NewsGeneration: um serviço oferecido pela RNP desde 1997


ISSN 1518-5974
Boletim bimestral sobre tecnologia de redes
produzido e publicado pela  RNP – Rede Nacional de Ensino e Pesquisa
19 de maio de 1999 | volume 3, número 3

volta à página inicial de NewsGeneration

Nesta edição:

NewsGeneration:



O Ataque do Script Kiddie

Cristiano Gerlach <>

Rede Nacional de Ensino e Pesquisa (RNP)

Introdução
A ameaça
A metodologia
As ferramentas
Como preteger-se dessa ameaça?
Conclusão

No quartel, costuma-se dizer que para se proteger do inimigo, primeiro deve-se saber como é este inimigo. Esta doutrina militar aplica-se prontamente ao mundo da segurança de redes. No exército, você possui certos recursos que deve tentar proteger. Para ajudar a protege-los, precisa-se saber qual é a sua ameaça e como ela pode surgir. Este artigo é sobre isto. Originalmente escrito por Lance Spintzer, ele discute as metodologias e ferramentas usadas pela mais comum das ameaças à segurança de uma rede, o script kiddie.

^

Introdução

O script kiddie nada mais é do que alguém procurando por um alvo fácil. Este alguém não procura por informações ou companhias específicas. O seu objetivo é obter acesso à conta do administrador de uma máquina (root) da maneira mais fácil possível. Assim, a técnica utilizada consiste em focalizar as ações em um pequeno número de falhas (exploits) e procurar pela Internet inteira, até que se consegue encontrar uma máquina que seja vulnerável, o que acontece mais cedo ou mais tarde.

Alguns deles são usuários avançados, que desenvolvem suas próprias ferramentas e deixam para trás backdoors sofisticadas. Outros sabem apenas superficialmente o que estão fazendo e limitam-se a digitar "go" na linha de comando. Embora o nível técnico deles possa diferir, todos usam uma estratégia comum: procurar, alternadamente, por falhas específicas, para que, mais a frente, elas possam ser exploradas.

^

A ameaça

A seleção randômica dos alvos é que torna o script kiddie uma ameaça. Cedo ou tarde, seus sistemas e redes serão testados, e não há como se esconder para evitar isto. Há administradores que ficam pasmados ao ver seus sistemas serem rastreados ("escaneados"). Não há nada de inacreditável nisso. As redes destes, já podem ter sido testadas por um script kiddie, em um outro bloco, anteriormente, mas só agora foi que se percebeu a ação.

Se o ataque for limitado a algumas "escaneadas individuais", as estatísticas estão a seu favor. Com milhões de sistemas na Internet, acreditava-se que, dificilmente, o seu sistema seria atacado. Mas, infelizmente, este não é o caso. Muitas das ferramentas são simples de usar e também são facilmente encontradas. Resultado: qualquer um pode usá-las. O rápido crescimento do número de pessoas que estão usando estas ferramentas é alarmante. Como a Internet não tem fronteiras geográficas, esta ameaça foi rapidamente expandida pelo mundo todo. Repentinamente a lei dos números está se voltando contra os administradores. Com o número crescente de usuários da grande rede, não mais uma questão de "se", mas de "quando" sua rede será testada ou rastreada.

Este é um excelente exemplo de como a "segurança por obscuridade" pode falhar. Podia-se pensar que, se ninguém sabe sobre seus sistemas, ele estaria está seguro. Outros acreditam que, se seus sistemas não são importantes, então, por que alguém iria "escaneá-lo"? São estes sistemas que os script kiddies estão procurando, pois um sistema não protegido é fácil de explorar, sendo fácil de derrubar.

^

A metodologia

A metodologia do script kiddie é simples: rastrear a Internet procurando por uma falha específica; quando encontrar, explorar. Muitas ferramentas usadas são automáticas, requerendo uma interação mínima. A pessoa pode executar a ferramenta e voltar alguns dias depois para ver o resultado. Não existem duas ferramentas iguais, assim como não existem dois exploradores iguais. Porém muitas das novas ferramentas se utilizam da mesma estratégia. Primeiro elas constróem uma base de dados dos IPs que serão rastreados, e então elas procuram nestes IPs por vulnerabilidades específicas.

Por exemplo, digamos que um hacker possui uma ferramenta que pode explorar o serviço IMAP do Linux. Primeiramente, ele construirá uma base de dados dos IPs que serão rastreados (IPs que funcionem). Uma vez que esta base estija construída, ele deve determinar quais sistemas estão executando o Linux. Muitos scanners atuais podem facilmente determinar isto, enviando bad packets para o sistema e observando como eles respondem. Em seguida, ele irá executar ferramentas que determinem quais dos sistemas Linux possui implementado o serviço IMAP. Agora, tudo o que ele precisa é explorar os sistemas vulneráveis.

Pode-se pensar que o rastreamento seja algo "ruidoso", que desperte atenção enquanto está ocorrendo. Entretanto, muitas pessoas não estão monitorando seus sistemas, e não percebem que estão sendo testadas. E também, muitos script kiddies procuram, silenciosamente, por um único sistema para explorarem. Uma vez que eles tenham obtido sucesso, eles podem usar este sistema como plataforma de lançamento para outros ataques. Dessa forma, eles podem rastrear a Internet inteira sem ter medo de serem descobertos. Se por ventura o forem, o culpado será o administrador dos sistema e não o sujeito mal intencionado.

