, o cracker tpico executar alguns testes preliminares nos hosts externos da rede que esto ligados de alguma forma esta rede. Ele tentar obter os nomes de mquinas externas e internas, usando algumas das seguintes tcnicas:

Uso do comando nslookup para executar comandos tipo "ls "; Visualizao do cdigo HTML dos servidores Web para tentar identificar outros hosts; Coneco com os servidores de correio eletrnico para executar comandos do tipo "expn "; Visualizao de documentos armazenados em seus servidores de FTP; Utilizao do comando finger para identificar os usurios em hosts externos. Crackers, normalmente, tentam obter informaes sobre o "layout" da rede em primeiro lugar; ao invs de tentar identificar as vulnerabilidades especficas. Observando, ento, os resultados dos "pedidos" acima mencionados, torna-se mais fcil para ele construir uma lista de mquinas e entender as relaes existentes entre elas. Quando executa estes testes preliminares, o cracker pode cometer, sem saber, alguns pequenos erros, como utilizar seu prprio IP para conectar-se a portas de mquinas para checar as verses do sistema ou outros pequenos detalhes. Ento, se o administrador acha que talvez suas mquinas estejam de alguma forma comprometidas, uma boa idia checar os logs de FTP e HTTPD e verificar qualquer registro anormal. IDENTIFICANDO COMPONENTES DE REDE CONFIVEIS Os crackers procuram por componentes de rede confiveis para atacar, pois estes, geralmente, so mquinas utilizadas pelos administradores ou mesmo um servidor que considerado seguro. Eles iniciaro conferindo o fluxo de dados NFS para qualquer das mquinas que estejam executando o nfsd ou o mountd. O caso que h diretrios crticos em alguns hosts (como /usr/bin, /etc, e /home, por exemplo) podem ser somente acessados e "montados" por mquinas confiveis. O finger daemon muito usado para identificar mquinas e usurios confiveis que conectam-se, com freqncia, em computadores especficos. O cracker ir, ento, procurar nessas mquinas por outras formas de "confiabilidade". Por exemplo, ele pode invadir uma mquina, utilizando

alguma vulnerabilidade no CGI e ento ter acesso ao arquivo /etc/hosts.allow, conforma j foi dito anteriormente. Aps analisar os dados decorrentes das checagens mencionadas acima, o invasor poder iniciar a identificao das partes confiveis entre os hosts da rede. O prximo passo seria, ento, identificar quaisquer hosts confiveis que podem ser suscetveis a algum tipo de vulnerabilidade remota. IDENTIFICANDO COMPONENTES VULNERVEIS DE UMA REDE Se o cracker elaborar listas de hosts externos e internos da uma rede, ele poder fazer uso de programas para sistemas Linux como ADMhack, mscan, nmap e alguns scanners simples para procurar por vulnerabilidades especficas nos mesmos. Usualmente, tais "rastreadas" tero origem em mquinas com conexes rpidas (geralmente conexes de fibras pticas), o ADMhack por exemplo, requer ser executado por um usurio root em uma mquina Linux. Por conseguinte, o cracker dever procurar utilizar uma mquina com uma conexo rpida, da qual ele tenha conseguido algum acesso ilegal e tenha instalado um rootkit ou algo semelhante nela. Esse rootkit usado para instalar backdoors em binrios crticos do sistema, tornanando o acesso do invasor nesta mquina algo difcil de ser detectado. Os administradores dos hosts que so usados como base de ataque a outros, geralmente, no fazem idia que esta tarefa esteja sendo executada atravs de suas mquinas, pois binrios comops e o netstat so alterados para ocultar os processos de ratreamento. Qual o administrador que inicialmente desconfiar que existe um "cavalo de Tria" no comando ps? Essa a essncia da coisa. Outros programas, tais como mscan e nmap no requerem ser executados como root e podem ser lanados de mquinas Linux (ou outras plataformas, no caso do nmap), para identificar efetivamente vulnerabilidades remotas. Todavia, estes rastreamentos so lentos e, geralmente, no podem ser muito bem ocultados. Tanto o ADMhack como mscan executam os seguintes tipos de teste em hosts remotos:

TCP portscan; Dump do servio RPC rodando atravs do portmapper ; Listagem dos dados exportados via nfsd; Listagem dos compartilhamentos feitos via Samba ou Netbios; Pedidos de finger mltiplos para identificar "contas default"; Rastreamento de vulnerabilidades de CGI; Identificao de verses vulnerveis de programas servidores, incluindo Sendmail, IMAP, POP3, RPC status e RPC mountd.

