130 pág.

Pré-visualização | Página 24 de 43
na rede, mas também, a partir dela, de forma que computadores em sua rede interna não possam ser usados como agentes. Veja o capítulo a seguir, “Ferramentas” / Personal Firewalls. Lá, filtragem de pacotes será tratada com maiores detalhes. O que é mais importante percebermos no DDoS é a dificuldade de se proteger. Imagine que um ataque seja inciado contra um host dentro da rede interna de sua empresa. Imagine também que o firewall da empresa não permita que o tráfego entre na rede interna, descartando todos os pacotes (UDP). Neste cenário, entenda que os pacotes chegaram até a porta do roteador, portanto, mesmo que o firewall descarte os mesmos, já ocuparam a banda do link de WAN. Neste caso, apesar do ataque não ter sido eficiente contra especificamente o servidor ou host em questão, irá tirar toda a rede do ar. CodeRed I, CodeRed II, Nimda e afins Apesar de serem considerados worms, ou vermes, uma espécie de vírus, eles possuem funções internas que se assemelham bastante a um ataque do tipo DDoS, apesar de não ser possível direcionar tais ataques. Em 1988, a Internet foi assolada por um verme, ou prova de conceito criado por um estudante de graduação de Ciência da Computação, da Universidade de Cornell, nos Estados Unidos. O então desconhecido Sr. Robert Morris, não tinha a mínima idéia dos efeitos do código que tinha acabado de construir, e inicialmente, não pensava que sequer funcionasse. O programa escrito por ele visava explorar uma falha no sendmail, software usado para troca de mensagens eletrônicas (email). Contudo, algo não saiu como planejado: o verme que acabara de construir entrou em colapso (loop infinito) ao infectar os servidores, e, como efeito disso, passou a utilizar todos os recursos dos servidores, como CPU e memória. O caos se instalou nas principais instituições de ensino (universidades) e algumas instituições controladas pelo governo americano. Mais de 6000 hosts foram infectados pelo verme, e todos eles se transformaram em "zumbis", ou agentes, na tentativa de propagar-se. Em julho de 2001, a história se repetiu. Code Red Romulo Moacyr Cholewa – http://www.rmc.eti.br, agosto de 2001. Vide “Distribuição / Cópia” neste material para maiores detalhes. Romulo Moacyr Cholewa – http://www.rmc.eti.br, agosto de 2001. Vide “Distribuição / Cópia” neste material para maiores detalhes. A Internet foi atacada novamente por um verme com as mesmas características. O Code Red, ou "Código Vermelho", utiliza uma falha no servidor web da Microsoft, o IIS - Internet Information Server, e, através desta falha, uma vez infectado, o servidor passa a se comportar como zumbi, ou agente, tentando de forma randômica, descobrir novos servidores que usem o IIS, vulnerável, para infectá-los. http://www.cert.org/advisories/CA-2001-19.html O mais interessante disso tudo, é que, 13 anos após o Internet Worm original, de Robert Morris, o mesmo princípio ainda obteve sucesso. Pior, um patch, ou atualização, que corrige a falha explorada pelo Code Red, tinha sido publicado um mês antes. http://www.microsoft.com/technet/security/bulletin/MS01-033.asp Entretanto, o primeiro Code Red, ou Code Red I, não possui uma carga que podemos classificar como realmente prejudicial ao servidor infectado. Não nos termos que incluem roubo ou comprometimento das informações. Seria mais adequado classificarmos o mesmo como uma prova de conceito, ou "proof of concept", apesar do aumento de tráfego que acarreta. Além disso, o seu código possui um bug. Ele gera randomicamente, endereços de rede (IP) que irá tentar infectar. O bug fez com que estes endereços não fossem realmente randômicos, fazendo com que o Code Red I atacasse uma faixa limitada de endereços, diminuindo seu raio de ação. Uma anáise COMPLETA do Code Red pode se encontrada em: http://www.eeye.com/html/advisories/codered.zip