Trabalho de informatica I - Malware

Prévia do material em texto

Introdução
No âmbito do presente trabalho da cadeira de Informática-I, elaborado por estudantes do 1º ano do curso de arquitetura, foi-nos proposto um tema de interesse social onde iremos abordar alguns dos software's maliciosos «Malware». Portanto, abrangeremos o Rootkit, Engenharia Social, Screen Logger e Port Scanner. 
 
 
Objetivos 
Objetivos Gerais:
Conhecer como se manifestam os seguintes Malware's: Rootkit, Engenharia Social, Screen Logger e Port Scanners.
Objetivos Específicos:
Descrever onde podemos aplicar os malware's acima citados;
Identificar a prevenção dos software's maliciosos;
Conhecer as táticas e as formas de como se detetam os malware's. 
Rootkit
Um rootkit é um conjunto de software de computador, tipicamente malicioso, concebida para permitir o acesso a um computador ou a áreas do seu software sem a autorização do administrador deste computador, isto é, para um utilizador não autorizado. Enquanto, ao mesmo tempo, mascarando a sua existência ou a existência de outro software.
O termo rootkit é uma concatenação do "root" (o nome tradicional da conta privilegiada em sistemas operacionais Unix-like) e a palavra "kit" (que se refere aos componentes de software que implementam a ferramenta). O termo "rootkit" tem conotações negativas através de sua associação com malware. 
A instalação do Rootkit pode ser automatizado, ou um atacante pode instalá-lo uma vez que já obtido raiz ou acesso de administrador. A obtenção desse acesso é um resultado de ataque direto a um sistema (ou seja), explorando uma vulnerabilidade conhecida (como o escalonamento de privilégios) ou uma senha (obtida por rachaduras ou engenharia social). Uma vez instalado, torna-se possível ocultar a intrusão, bem como para manter o acesso privilegiado. A chave é a raiz ou Administrador de acesso.
Controle total sobre um sistema significa que o software existente pode ser modificado, incluindo software que poderiam ser usados ​​para detetar ou contorná-la.
Deteção e Remoção de Rootkits
A deteção de rootkits é difícil porque um rootkit pode ser capaz de subverter o software que se destina a encontrá-lo. Métodos de deteção incluem o uso de um sistema alternativo e de confiança operacional, métodos comportamentais baseados em, a digitalização da assinatura, a digitalização diferença, e análise de despejo de memória. A remoção pode ser complicado ou praticamente impossível, especialmente em casos em que o rootkit reside no kernel; reinstalação do sistema operacional pode ser a única solução disponível para o problema. Ao lidar com rootkits firmware, a remoção pode exigir a substituição de hardware ou equipamento especializado.
Forma de prevenção do ataque de Rootkit 
Endurecimento de sistema representa uma das primeiras camadas de defesa contra um rootkit, para impedi-lo de ser capaz de instalar. A aplicação de patches de segurança, que aplica o princípio do menor privilégio, reduzindo a superfície de ataque e instalar software antivírus são algumas das melhores seguranças padronizadas eficazes contra todas as classes de malware.
Foram criadas novas especificações de inicialização da segura com o intuito de lidar com ameaças de rootkits, mas mesmo estes são vulneráveis ​​se os recursos de segurança que eles oferecem não são utilizados.
Para sistemas de servidor, Atestado servidor remoto utilizando tecnologias como Intel Trusted Execution Tecnologia (TXT) fornecem uma maneira de validar que os servidores permanecem em um estado muito bom. Por exemplo, Microsoft Bitlocker criptografia de dados em repouso valida servidores estão em um conhecido "bom estado" na inicialização. PrivateCore Cage é uma oferta de software que protege os dados em uso (memória) para evitar rootkits. A implementação PrivateCore trabalha em conjunto com a Intel TXT e bloqueia interfaces do sistema servidor para evitar potenciais bootkits e rootkits.
Aplicação de Rootkit
Fornecer um atacante com acesso completo através de um backdoor, permitindo o acesso não autorizado a, por exemplo, roubar ou falsificar documentos. Uma das formas de realizar isso é subverter o mecanismo de login, tais como o programa / bin / login em sistemas Unix-like ou GINA no Windows. A substituição parece funcionar normalmente, mas também aceita uma combinação de login secreto que permite um acesso direto atacante para o sistema com privilégios administrativos, ignorando mecanismos de autenticação e autorização padrão.
Esconder outros malwares, keyloggers nomeadamente o roubo por senha e vírus de computador. 
