#H4ck3rCyd3 ~ Oque é um scripts kiddies ? É um termo pejorativo, usado em relação a "hackers" que por não terem grande conhecimento técnico, usam scripts prontos, "receitas de bolo", para invadir sistemas, fazer ataques DoS ou fazer baderna. Normalmente, estes scripts não requerem muito conhecimento técnico para serem usados, a maior parte pode ser usada até mesmo no Windows. Não é comum encontrar scripts atualizados em sites da web, mas eles são trocados e distribuídos abertamente em canais de IRC e redes P2P. Como muitos destes ataques são divulgados na mídia, é em grande parte graças aos scripts kiddies que o termo "hacker" passou a ser usado de forma negativa, já que a grande mídia normalmente não diferencia as duas coisas. Chamar alguém com um pouco mais conhecimento técnico de "script kid" pode ser considerado uma grande ofensa . Além dos scripts kids, existem também os "black hats", hackers "do mal", que realmente possuem bons conhecimentos, e os usam (com objetivos financeiros ou não) para invadir sistemas, descobrir novas brechas e aplicar golpes. Muitas vezes, um black hat desenvolve scripts que ao serem divulgados acabam senso usados em massa pelos script kiddies. ____________________________________________________ O Ataque do Script Kiddie: No quartel, costuma-se dizer que para se proteger do inimigo, primeiro deve-se saber como é este inimigo. Esta doutrina militar aplica-se prontamente ao mundo da segurança de redes. No exército, você possui certos recursos que deve tentar proteger. Para ajudar a protege-los, precisa-se saber qual é a sua ameaça e como ela pode surgir. Este artigo é sobre isto. Originalmente escrito por Lance Spintzer, ele discute as metodologias e ferramentas usadas pela mais comum das ameaças à segurança de uma rede, o script kiddie. Introdução: O script kiddie nada mais é do que alguém procurando por um alvo fácil. Este alguém não procura por informações ou companhias específicas. O seu objetivo é obter acesso à conta do administrador de uma máquina (root) da maneira mais fácil possível. Assim, a técnica utilizada consiste em focalizar as ações em um pequeno número de falhas (exploits) e procurar pela Internet inteira, até que se consegue encontrar uma máquina que seja vulnerável, o que acontece mais cedo ou mais tarde. Alguns deles são usuários avançados, que desenvolvem suas próprias ferramentas e deixam para trás backdoors sofisticadas. Outros sabem apenas superficialmente o que estão fazendo e limitam-se a digitar "go" na linha de comando. Embora o nível técnico deles possa diferir, todos usam uma estratégia comum: procurar, alternadamente, por falhas específicas, para que, mais a frente, elas possam ser exploradas. A ameaça: A seleção randômica dos alvos é que torna o script kiddie uma ameaça. Cedo ou tarde, seus sistemas e redes serão testados, e não há como se esconder para evitar isto. Há administradores que ficam pasmados ao ver seus sistemas serem rastreados ("escaneados"). Não há nada de inacreditável nisso. As redes destes, já podem ter sido testadas por um script kiddie, em um outro bloco, anteriormente, mas só agora foi que se percebeu a ação. Se o ataque for limitado a algumas "escaneadas individuais", as estatísticas estão a seu favor. Com milhões de sistemas na Internet, acreditava-se que, dificilmente, o seu sistema seria atacado. Mas, infelizmente, este não é o caso. Muitas das ferramentas são simples de usar e também são facilmente encontradas. Resultado: qualquer um pode usá-las. O rápido crescimento do número de pessoas que estão usando estas ferramentas é alarmante. Como a Internet não tem fronteiras geográficas, esta ameaça foi rapidamente expandida pelo mundo todo. Repentinamente a lei dos números está se voltando contra os administradores. Com o número crescente de usuários da grande rede, não mais uma questão de "se", mas de "quando" sua rede será testada ou rastreada. Este é um excelente exemplo de como a "segurança por obscuridade" pode falhar. Podia-se pensar que, se ninguém sabe sobre seus sistemas, ele estaria está seguro. Outros acreditam que, se seus sistemas não são importantes, então, por que alguém iria "escaneá-lo"? São estes sistemas que os script kiddies estão procurando, pois um sistema não protegido é fácil de explorar, sendo fácil de derrubar. A metodologia: A metodologia do script kiddie é simples: rastrear a Internet procurando por uma falha específica; quando encontrar, explorar. Muitas ferramentas usadas são automáticas, requerendo uma interação mínima. A pessoa pode executar a ferramenta e voltar alguns dias depois para ver o resultado. Não existem duas ferramentas iguais, assim como não existem dois exploradores iguais. Porém muitas das novas ferramentas se utilizam da mesma estratégia. Primeiro elas constróem uma base de dados dos IPs que serão rastreados, e então elas procuram nestes IPs por vulnerabilidades específicas. Por exemplo, digamos que um hacker possui uma ferramenta que pode explorar o serviço IMAP do Linux. Primeiramente, ele construirá uma base de dados dos IPs que serão rastreados (IPs que funcionem). Uma vez que esta base estija construída, ele deve determinar quais sistemas estão executando o Linux. Muitos scanners atuais podem facilmente determinar isto, enviando bad packets para o sistema e observando como eles respondem. Em seguida, ele irá executar ferramentas que determinem quais dos sistemas Linux possui implementado o serviço IMAP. Agora, tudo o que ele precisa