analógica, a 33.6 Kbps, Romulo Moacyr Cholewa – http://www.rmc.eti.br, agosto de 2001. Vide “Distribuição / Cópia” neste material para maiores detalhes. Romulo Moacyr Cholewa – http://www.rmc.eti.br, agosto de 2001. Vide “Distribuição / Cópia” neste material para maiores detalhes. conseguimos capturar a console de um computador ou servidor, ou até abrir uma sessão gráfica remotamente, isto tudo com um nível de usabilidade impressionante. Contudo, quando estamos falando destas facilidades, devemos lembrar também que o acesso a um computador através de um método destes é praticamente a mesma coisa que estar na console do computador. Muitas vezes, não lembramos deste detalhe e não tomamos as devidas precauções. Podemos classificar estes programas / serviços em dois tipos: 1. Captura de console 2. Sessão remota Captura de console Os programas que permitem capturar a console fazem exatamente isso. Permitem que, remotamente, se consiga ver e usar o ambiente gráfico (GUI) presente na console do computador, desde que devidamente autenticado. Geralmente, este tipo tem a pior performance, devido ao alto tráfego causado pelas imagens da interface gráfica (a imagem geralmente é passada como uma matriz de pontos). VNC (Virtual Network Computing) (http://www.uk.research.att.com/vnc/) O VNC tem se tornado uma febre recentemente em empresas. É um utilitário gratuito, que pode ser baixado diretamente do site da AT&T acima. O VNC é simplesmente um utilitário que permite a captura da tela de um computador, seja ele um Linux, Windows ou Macintosh. Isso por sinal é o que faz dele um sucesso. Outra grande vantagem do VNC é o cliente Java. O VNC possui um componente servidor (instalado no computador que se deseja gerenciar) e um componente cliente (instalado no computador que se deseja usar para acessar o servidor). Contudo, o próprio componente servidor possui um servidor Web incorporado, o que dispensa ter o cliente. Em resumo, é possível capturar a tela de um computador remotamente, apenas através de um browser. O VNC possui duas falhas de segurança em potencial. A autenticação inicial do VNC é criptografada. Porém, todo o tráfego a partir daí é “clear text” (sem criptografia de nenhum tipo). Portanto, sua utilização é recomendada apenas em redes confiáveis (trusted networks), ou que façam uso de canais privados de comunicação criptografados, como VPNs (Virtual Private Networks). Como abre inicialmente duas portas TCP, é fácil detectar que um computador possui o VNC instalado. Um método bastante simples é apontar um browser com suporte a Java para o endereço IP que se deseja testar, especificando a porta, como por exemplo: http://servidor_a_ser_testado:5800 ... Substituindo o “servidor_a_ser_testado” pelo nome ou IP do computador. Caso este computador possua o VNC instalado, e não exista nenhum filtro ou firewall que bloqueie estas portas, receberá no browser uma janela assim: Romulo Moacyr Cholewa – http://www.rmc.eti.br, agosto de 2001. Vide “Distribuição / Cópia” neste material para maiores detalhes. Romulo Moacyr Cholewa – http://www.rmc.eti.br, agosto de 2001. Vide “Distribuição / Cópia” neste material para maiores detalhes. A tela ao lado comprova que o computador “Zeus” possui o VNC instalado. Caso saiba a senha e a digite corretamente, a console do computador remoto se abrirá. Um pequeno detalhe: com o Windows NT / 2000 / XP, a console pode ficar bloqueada, através das teclas CTRL+ALT+DEL [ENTER]. Neste caso, apesar de capturar a console remota, o cliente não poderá prosseguir, a não ser que possua a senha para desbloqueá-la. Portanto, uma recomendação básica para quem usa o VNC com o NT/2000/XP é manter o hábito de sempre deixar a console travada. Veja: Uma vez de posse da informação de que um determinado computador em rede possui o VNC instalado, um