____ _ ____ _
____ _ ____ _
/ ___|___ | |_ _ _ __ __ _ / ___| ___ ___| | __
/ ___|___ | |_ _ _ __ __ _ / ___| ___ ___| | __
| | / _ \| | | | | '_ \ / _` | | | _ / _ \/ _ \ |/ /
| | / _ \| | | | | '_ \ / _` | | | _ / _ \/ _ \ |/ /
| |__| (_) | | |_| | | | | (_| | | |_| | __/ __/ <
| |__| (_) | | |_| | | | | (_| | | |_| | __/ __/ <
\____\___/|_|\__,_|_| |_|\__,_| \____|\___|\___|_|\_\
\____\___/|_|\__,_|_| |_|\__,_| \____|\___|\___|_|\_\
Nova Versão 2003
Ataliba Teixeira «« ataliba@ataliba.eti.br »»
Ataque em massa no dia 06 ( domingo )
bom, muita gente já deve ter lido na mídia impressa sobre um ataque em
massa de crackers que irá ocorrer no dia 06 ( este domingo ).
bom, retirando os exageros da mídia não especializada, irei explanar
aqui mais ou menos o que pode vir a acontecer no dia 06 e quem são os
alvos destes crackers. aqui, na região, devido a pouca preocupação
dos administradores com a área de segurança
o estrago poderá
tomaer proporções bem grandes, caso muitos não tomem as precauções nesta
sexta e até, se possível, fiquem de plantão neste final de semana.
acredito, eu, que provedores de acesso também devem ter uma grande
preocupação com esta área, já que são alvos melhores para estes
crackers.
bom, primeiramente, vamos explicar alguns conceitos que vamos precisar
para entender o que eu vou falar abaixo. estamos falando,
principalmente aqui de crackers. crackers são criaturinhas que possuem
alto conhecimento técnico e que podem, sem dúvida, causar problemas a
grandes corporações, pois podem causar problemas aos seus
administradores de redes, e especialistas em segurança. estes crackers
possuem tanto conehcimento quanto os hackers e causam grandes problemas
quando conseguem acesso não autorizado a servidores.
no caso da notícia em questão, o que foi realmente dito ( pela imprensa
realmente séria do assunto ), é que grupos de defacers irão fazer um
grande estrago ( ataque em massa ), no próximo domingo, devido a um
concurso que os mesmos criaram. bom, defacers são um grupo de crackers
que se especializa em entrar em servidores e mudar a página inicial do
site. quem já viu um site invadido com a frase "owned by grupo", sabe do
que eu estou falando. estes crackers são como pichadores virtuais, que
entram no servidor simplesmente pelo prazer de mostrar que esteve ali.
em alguns casos eles não criam problemas para os administradores,
deixando inclusive dicas de como este administrador vai poder fechar a
falha para que outros não entrem. mas em outros casos, deletam todas as
páginas do servidor e por aí vai. no caso deste domingo, realmente, eles
não terão este tempo, pois o concurso deixa claro algumas coisas que
forçam que os mesmos façam tudo rapidamente.
o concurso, pelo menos de acordo com algumas notícias, como o Info
Guerra, fala que os grupos terão que desfigurar mais de 6 mil sites em
seis horas, ou seja, mais ou menos mil sites por hora. um site sobre o
concurso foi criado, mas eu pelo menos não consegui acessá-lo no momento
em que estava fazendo a coluna ( www.defacers-challenge.com.
há pessoas acreditando e não acreditando nisto, mas sinceramente, para
um bom administrador isto é um aviso que não pode ser deixado de lado. o
que acontece é que algumas coisas estão sendo faladas de modo que eu vou
explicar aqui e deixar claro :
* o tráfego da internet terá problemas : sim e não. o processo de
defacement de um site ocorre do seguinte modo. o cracker entra no
servidor através de uma vulnerabilidade qualquer, mas entra no site.