Apropriar-se da máquina comprometida como um computador zumbi para ataques a outros computadores. (O ataque tem origem no sistema comprometido ou rede, em vez de o sistema do invasor). "Zumbi" computadores são tipicamente membros de grandes botnets que podem lançar ataques de negação de serviço, distribuir e-mail spam, realizar a fraude do clique, etc.
Execução de gerenciamento de direitos digitais (DRM).
Rootkits modernos não elevar o acesso, mas são usados ​​para fazer uma outra carga de software indetectável adicionando capacidades furtivas.
Em alguns casos, rootkits podem proporcionar funcionalidade desejada, e pode ser instalado intencionalmente em nome do utilizador do computador com fins de esconder batota em jogos on-line de software como o Warden e muitos outros.
Proteção anti-roubo
Laptops podem ter software rootkit baseado no BIOS que irá periodicamente relatar a uma autoridade central, permitindo que o laptop a ser monitorizado, desativado ou apagado de informações no caso em que ele for roubado. Ignorando ativação do produto Microsoft
Engenharia Social
A Engenharia Social é uma técnica antiga e muito popular, que poderia ser traduzida, grosso modo, como “enganar pessoas”. A ideia é que o engenheiro social, como são conhecidos aqueles que praticam essa arte, possa manipular pessoas para que elas revelem informações importantes ou, então, para que elas façam algo que facilite o trabalho dele.
Além disso, a Engenharia Social também pode ser encarada como uma maneira de tirar proveito em benefício próprio, por meio de truques psicológicos, ao manipular a tendência que as pessoas possuem de confiar umas nas outras.
Muitas vezes o engenheiro social nem precisa encontrar pessoalmente a vítima para conseguir o que deseja. Boa parte dos ataques é feita por meio de um simples telefonema, sem nem mesmo ter ideia de como a vítima se parece. 
Aplicação da Engenharia Social
Existem diversos motivos para alguém estudar e usar esses truques:
Espionagem industrial;
Obter informações confidenciais para cometer alguma fraude;
Roubo de identidade;
Interromper redes e serviços ou, simplesmente, por pura diversão, apenas para provar que nenhum sistema é seguro o suficiente.
O famoso hacker Kevin Mitcnick foi um dos responsáveis pela popularização do termo Engenharia Social. Em seu livro “A arte de enganar”, Mitnick conta que teve o primeiro contato com a técnica aos 12 anos, quando percebeu que os bilhetes usados para as baldeações de ônibus usavam um esquema peculiar de furos em papel, utilizados pelos motoristas para marcar o dia, a hora e o itinerário das viagens.
Kevin se demonstrou interessado por aprender mais sobre os furos nos bilhetes e conseguiu uma bela explicação com um motorista que acabara se tornando amigo do rapaz que viria a se tornar um dos hackers mais conhecidos do mundo. Depois disso, com um furador e bilhetes sem uso que ele encontrava nas lixeiras dos terminais de ônibus, Kevin passou a viajar de graça pela Grande Los Angeles.
Truques da Engenharia Social e a Prevenção do Mesmo
Tática nº 1: Ambiente de Trabalho
Talvez você não perceba, mas deve ter dados confidenciais ou importantes totalmente desprotegidos dentro do escritório ou do setor para o qual você trabalha. Eles estão em diversos locais e só precisam de um pouco de falta de atenção para que caiam nas mãos de alguém mal-intencionado.
Constatou-seque a maior parte das empresas reaproveita folhas de sulfite para impressões de documentos que circularão apenas internamente. Essa é uma prática que traz economia e, ao mesmo tempo, demonstra uma preocupação ambiental. Porém, não é raro encontrar na pilha de papéis reaproveitáveis alguns demonstrativos ou relatórios internos que possam ter informações secretas. Ainda pior, pode ser que você encontre até folhas com a palavra “CONFIDENCIAL” estampada no cabeçalho.
Existe outro destino comum para essas folhas: a lixeira. Muitos documentos que estão sendo descartados no lixo podem estar parcialmente ou totalmente legíveis.
Muitas vezes esses papéis contêm informações aparentemente simples, como o nome ou o telefone de pessoas e departamentos, mas que podem ser usadas em conjunto com outras táticas. Até mesmo um calendário ou uma agenda jogada no lixo pode revelar detalhes da presença ou não de pessoas na empresa.
Tática nº 2: Portas e Catracas
Ter acesso aos departamentos onde se encontram esses tesouros também não costuma ser um problema para os engenheiros sociais. Para isso, muitas estratégias podem ser aplicadas.