potencial hacker poderá usar uma ferramenta de ataque por força bruta, e tentar quebrar a senha de acesso do VNC, como o VNCrack: http://www.phenoelit.de/vncrack/ Romulo Moacyr Cholewa – http://www.rmc.eti.br, agosto de 2001. Vide “Distribuição / Cópia” neste material para maiores detalhes. Romulo Moacyr Cholewa – http://www.rmc.eti.br, agosto de 2001. Vide “Distribuição / Cópia” neste material para maiores detalhes. Este utilitário terá maior eficiência contra a versão 3.3.3r7 e anteriores. Como administradores instalam o VNC e nunca atualizam, é muito comum encontrar versões até bem mais antigas. “É difícil admitir, mas os invasores geralmente conhecem tudo sobre você e seu sistema. Por outro lado, nós não conhecemos quem são, e o que pretendem. Além disso, o tempo está a seu favor, e absolutamente contra nós”. PCAnywhere (http://www.symantec.com/pcanywhere/index.html) O PCAnywhere é um dos produtos de acesso remoto mais conhecidos e difundidos. Ele é fabricado pela Symantec, a mesma empresa que fabrica o Norton Antivirus. O PCAnywhere fornece o controle total de um computador remotamente, seja através de uma rede, seja através de uma linha discada (modem). A maioria dos usuários desta ferramenta, quando a configuram para acesso via modem, acham que não é necessário colocar uma senha de acesso, e confiam completamente no número de telefone como barreira segurança (“quem vai adivinhar que no fone 2225522 existe um modem para gerência via PCAnywhere ?”). Infelizmente, existe uma técnica chamada “war dialing”, usada para descobrir, dentro e um intervalo de números telefônicos, quais respondem “voz” e quais respondem “dados”. Basicamente, é um programa que usa um computador para tentar, um a um, vários números telefônicos e emitir um relatório sobre quais destes responderam com sinal de modem. A maioria das grandes empresas possui suas próprias centrais telefônicas, e contratam um serviço da companhia telefônica chamado DDR (Discagem Direta Ramal). Assim, os números telefônicos desta empresa são sequenciais, facilitando ainda mais a técnica de war dialing. Quando isto não ocorre, o “hacker” tem por prazer configurar o programa de war dialing para discagem randômica, e deixá-lo trabalhando por semanas (às vezes até meses). Mais cedo ou mais tarde, ele achará algum número telefônico com um modem na ponta. Apesar de parecer uma técnica tipo “loteria”, sua eficácia é bastante alta, principalmente em empresas que usem serviços telefônicos de DDR. Além disso, o próprio PCAnywhere possui bugs, como qualquer outro programa. De acordo com o teorema fundamental dos firewalls, qualquer programa possui bugs. Um programa relativo à segurança terá bugs relativos a segurança. A última vulnerabilidade detectada no PCAnywhere permitia um ataque do tipo DoS, que impedia o programa de ser acessado remotamente depois de um ataque (versão 10.0). Porém, observe que a má configuração de um programa relativo a segurança pode ser desastrosa, muitas vezes pior e mais abundante do que qualquer problema relativo a bugs. Veja mais informações sobre problemas com o PCAnywhere em: http://www.securiteam.com/windowsntfocus/5FP0C1F55G.html http://www.securiteam.com/exploits/5BP0G201FO.html http://www.securiteam.com/windowsntfocus/5YP0C0K3FI.html Sessão remota Os programas de sessão remota permitem abrir uma nova sessão para um usuário, onde um novo ambiente é carregado, independente da console. Imagine um terminal remoto, com uma diferença: gráfico. Estas aplicações possuem a melhor performance, porque, apesar de tratarem partes da tela como uma matriz de pontos, mostram alguns itens na tela com comandos pré-definidos. Assim, como a utilização da rede é menor, há um ganho em velocidade. Romulo Moacyr Cholewa – http://www.rmc.eti.br, agosto de 2001. Vide “Distribuição