conceitos básicos de seguranca

na rede, mas também, a partir 
dela, de forma que computadores em sua rede interna não possam ser usados como agentes. Veja o capítulo 
a seguir, “Ferramentas” / Personal Firewalls. Lá, filtragem de pacotes será tratada com maiores detalhes. 
 
 O que é mais importante percebermos no DDoS é a dificuldade de se proteger. Imagine que um 
ataque seja inciado contra um host dentro da rede interna de sua empresa. Imagine também que o firewall da 
empresa não permita que o tráfego entre na rede interna, descartando todos os pacotes (UDP). Neste cenário, 
entenda que os pacotes chegaram até a porta do roteador, portanto, mesmo que o firewall descarte os 
mesmos, já ocuparam a banda do link de WAN. Neste caso, apesar do ataque não ter sido eficiente contra 
especificamente o servidor ou host em questão, irá tirar toda a rede do ar. 
 
 
CodeRed I, CodeRed II, Nimda 
e afins 
 
 Apesar de serem considerados worms, ou vermes, uma espécie de vírus, eles possuem funções 
internas que se assemelham bastante a um ataque do tipo DDoS, apesar de não ser possível direcionar tais 
ataques. 
 
Em 1988, a Internet foi assolada por um verme, ou prova de conceito criado por um estudante de 
graduação de Ciência da Computação, da Universidade de Cornell, nos Estados Unidos. O então desconhecido 
Sr. Robert Morris, não tinha a mínima idéia dos efeitos do código que tinha acabado de construir, e 
inicialmente, não pensava que sequer funcionasse. 
 
O programa escrito por ele visava explorar uma falha no sendmail, software usado para troca de 
mensagens eletrônicas (email). Contudo, algo não saiu como planejado: o verme que acabara de construir 
entrou em colapso (loop infinito) ao infectar os servidores, e, como efeito disso, passou a utilizar todos os 
recursos dos servidores, como CPU e memória. 
 
O caos se instalou nas principais instituições de ensino (universidades) e algumas instituições 
controladas pelo governo americano. Mais de 6000 hosts foram infectados pelo verme, e todos eles se 
transformaram em "zumbis", ou agentes, na tentativa de propagar-se. 
 
Em julho de 2001, a história se repetiu. 
 
 
Code Red 
 
Romulo Moacyr Cholewa – http://www.rmc.eti.br, agosto de 2001. Vide “Distribuição / Cópia” neste material 
para maiores detalhes. 
 
Romulo Moacyr Cholewa – http://www.rmc.eti.br, agosto de 2001. Vide “Distribuição / Cópia” neste material 
para maiores detalhes. 
A Internet foi atacada novamente por um verme com as mesmas características. O Code Red, ou 
"Código Vermelho", utiliza uma falha no servidor web da Microsoft, o IIS - Internet Information Server, e, 
através desta falha, uma vez infectado, o servidor passa a se comportar como zumbi, ou agente, tentando de 
forma randômica, descobrir novos servidores que usem o IIS, vulnerável, para infectá-los. 
 
http://www.cert.org/advisories/CA-2001-19.html 
 
O mais interessante disso tudo, é que, 13 anos após o Internet Worm original, de Robert Morris, o 
mesmo princípio ainda obteve sucesso. Pior, um patch, ou atualização, que corrige a falha explorada pelo 
Code Red, tinha sido publicado um mês antes. 
 
http://www.microsoft.com/technet/security/bulletin/MS01-033.asp 
 
 Entretanto, o primeiro Code Red, ou Code Red I, não possui uma carga que podemos classificar como 
realmente prejudicial ao servidor infectado. Não nos termos que incluem roubo ou comprometimento das 
informações. Seria mais adequado classificarmos o mesmo como uma prova de conceito, ou "proof of 
concept", apesar do aumento de tráfego que acarreta. Além disso, o seu código possui um bug. Ele gera 
randomicamente, endereços de rede (IP) que irá tentar infectar. O bug fez com que estes endereços não 
fossem realmente randômicos, fazendo com que o Code Red I atacasse uma faixa limitada de endereços, 
diminuindo seu raio de ação. 
Uma anáise COMPLETA do Code Red pode se encontrada em: 
 
http://www.eeye.com/html/advisories/codered.zip 
 
 
Code Red II 
 
Como se não bastasse, pelo fato do Code Red I não possuir uma carga diretamente prejudicial, foi 
lançado na Internet uma nova versão, chamada Code Red II. Esta versão possui o bug corrigido, de forma 
que seu algoritmo usado para gerar endereços de rede funcione corretamente. 
 