Programas como o SATAN raramente so usados pelos crackers atuais (ou melhor informados), pois eles so lentos e procuram por vulnerabilidades j obsoletas. Aps executar o ADMhack ou mscan nos hosts externos, o cracker ter uma boa idia de quais so vulnerveis e quais so seguros. Se existirem roteadores e estes possurem capacidades para SNMP, ento os crackers mais avanados adotaro tcnicas do tipo agressive-SNMP scanning e tambm tentaro ataques do tipo fora bruta. TIRANDO VANTAGENS DOS COMPONENTES VULNERVEIS DE UMA REDE Se o cracker identificou qualquer host externo confivel, ento ele tambm identificou algumas vulnerabilidades no mesmo. Se algum componente vulnervel de sua rede foi identificado, ento ele tentar compromet-la. Um cracker experiente no tentar invadir redes em horrio normal de expediente. Ele dever lanar seu ataque entre 21h e 6h da manh. Isto reduzir a probabilidade de algum descobrir o ataque, e dar ao mesmo um bom tempo para instalar backdoors e sniffers nas mquinas sem se preocupar com a presena de administradores de sistema. Muitos invasores tm a maior parte de seu tempo livre nos finais de semana e muitos dos ataques so feitos nos sbados e domingos. O cracker poder, portanto, invadir um host confivel externo, que dever ser usado como ponto de partida para lanar um externa e a interna, ele lograr sucesso, ou no. Se a invaso acontece em um servidor de correio eletrnico externo, pode ser que ele consiga acesso total a um segmento da rede interna, e ento ele poder iniciar um trabalho para tentar entrar em uma camada mais profunda da rede. Para invadir ou comprometer muitos componentes da rede, os crackers usaro programas para explorar remotamente verses vulnerveis de programas servidores (daemons), executando emhosts externos. Tais daemons, conforme j foi dito antes, incluem verses vulnerveis doSendmail, IMAP, POP3 e servios RPC como statd, mountd e pcnfsd. Muitos tentativas de explorao remotas feitas so lanados a partir de mquinas previamente comprometidas. Ao executar tal programa remotamente para explorar um daemon vulnervel rodando em algumhost externo da rede, o cracker poder obter acesso conta root deste host, que pode ser usada para obter acesso a outros hosts da rede corporativa. QUANDO O ACESSO A COMPONENTES VULNERVEIS DA REDE OBTIDO

Depois de conseguir explorar um servio e invadir uma mquina, o cracker passa a tratar dos binrios que contm backdoors e, em seguida, inicia uma operao de limpeza, cuidando doslogs, para que a sua presena no seja percebida. A implementao de backdoors acontece para que ele possa, mais tarde, continuar a ter acesso ao sistema mesmo que sua presena seja detectada. Muitas dessas backdoors usadas so prcompiladas, e so usadas tcnicas para mudar a data e a permisso dos novos binrios que contero. Na maioria dos casos, os binrios alterados tero o mesmo tamanho do original. Os invasores tm conscincia dos logs de transferncias feitas por FTP. Assim, eles podem usar o programa rcp para transferir seus backdoors para os hosts em questo. improvvel que tal cracker, invadindo uma rede corporativa iniciar seu ataque instalandopatches de vulnerabilidades nas mquinas. Geralmente, ele instalar backdoors e "cavalos de Tria" em binrios considerados crticos como o ps e o netstat para ocultar quaisquer conexes que ele, por ventura, venha fazer a esta mquina. Por exemplo, podem ser instalados backdoors nos seguintes "binrios crticos" em mquinas Solaris 2.x: /usr/bin/login /usr/sbin/ping /usr/sbin/in.telnetd /usr/sbin/in.rshd /usr/sbin/in.rlogind Alguns crackers podem adotar a estratgia de colocar um arquivo .rhosts no diretrio /usr/bin para permitir acesso remoto via comandos rlogin e rsh. Na seqncia, ele deve checar a mquina em busca de sistemas de logging que possam ter registrado suas conexes. Ento, ele proceder editando os arquivos que contm estes registros, apagando sua passagem pelo sistema. Se existe uma uma mquina "muito visada" em sua rede, aconselhvel que o administrador trate de direcionar os seus logs diretamente para uma impressora ou mesmo para uma outra mquina cujo acesso seja ainda mais difcil. Isto tornaria extremamente difcil para o cracker eliminar sua presena do sistema. Ao certificar-se que sua presena no est mais sendo registrada, o cracker proceder com a sua invaso rede privada corporativa. Muitos no iro tentar explorar vulnerabilidades de outros servidores externos, uma vez que eles j possuem uma base para tentar acessar a rede interna.