Os resultados do rastreamento são também arquivados e, geralmente, são compartilhados com outros usuários (script kiddies), podendo ser utilizados em uma data posterior. Por exemplo, o hacker constrói uma base de dados de quais portas estão abertas em sistemas Linux remotamente alcançáveis. No exemplo citado acima, foi construída uma base de dados dos sistemas Linux que possuem uma vulnerabilidade no IMAP. Entretanto, um mês depois, é descoberto uma vulnerabilidade diferente no Linux em uma porta (serviço) diferente também. Ao invés de construir uma nova base de dados com sistemas que possuam este problema - o consumiria um bom tempo -, o hacker em questão pode rapidamente revisar sua base de dados arquivada e então testar os sistemas vulneráveis. Como alternativa, os script kiddies, trocam entre si essas bases de dados. Logo, eles podem explorar sistemas vulneráveis sem nem mesmo tê-los rastreado. Isto nos leva a concluir que, se o seu sistema não sofreu nenhum ataque recentemente, não significa que ele esteja seguro.

Os hackers mais sofisticados implementam "cavalos de Tróia" e backdoors na primeira vez que eles invadem o sistema. As últimas permitem acesso fácil e "furtivo" ao sistema, sempre que o mesmo quiser. Já os "cavalos de Tróia" tornam o hacker indetectável. Os acessos feitos pelo intruso não apareceria registrado (log), e os processos ou arquivos do sistema também seriam escondidos. Assim, ele constrói uma "casa" confortável e segura, a partir de onde pode-se rastrear a Internet inteira descaradamente.

Ao contrário do que podia-se pensar, estes ataques não limitam-se a uma certa hora do dia. Muitos administradores procuram nos seus arquivos de log por testes ou rastreamentos que possam ter ocorrido tarde da noite, acreditando que é nestas horas que os hackers atacam. Script Kiddies atacam a qualquer hora do dia. Eles também podem ficar rastreando 24 horas por dia. Não se pode ter idéia de quando um rastreamento ocorrerá, pois estes são lançados de qualquer lugar do mundo. O hacker pode lançar um ataque a meia noite no país dele, mas aqui no Brasil pode ser 15 h.

^

As ferramentas

As ferramentas são extremamente fáceis de usar. Muitas são limitadas a um único propósito, com várias opções de uso. Em primeiro lugar, vêm as ferramentas para construir bases de dados de endereços IP. Estas são extremamente discretas e rastreiam a Internet indiscriminadamente. Por exemplo, numa ferramenta que possui as opções A, B e C; uma letra escolhida pode determinar o tamanho da rede a ser rastreada. Ela, então, escolhe, randomicamente, qual é o IP de rede para rastrear. Outra ferramenta pode procurar por nomes de domínio. Estas constroem as bases de dados conduzindo transferências de zona de nome de domínio para o nomes de domínio e todos os seus sub-domínios. Dessa forma, os hackers podem construir bases de dados com mais de 2 milhões de IPs, rastreando os domínios .com ou .edu, por exemplo.

Uma vez descobertos, os IPs são, então, rastreados por ferramentas para determinar as vulnerabilidades, assim como as versões do processo servidor de nomes (named), do sistema operacional ou dos serviços que estejam sendo executados naquela máquina. Quando sistemas vulneráveis são descobertos, o hacker finaliza sua tarefa. Existem várias ferramentas que combinam todos estes recursos juntos, tornando o trabalho ainda mais fácil.

^

Como preteger-se dessa ameaça?

Existem passos que podem ser seguidos para proteger-se contra estes problemas. Primeiramente, o que o script kiddie está procurando são invasões fáceis. Eles procuram por falhas comuns. Certifique-se que o seu sistema e sua rede estão protegidos contra vulnerabilidades conhecidas. Tanto o CERT quanto o CIAC são excelentes fontes onde pode-se verificar sempre as vulnerabilidades que vão sendo descobertas.

Uma outra maneira de se proteger é executar somente os serviços que são essenciais. Se um serviço não é necessário, ele deve ser desligado. Caso contrário, deve ser verificado se o seu sistema possui a última versão ou se todos os patches/fixes foram instalados.

Como foi visto na seção de ferramentas utilizadas, os servidores DNS são muito usados para construir bases de dados dos sistemas que podem ser testados/rastreados. Deve-se, portanto, limitar os sistemas que podem fazer a transferência de zona dos seus servidores de nomes. Registre qualquer tentativa de transferência para zonas não autorizadas e siga-as. É altamente recomendado atualizar para a última versão do BIND, que pode ser encontrado em http://www.isc.org/bind.html . E por último, deve ser observado se os seus sistemas sofrem ataques de rastreamento. Quando identificados, pode-se rastreá-los e entender melhor o funcionamento destas ameaças e então reagir a elas.

^

Conclusão

O script kiddie é uma ameaça a todos os sistemas. Eles não tem nenhum preconceito, rastreiam qualquer sistema, em qualquer lugar do mundo, independente do valor do sistema. Cedo ou tarde o seu sistema será testado. Entendendo como funcionam, certamente você poderá proteger o seu sistema contra esta ameaça.

^

Texto escrito por Lance E. Spitzner
traduzido por Cristiano Gerlach
Web site: http://listen.to/vexxor

^

NewsGeneration, um serviço oferecido pela RNP – Rede Nacional de Ensino e Pesquisa
Copyright © RNP, 1997 – 2004