Além de gerar endereços de rede com maior eficiência, desta vez, trouxe uma carga extremamente 
prejudicial. 
 
Ao ser infectado pelo verme em sua mais nova versão, o servidor terá a raiz de cada partição 
(unidades de disco) válidas adicionadas à estrutura de diretórios do servidor web. Isso faz com que qualquer 
arquivo em todo o servidor se torne disponível a Internet, através de um browser. 
 
O verme também copia, para dentro do dietório /scripts do servidor web, uma cópia do arquivo 
cmd.exe. Este arquivo, no Windows NT 4.0 / 2000, é o prompt de comando. Com o comando certo enviado 
através de uma URL, para o servidor infectado, e com a ajuda do cmd.exe, é possível executar QUALQUER 
comando no mesmo, até mesmo criar um usuário, e adicioná-lo ao grupo de administradores. 
 
Ele também cria um novo explorer.exe, na raiz do drive C:, que é executado quando alguém efetua 
logon na console do servidor. Através dele que o Code Red II realiza a maioria de suas tarefas, como descrito 
acima. 
 
 
Nimda / Code Rainbow 
 
http://www.symantec.com/avcenter/venc/data/w32.nimda.a@mm.html 
 
O Nimda só não é considerado o worm mais perigoso de todos os tempos porque utiliza uma 
vulnerabilidade encontrada a quase um ano, e corrigida em 17 de outubro de 2000 (unicode traversal 
Romulo Moacyr Cholewa – http://www.rmc.eti.br, agosto de 2001. Vide “Distribuição / Cópia” neste material 
para maiores detalhes. 
 
Romulo Moacyr Cholewa – http://www.rmc.eti.br, agosto de 2001. Vide “Distribuição / Cópia” neste material 
para maiores detalhes. 
vulnerability - Microsoft Bulletin MS00-078 - http://www.microsoft.com/technet/security/bulletin/ms00-
078.asp). 
 
O Nimda é tão perigoso porque alia às funções de um worm, três formas de contágio, uma delas 
normalmente encontrada em vírus hoje em dia: contaminação através de mensagens de correio eletrônico. 
 
Para os três modos que o nimda pode infectar o sistema, em todas as três, ele usa falhas de 
segurança encontradas e consertadas a bastante tempo. De qualquer forma, é muito comum encontrarmos 
usuários e administradores de sistema que simplesmente não fazem seu dever de casa, atualizando seus 
computadores e servidores. 
 
Ele infecta sistemas de forma quase idêntica ao Code Red - através de uma falha do servidor web IIS 
- Internet Information Server - apesar de não ser exatamente a mesma. Ele compartilha a partição que 
contém os arquivos de dados do servidor web, habilita a conta de "guest", e a coloca dentro do grupo de 
administradores (isso no Windows NT 4.0 / 2000). 
 
Da mesma forma que o Code Red II, sistemas servidores infectados com o Nimda devem ser 
formatados e reinstalados, devido ao comprometimento de uma conta de administrador ou equivalente. O que 
mais impressiona neste worm é o fato de que ele também infecta através de mensagens de correio, e na visita 
de páginas infectadas (servidores web infectados pelo Nimda exibirão páginas que também contaminarão 
computadores que as visualizar - desde que não estejam atualizados). 
 
 
Conclusões 
 
Apesar do Internet Worm original, que aparentemente não foi colocado na Internet com a intenção de 
prejudicar computadores conectados à rede, os worms de hoje em dia são bem mais perigosos. Perceba que 
estes exploram falhas de segurança presentes em sistemas operacionais, já corrigidas a pelo menos um mês 
do início do contágio, o que levanta uma questão alarmante: administradores de sistema não estão cumprindo 
com suas tarefas básicas, como atualização / instalação de patches. 
 
Também podemos concluir que daqui pra frente, com o aumento do poder computacional,