Code Red II Como se não bastasse, pelo fato do Code Red I não possuir uma carga diretamente prejudicial, foi lançado na Internet uma nova versão, chamada Code Red II. Esta versão possui o bug corrigido, de forma que seu algoritmo usado para gerar endereços de rede funcione corretamente. Além de gerar endereços de rede com maior eficiência, desta vez, trouxe uma carga extremamente prejudicial. Ao ser infectado pelo verme em sua mais nova versão, o servidor terá a raiz de cada partição (unidades de disco) válidas adicionadas à estrutura de diretórios do servidor web. Isso faz com que qualquer arquivo em todo o servidor se torne disponível a Internet, através de um browser. O verme também copia, para dentro do dietório /scripts do servidor web, uma cópia do arquivo cmd.exe. Este arquivo, no Windows NT 4.0 / 2000, é o prompt de comando. Com o comando certo enviado através de uma URL, para o servidor infectado, e com a ajuda do cmd.exe, é possível executar QUALQUER comando no mesmo, até mesmo criar um usuário, e adicioná-lo ao grupo de administradores. Ele também cria um novo explorer.exe, na raiz do drive C:, que é executado quando alguém efetua logon na console do servidor. Através dele que o Code Red II realiza a maioria de suas tarefas, como descrito acima. Nimda / Code Rainbow http://www.symantec.com/avcenter/venc/data/w32.nimda.a@mm.html O Nimda só não é considerado o worm mais perigoso de todos os tempos porque utiliza uma vulnerabilidade encontrada a quase um ano, e corrigida em 17 de outubro de 2000 (unicode traversal Romulo Moacyr Cholewa – http://www.rmc.eti.br, agosto de 2001. Vide “Distribuição / Cópia” neste material para maiores detalhes. Romulo Moacyr Cholewa – http://www.rmc.eti.br, agosto de 2001. Vide “Distribuição / Cópia” neste material para maiores detalhes. vulnerability - Microsoft Bulletin MS00-078 - http://www.microsoft.com/technet/security/bulletin/ms00- 078.asp). O Nimda é tão perigoso porque alia às funções de um worm, três formas de contágio, uma delas normalmente encontrada em vírus hoje em dia: contaminação através de mensagens de correio eletrônico. Para os três modos que o nimda pode infectar o sistema, em todas as três, ele usa falhas de segurança encontradas e consertadas a bastante tempo. De qualquer forma, é muito comum encontrarmos usuários e administradores de sistema que simplesmente não fazem seu dever de casa, atualizando seus computadores e servidores. Ele infecta sistemas de forma quase idêntica ao Code Red - através de uma falha do servidor web IIS - Internet Information Server - apesar de não ser exatamente a mesma. Ele compartilha a partição que contém os arquivos de dados do servidor web, habilita a conta de "guest", e a coloca dentro do grupo de administradores (isso no Windows NT 4.0 / 2000). Da mesma forma que o Code Red II, sistemas servidores infectados com o Nimda devem ser formatados e reinstalados, devido ao comprometimento de uma conta de administrador ou equivalente. O que mais impressiona neste worm é o fato de que ele também infecta através de mensagens de correio, e na visita de páginas infectadas (servidores web infectados pelo Nimda exibirão páginas que também contaminarão computadores que as visualizar - desde que não estejam atualizados). Conclusões Apesar do Internet Worm original, que aparentemente não foi colocado na Internet com a intenção de prejudicar computadores conectados à rede, os worms de hoje em dia são bem mais perigosos. Perceba que estes exploram falhas de segurança presentes em sistemas operacionais, já corrigidas a pelo menos um mês do início do contágio, o que levanta uma questão alarmante: administradores de sistema não estão cumprindo com suas tarefas básicas, como atualização / instalação de patches. Também podemos concluir que daqui pra frente, com o aumento do poder computacional,