Uma prática comum para entrar em setores protegidos é aproveitar a entrada de alguém. Quando o engenheiro social vê que a porta para o local foi desbloqueada por alguém, ele chega de surpresa, sorridente, dizendo que vai aproveitar a “carona”. Isso provavelmente não funcionaria em uma empresa com poucos funcionários, mas em grandes corporações, que ocupam diversos andares, é muito provável que confundam o engenheiro com um funcionário novo ou ainda desconhecido.
Essa prática também exige uma pesquisa prévia do invasor. Quanto mais ele souber sobre o local e as pessoas que trabalham por lá, melhor. Basta usar a roupa e as palavras certas para se disfarçar de empregado ou de alguém com permissão para estar ali.
Um sujeito uniformizado, que diz estar ali para trocar lâmpadas queimadas ou consertar o ar-condicionado pode receber a permissão de um recepcionista despreparado e caminhar livremente pelos setores.
Algo ainda mais simples pode funcionar. Alegando que esqueceu o cartão de funcionário em casa, um invasor pode acabar descobrindo falhas no sistema de catracas da entrada do edifício comercial. Muitos desses sistemas não funcionam bem ou são simplesmente ignorados por quem devia ler os relatórios de entrada e saída dos funcionários.
Um recepcionista, ao querer ajudar o “funcionário” que chegou atrasado e sem crachá, poderia revelar, sem querer, uma falha de segurança para o invasor, que voltaria a explorá-la quando fosse conveniente. São pequenos descuidos como esse que podem colocar a segurança de uma organização em risco.
Tática n° 3: Telefone
O telefone é a ferramenta preferida dos engenheiros sociais. E não é à toa: com uma simples ligação é possível conseguir informações confidenciais e acesso a pessoas importantes da organização.
A estratégia é a mesma: ao ligar para a vítima, o engenheiro social imita a voz de uma pessoa conhecida e se passa por ela. Assim como outras estratégias de ataque, essa também exige pesquisa e preparo para ser realizada, e com informações obtidas no lixo das empresas fica ainda mais fácil enganar a vítima.
O Help Desk é um setor muito visado por quem pratica esse tipo de ataque. Como os atendentes estão ali para ajudar e prestar suporte para quem ligar, eles já estão predispostos a entregar informações cruciais, involuntariamente.
Sendo assim, vale a pena ficar atento e lembrar-se de não revelar informações importantes ou pessoais sem ter certeza da identidade da pessoa com a qual você está falando.
Tática nº 4: Espiar o Teclado
Não é à toa que os avisos em caixas eletrônicos pedem para que as pessoas da fila respeitem um limite de distância enquanto outro cliente estiver usando o equipamento. Espiar alguém digitando uma senha é muito fácil e pode causar grandes dores de cabeça para a vítima.
Em inglês essa técnica tem até um nome divertido: shoulder surf, ou seja, obter informações ao “surfar” por cima dos ombros de alguém. O engenheiro social pode combinar essa técnica com outras, como ao entrar ilegalmente em uma área restrita.
Portanto, quando tiver desconhecidos por perto e você precisar informar uma senha, tente digitá-la rapidamente, para dificultar a ação do “surfista de ombros”.
Tática nº 5: Internet
Com a popularidade de spammers, golpistas virtuais, vírus e outros malwares, está cada vez mais difícil ser enganado por email ou chat. Porém, é sempre bom lembrar que engenheiros sociais também podem usar esses meios de comunicação para arrancarem dados ou manipularem alguém.
Um truque comum é o engenheiro social tentar se passar por administrador da rede ou técnico de um serviço que possa estar apresentando “problemas”. Com essa abordagem, pode ser que ele consiga o usuário e a senha da vítima. E já que muitas pessoas costumam usar a mesma senha para diversos perfis online, o agressor acaba tendo acesso a uma grande quantidade de informações pessoais da vítima.
Tática nº 6: Amizade
Nenhuma das táticas mencionadas acimas funcionam muito bem se o engenheiro social não explorar as fraquezas psicológicas do ser humano. Para isso, ele costuma usar muitos truques.
Um desses truques, por exemplo, é fazer com que a vítima se sinta submissa a um procedimento, usando falhas do comportamento ou convívio em grupo. Um exemplo seria abordar o funcionário de uma empresa alegando que todos do setor já responderam uma pesquisa e que só falta ele. Dessa forma, dificilmente o funcionário se recusaria a “colaborar” com o malfeitor.