é explorar os sistemas vulneráveis. Pode-se pensar que o rastreamento seja algo "ruidoso", que desperte atenção enquanto está ocorrendo. Entretanto, muitas pessoas não estão monitorando seus sistemas, e não percebem que estão sendo testadas. E também, muitos script kiddies procuram, silenciosamente, por um único sistema para explorarem. Uma vez que eles tenham obtido sucesso, eles podem usar este sistema como plataforma de lançamento para outros ataques. Dessa forma, eles podem rastrear a Internet inteira sem ter medo de serem descobertos. Se por ventura o forem, o culpado será o administrador dos sistema e não o sujeito mal intencionado. Os resultados do rastreamento são também arquivados e, geralmente, são compartilhados com outros usuários (script kiddies), podendo ser utilizados em uma data posterior. Por exemplo, o hacker constrói uma base de dados de quais portas estão abertas em sistemas Linux remotamente alcançáveis. No exemplo citado acima, foi construída uma base de dados dos sistemas Linux que possuem uma vulnerabilidade no IMAP. Entretanto, um mês depois, é descoberto uma vulnerabilidade diferente no Linux em uma porta (serviço) diferente também. Ao invés de construir uma nova base de dados com sistemas que possuam este problema - o consumiria um bom tempo -, o hacker em questão pode rapidamente revisar sua base de dados arquivada e então testar os sistemas vulneráveis. Como alternativa, os script kiddies, trocam entre si essas bases de dados. Logo, eles podem explorar sistemas vulneráveis sem nem mesmo tê-los rastreado. Isto nos leva a concluir que, se o seu sistema não sofreu nenhum ataque recentemente, não significa que ele esteja seguro. Os hackers mais sofisticados implementam "cavalos de Tróia" e backdoors na primeira vez que eles invadem o sistema. As últimas permitem acesso fácil e "furtivo" ao sistema, sempre que o mesmo quiser. Já os "cavalos de Tróia" tornam o hacker indetectável. Os acessos feitos pelo intruso não apareceria registrado (log), e os processos ou arquivos do sistema também seriam escondidos. Assim, ele constrói uma "casa" confortável e segura, a partir de onde pode-se rastrear a Internet inteira descaradamente. Ao contrário do que podia-se pensar, estes ataques não limitam-se a uma certa hora do dia. Muitos administradores procuram nos seus arquivos de log por testes ou rastreamentos que possam ter ocorrido tarde da noite, acreditando que é nestas horas que os hackers atacam. Script Kiddies atacam a qualquer hora do dia. Eles também podem ficar rastreando 24 horas por dia. Não se pode ter idéia de quando um rastreamento ocorrerá, pois estes são lançados de qualquer lugar do mundo. O hacker pode lançar um ataque a meia noite no país dele, mas aqui no Brasil pode ser 15 h. As ferramentas: As ferramentas são extremamente fáceis de usar. Muitas são limitadas a um único propósito, com várias opções de uso. Em primeiro lugar, vêm as ferramentas para construir bases de dados de endereços IP. Estas são extremamente discretas e rastreiam a Internet indiscriminadamente. Por exemplo, numa ferramenta que possui as opções A, B e C; uma letra escolhida pode determinar o tamanho da rede a ser rastreada. Ela, então, escolhe, randomicamente, qual é o IP de rede para rastrear. Outra ferramenta pode procurar por nomes de domínio. Estas constroem as bases de dados conduzindo transferências de zona de nome de domínio para o nomes de domínio e todos os seus sub-domínios. Dessa forma, os hackers podem construir bases de dados com mais de 2 milhões de IPs, rastreando os domínios ou .edu, por exemplo. Uma vez descobertos, os IPs são, então, rastreados por ferramentas para determinar as vulnerabilidades, assim como as versões do processo servidor de nomes (named), do sistema operacional ou dos serviços que estejam sendo executados naquela máquina. Quando sistemas vulneráveis são descobertos, o hacker finaliza sua tarefa. Existem várias ferramentas que combinam todos estes recursos juntos, tornando o trabalho ainda mais fácil. Como preteger-se dessa ameaça? Existem passos que podem ser seguidos para proteger-se contra estes problemas. Primeiramente, o que o script kiddie está procurando são invasões fáceis. Eles procuram por falhas comuns. Certifique-se que o seu sistema e sua rede estão protegidos contra vulnerabilidades conhecidas. Tanto o CERT quanto o CIAC são excelentes fontes onde pode-se verificar sempre as vulnerabilidades que vão sendo descobertas. Uma outra maneira de se proteger é executar somente os serviços que são essenciais. Se um serviço não é necessário, ele deve ser desligado. Caso contrário, deve ser verificado se o seu sistema possui a última versão ou se todos os patches/fixes foram instalados. Como foi visto na seção de ferramentas utilizadas, os servidores DNS são muito usados para construir bases de dados dos sistemas que podem ser testados/rastreados. Deve-se, portanto, limitar os sistemas que podem fazer a transferência de zona dos seus servidores de nomes. Registre qualquer tentativa de transferência para zonas não autorizadas e siga-as. É altamente recomendado atualizar para a última versão do BIND, que pode ser encontrado em isc.org/bind.html . E por último, deve ser observado se os seus sistemas sofrem ataques de rastreamento. Quando identificados, pode-se rastreá-los e entender melhor o funcionamento destas ameaças e então reagir a elas.
Posted on: Sun, 23 Jun 2013 22:19:09 +0000
Trending Topics
Recently Viewed Topics
© 2015