Abusos e privilgios em um acesso a uma rede

Das aes e procedimentos dos crackers aps invadir uma rede, o que trata esta seo. FAZENDO A TRANSFERNCIA DE INFORMAES SIGILOSAS Se a meta do invasor fazer transferncia de informaes sigilosas ou sensveis de servidores FTP ou servidores Web corporao, ele pode fazer isto a partir de um host externo que esteja atuando como um ponte entre a Internet e a rede interna. Porm, se a meta dele fazer a transferncia de informao sensvel armazenada nas mquinas da rede interna, ele tentar obter acesso a ele atravs do abuso de confiana que o host externo que ele est utilizando possui. EXPLORANDO OUTROS HOSTS E REDES CONFIVEIS Muitos crackers, simplesmente, repetiro os passos descritos na seo anterior para testar e obter acesso aos computadores de uma rede corporativa interna, dependendo do que ele est tentando obter. "Cavalos de Tria" e backdoors talvez sequer sejam instalados nas mquinas internas da rede. No entanto, se ele quer obter acesso total s mquinas da rede interna, ento ele no ss os instalar, como tratar de remover os logs do sistema, conforme dito na seo anterior, bem como instalar sniffers nas mquinas, conforme ser explicado abaixo. INSTALANDO FAREJADORES Uma maneira extremamente eficaz dos crackers obterem rapidamente uma grande quantidade delogins e senhas das mquinas da rede interna usar programas especiais chamados de Ethernet Sniffers. Os tais sniffers (farejadores) precisam operar na mesma Ethernet usada pelo cmputador ao qual o cracker deseja obter acesso. Ele no ser eficaz se for executado em uma mquina externa da rede. Para "farejar" o fluxo de dados em uma rede interna, o cracker precisa fazer uma invaso a algumhost da rede interna e obter acesso conta root. Este host precisa ter tambm um nmero IP que esteja na mesma rede dos demais internos. As tcnicas mencionadas na seo anterior so adotadas aqui, uma vez que o cracker precisa acessar e instalar backdoors para certificar-se que o farejador possa ser instalado e usado efetivamente. Depois de invadir, instalar as backdoors e os "cavalos de Tria" nos binrios ps e netstat, ser a vez de instalar o farejador no host. Ele, geralmente, instalado no diretrio /usr/bin ou /dev (no Solaris 2.x), e modificado para que se parea com um binrio qualquer do sistema.