A personificação também é muito aplicada, como já exemplificamos anteriormente. O engenheiro social finge ser outra pessoa para ter acesso a informações e locais protegidos: zelador, técnico de informática, gerente, parceiro comercial da empresa, ou simplesmente um empregado novo são algumas das possibilidades.
Mas nenhuma das técnicas desse item funciona bem sem a amizade. Fingir ser simpático e amigo da vítima é essencial para que o ataque seja bem-sucedido. Além disso, o engenheiro social terá a preocupação de não tentar arrancar todas as respostas em um período muito curto de tempo. Por isso a amizade se torna tão importante.
Screen Logger
ScreenLogger é um produto de gravação de tela desktop projetado para ambientes de rede, tais como call centers e back-offices. PC desktops telas são registrados como de vídeo para permitir que os supervisores para analisem a sequência exata dos eventos em qualquer PC na rede. Integração com gravadores de voz fornece reprodução de áudio e vídeo.
Screen Logger é como uma handycam para a sua tela. Ele pode gravar tudo, o monitor do computador é exibida na tela. A principal característica do Logger tela é capturar sua tela e registrá-lo em arquivos de log para que você possa visualizar a qualquer momento. Este é um recurso muito importante se você precisa manter backups para o seu trabalho, fazer alguma solução de problemas no seu computador, ou mesmo se você só quer saber o que acontece ao seu computador quando você estiver ausente. Ao capturar telas e log-los em arquivos de log vai-lhe dar uma figura sobre o que acontece ao seu computador.
Monitorar a atividade de PC pode ser uma necessidade vital para cada usuário. Especialmente quando se tem uma suspeita de que o seu PC é abusado, enquanto ele está longe dele. Em tal caso screen logger é a melhor solução para você. Ficar absolutamente invisível, imagem logger irá lhe fornecer relatórios detalhados de como seu PC foi utilizado durante a sua ausência.
Pode-se dizer também que Screen logger são ferramentas poderosas de vigilância que irá lhe fornecer relatórios visuais detalhadas de seu uso do PC.
Aplicação de Screen Logger
Ficar absolutamente indetectável por softwares de segurança e invisível para os usuários;
Fazer screenshots da área de trabalho com uma frequência definida e salvá-los em um lugar seguro garantindo assim que ninguém, mas você vai encontrar e visualizá-los.
Monitorar o computadorem tempo real;
Características adicionais de Screen Logger
Ao usar o screen logger estamos recebendo várias opções úteis, além de registro de tela.
Possibilidade de registro de tela para controlar a atividade do PC e da Internet
Com o screen logger podemos receber o pleno acesso a todos os relatórios que irá informá-lo de qualquer atividade do PC (teclas digitadas, aplicações lançado, cliques do mouse) e atividade de Internet (sites lançado, o usuário tempo gasto no site, etc.).
Gravador de tela Acesso total a conversas por mensagens instantâneas
Você pode facilmente controlar tudo o que foi enviado e digitado em mensageiros instantâneos com os keyloggers. Isto pode ser muito útil se você precisa saber com quem seus filhos estão falando ou o que seus empregados estão discutindo durante o dia de trabalho.
Port Scanner
Port scanner é uma aplicação criada para investigar um servidor ou host para as portas abertas. Isto é frequentemente usado pelos administradores para verificar as políticas de suas redes de segurança e por atacantes para identificar os serviços em execução em um host e explorar as vulnerabilidades.
A varredura de portas ou port scan é um processo que envia pedidos de clientes para uma variedade de endereços de porta de servidor em um host, com o objetivo de encontrar uma porta ativa, este não é um processo nefasto em si. A maioria dos usos de uma varredura de portas não são ataques, mas sondas bastante simples para determinar os serviços disponíveis em uma máquina remota.
Da maneira mais popularizada m port scanner (varredura de porta) são ferramentas com o objetivo de mapear as portas TCP e UDP. Neste teste ele identifica o status das portas, se estão fechadas, escutando ou abertas. Pode-se explicitar o range de portas que o aplicativo irá scanear, por ex: 25 a 80. Um dos port scanners mais conhecidos é o nmap.
Características de Port Scanner
Alguns port scanner's verificam apenas os números das portas mais comuns, ou portas mais comumente associado com serviços vulneráveis, em um determinado host.
O resultado de uma varredura em uma porta normalmente é generalizada em uma das três categorias:
Abrir ou aceites: O anfitrião enviou uma resposta indicando que o serviço estiver escutando na porta.
 Fechado ou negado ou não escuta: O host enviou uma resposta indicando que as conexões serão negados à porta.