dentro do site ele cria um script que muda todas as páginas iniciais. ou
seja, no caso, uma só conexão foi criada, uma só passagem de dados e por
aí vai. o grande problema, principalmente no brasil, é que alguns
provedores tem seus servidores de páginas, junto com seus servidores de
autenticação de usuários. quando o ataque começar estes crackers irão
estar usando o mesmo link que os usuários. então, por este motivo, as
conexões do usuários estarão piores. e ainda, como o tráfego na internet
estará muito alto, a tendência é que a lentidão na grande rede também
aconteça. ou seja, o tráfego na internet poderá ou não se tornar lento,
isto vai depender muito do número de grupos que estiver envolvido no
problema.
* quem é alvo ? : empresas de médio e pequeno porte, e
principalmente, provedores de acesso e hospedagem de páginas. de acordo
com o site zone-h, que tem mirrors de ataques e notícias de assuntos
referentes a segurança, os alvos mais fáceis são os provedores. como eu
disse acima, os provedores, por terem várias páginas hospedadas serão
melhores pois em um pequeno tempo os crackers mudarão as páginas sem
problema nenhum. mas lógico, se sua empresa tem vários servidores, tenha
a preocupação de pelo menos fazer um check-up neles hoje.
* meu computador pode ser atacado ? - você, usuário comum, não
deve ter grandes preocupações. você não é um alvo de ataques assim. mas
ao mesmo tempo, pode ser uma grande ferramenta para um ataque deste
tipo. em seu computador pode ser instalalado algum kit de acesso
remoto e o cracker pode estar usando o processamento do seu computador
para fazer o rastreamento na rede de máquinas com vulnerabilidades.
pense, seu computador seria um escravo da máquina de algum cracker.
logicamente, para ajudar, no domingo seria interessante ou você não usar
a internet ou, então, procurar alguma ferramenta de auditoria completa
do seu sistema operacional e, assim, ter certeza que não está servindo
de escravo para alguma máquina.
isto são algumas das coisas que eu poderia dizer sobre o assunto. está
muito nebuloso realmente o que pode vir a acontecer, até porque, ataques
deste tipo são muito nebulosos mesmo.
a iss ( internet security systems ), que tem ótimas ferramentas de
segurança, também já notou que nesta semana os scaneamentos (
rastreamentos ) de vulnerabilidades já aumentaram muito. ou seja, o
movimento para o tal concurso já começou.
o que os administradores e usuários devem fazer hoje, amanhã, sempre, é
manter seus sistemas atualizados. lembrem-se, os crackers terão somente
seis horas para atacar seus sistemas. então, quem vai ser atacado, já
está com algum root kit ou outra coisa, possivelmente já instalado, para
que eles tenham o trabalho somente de entrar no servidor, quando do
começo do ataque.
sendo assim, administrador, hoje, perca um tempinho do seu dia para ir a
sua empresa ou a seus clientes e fazer um scanning procurando root kits
ou backdoors. para quem usa linux o ChkRootkit é uma ótima pedida para procurar root
kits. em outros sistema operacionais, uma busca na internet será bem
vinda ...
se seu serviço pode ficar offline durante algumas horas, desligue-o no
domingo. é uma dor de cabeça a menos ...
espero ter sido um pouco claro sobre o que pode acontecer neste domingo.
espero que os administradores de redes aqui da região já estejam se
movimentando ... senão, segunda, muita gente vai ter que varar noites e
noites, se preocupando em voltar servidores e páginas para o ar. ah,
lembrem-se, backup, hoje, é mais que importante ... é inevitável ...
quem quiser comunicar-se comigo, deixo meu emaile sites disponíveis ...
Ataliba Teixeira é graduando em Sistemas de Informação e consultor na
área de Tecnologia e Segurança da Informação. Seu site pessoal é http://www.ataliba.eti.br e seu site profissional é
http://www.consultoria.ataliba.eti.br.