Muitos farejadores so executados em modo background e produzem um arquivo de log na mquina local. importante lembrar que uma backdoor j deve ter sido instalada no ps, para que este processo no seja percebido pelo administrador. Os farejadores funcionam mudando a interface de rede para o chamado "modo promscuo". Esta interface, ento, passa a "escutar" todos os pacotes que trafegam na rede e manda os dados para o arquivo de log configurado. Quaisquer logins, senhas ou outros dados que possam ser usados para obter acesso a outros hosts da rede passam a ser registrados. Por estes programas estarem instalados em Ethernets, literalmente quaisquer dados que trafegam na rede podem ser "farejados"; tanto o trfego de dados que passa por este host, como o trfego que sai dele pode ser "farejado". O cracker dever retornar uma semana depois e far a transferncia do arquivo de logs que o farejador produziu. No caso de uma rede corporativa ter uma brecha como esta, est mais do que claro que o ele funcionar muito bem, e dificilmente ser detectado se uma boa poltica de segurana no for implementada. Um excelente utilitrio usado por administradores conscientes o TripWire disponvel no site do COAST (veja Referncias). Ele faz uma espcie de MD5 (checkSum) em seu sistema de arquivo e notificar qualquer mudana feita neles. Para detectar interfaces de redes promscuas (um sinal comum de instalao de farejadores), a ferramenta cpm, disponvel no site da CERT, muito til. Veja o endereohttp://www.cert.org/ft/tools/cpm/ para maiores informaes. TOMANDO REDES Se o cracker puder comprometer servidores considerados crticos que estejam executando aplicaes como bases de dados, operaes de sistemas de rede ou outras "funes crticas", ele poder facilmente "tomar" a rede por um certo perodo de tempo. Uma tcnica cruel, mas no usual adotadas pelos crackers que tentam desabilitar as funes da rede, a de deletar todos os arquivos dos servidores principais, usando o comando rm -rf / & neste servidor. Dependendo da poltica de backups do sistema, ele poder ficar por horas inutilizvel; ou at meses. Se ele obtiver acesso a rede interna, ele poder abusar das vulnerabilidades presentes em muitos roteadores como Cisco, Bay e Ascend. Em alguns casos ele poder reset-los ou deslig-los at que o administrador tome providncias e os reative. Isto pode causar grandes problemas com a funcionalidade da rede, j que ele pode ter montado uma lista dos roteadores vulnerveis que executam papis fundamentais na rede (se eles forem usados em algum backbone corporativo, por exemplo), ele poder, ento, desabilitar a rede da corporao por algum tempo. Por este

motivo, fundamental que os roteadores e servidores de "misso critica" sejam especialmente verificados, instalando patches e cuidando de sua segurana.
^

Concluso
O presente artigo apresentou os procedimentos e tcnicas adotadas pelos crackers quando pretendem invadir uma rede. Longe de ser alguam espcie de manual obscuro, a idia aqui conscientizar os administradores de sistema dos perigos aos quais sua rede pode estar exposta. Para tal, alm de estar alerta aos sinais de invaso aqui alertados, ele deve promover uma poltica de segurana em sua rede. Um bom comeo comecar a ler os documentos abaixo relacionados.
^

Referncias bibliogrficas
Aqui esto muitos documentos bons disponveis para ajudar voc a manter a segurana de seu sistema, recomendamos voc visitar os seguintes websites e dar uma olhada nos arquivos disponveis: http://www.antionline.com/archives/documents/advanced/ http://www.rootshell.com/beta/documentation.html http://seclab.cs.ucdavis.edu/papers.html http://rhino9.ml.org/textware/ http://listen.to/vexxor "Practical Unix & Internet Security" Este livro (em Ingls) uma boa introduo a segurana de UNIX e Internet, se voc no tenha lido muito sobre o assunto ultimamente. Simson Garfinkel and Gene Spafford O'Reilly & Associates, Inc. ISBN 1-56592-148-8
^

Ferramentas e programas
Existem excelentes programas para segurana que so gratuitos e esto disponveis para muitas plataformas como Solaris, IRIX, Linux, AIX, HP-UX e Windows NT, recomendamos a voc dar uma olhada nos seguintes websites para obter informaes sobre estes programas:

ftp://coast.cs.purdue.edu/pub/tools/unix/ http://www.alw.nih.gov/Security/prog-full.html http://rhino9.ml.org/software/ A Network Security Solutions Ltd. tambm est desenvolvendo um conjunto de ferramentas de segurana para UNIX e Windows NT nos prximos meses. Visite o site deles emhttp://www.ns2.co.uk
^

Copyright (c) Network Security Solutions Ltd. 1998 All rights reserved, all trademarks acknowledged http://www.ns2.co.uk

Traduzido por Cristiano Gerlach (vexxor) em Fevereiro de 1999. Underground Interface - http://listen.to/vexxor Este documento pode ser distribudo livremente, desde que seja mantida esta nota de copyright. Se forem extradas partes deste documento, os seus autores (Network Security Solutions Ltd.) devem ser citados, bem como o seu tradutor e o site que o abriga.
^

NewsGeneration, um servio oferecido pela RNP Rede Nacional de Ensino e Pesquisa Copyright RNP, 1997 2004