Filtrada, Caiu ou bloqueado: Não houve resposta do anfitrião.
Aplicação do Port Scanner 
Geralmente, os port scanner's são usados por pessoas mal-intencionadas para identificar portas abertas e planejar invasões. 
Pode também ser usado por empresas de segurança para análise de vulnerabilidades (pen test).
Raramente utilizado devido à sua natureza ultrapassada, digitalização janela é bastante indigno de confiança para determinar se uma porta está aberta ou fechada. Ele gera o mesmo pacote como um ACK scan, mas verifica se o campo de janela do pacote tenha sido modificado. Quando o pacote chega ao seu destino, uma falha de projeto tenta criar um tamanho de janela para o pacote se a porta está aberta, sinalizando o campo da janela do pacote com 1 de antes de retornar ao remetente. Usando esta técnica de varredura com sistemas que não suportam esta implementação retorna 0 de para o campo da janela, rotulando as portas abertas como fechadas.
Desde varreduras SYN não são sub-reptícia suficiente, firewalls são, em geral, a digitalização para e pacotes de bloqueio na forma de pacotes SYN. Pacotes FIN pode contornar firewalls sem modificação. Portas fechadas responder a um pacote FIN com o pacote RST apropriado, enquanto portas abertas ignorar o pacote na mão. Este é um comportamento típico, devido à natureza do TCP, e é, em alguns aspectos, uma queda inevitável.
Os scanner's de portas mais simples utilizar as funções de rede do sistema operacional e são geralmente a opção seguinte para ir para quando SYN não é uma opção viável (descrito a seguir). Nmap chama este modo de conexão de digitalização, nomeado após a chamada de sistema Unix connect. Se uma porta está aberta, o sistema operacional completa o handshake de três vias TCP, e o scanner de porta fecha imediatamente a conexão para evitar a realização de um ataque de negação de serviço. [3] Caso contrário, um código de erro é retornado. Este modo de varredura tem a vantagem de o utilizador não necessita de privilégios especiais. No entanto, usando as funções de rede do sistema operacional impede controlo de baixo nível, de modo que este tipo de scan é menos comum. Este método é "barulhenta", especialmente se for um "Portsweep": os serviços podem registrar o endereço IP do remetente e sistemas de detecção de intrusão pode levantar um alarme.
Conclusão 
Após as pesquisas feitas, pudemos concluir que o malware é um tema de interesse social, pois é importante sabermos lidar com os sistemas maliciosos. Constatamos que há várias empresas e órgãos governamentais que investem muito dinheiro em segurança por meio de inovações tecnológicas: antivírus, firewall, proxy, sistemas para detetar invasões, autenticação por biometria e muitos outros. Tudo isso custa caro e, por incrível que pareça, pode ser completamente inútil se os funcionários que trabalham com essas tecnologias não tiverem o treinamento adequado.
Portanto, não estamos falando aqui de um treinamento sobre como trabalhar com o equipamento recém-comprado, mas sim de como se comportar dentro do ambiente de trabalho. O sistema de autenticação por digitais não servirá para nada se o segurança, por simpatia ou educação, abrir a porta para funcionários ou desconhecidos.
São situações como essas que podem levar hackers a romperem barreiras de segurança aparentemente impenetráveis.
Referencias Bibliográficas 
RFC 2828 Internet Security Glossary
http://support.microsoft.com/kb/313418
Erikson, Jon (1977). HACKING the art of exploitation (2nd ed.). San Francisco: NoStarch Press. p. 264. ISBN 1-59327-144-1.
Messer, James (2007). Secrets of Network Cartography: A Comprehensive Guide to Nmap (2nd ed.). Retrieved 2011-12-05.
 "Port Scanning Techniques". Nmap reference guide. 2001. Retrieved 2009-05-07.
Messer, James (2007). Secrets of Network Cartography: A Comprehensive Guide to Nmap (2nd ed.). Retrieved 2011-12-05.
Maimon, Uriel (1996-11-08). "Port Scanning without the SYN flag". Phrack issue 49. Retrieved 2009-05-08.
"Comcast Acceptable Use Policy". Comcast. 2009-01-01. Retrieved 2009-05-07.
"BigPond Customer Terms" (PDF). Telstra. 2008-11-06. Archived from the original (PDF) on January 26, 2009. Retrieved 2009-05-08.
Jamieson, Shaun (2001-10-08). "The Ethics and Legality of Port Scanning". SANS. Retrieved 2009-05-08.