Técnicas de ataques hacker


Abaixo Técnicas mais comuns de invasões :

Ataques de canal de comando
Esta técnica ataca diretamente um serviço específico, através do envio de comandos da mesma forma que o servidor geralmente recebe. Muito usados em forma de Worm causando negação de serviço.

Ataques direcionados à dados
É o que envolve as informações transmitidas pela rede, ou vírus transmitidos por correio eletrônico, geralmente para roubo de informações que trafegam pela rede, com senhas de internet e números de cartão de crédito

Ataques de terceiros
 Caso se permita conexão entrante em qualquer porta acima da 1024, na tentativa de dar suporte a algum protocolo, bastaria utilizar um firewall configurado para não permitir conexões em portas não usadas acima de 1024.

Falsa autenticação
 Um dos maiores riscos  à redes de computadores, por exemplo, criptografar uma senha e enviá-la pela rede por si só não funciona, pois um hacker pode estar coletando informações que trafegam pela rede com um sniffer (programa que permite capturar dados que trafegam pela rede) e depois usa a senha de forma criptografada mesmo para acessar o sistema.

 Packet sniffing
O sniffing é um software que captura as informações que trafegam pela rede,  dados importantes devem ser criptografados antes de serem transmitidos de forma que somente o computador de destino possa descriptografá-los. Porém, mesmo um arquivo autenticação criptografado pode ser usado para ataques, mesmo sendo impossível descriptografa-lo: Imagine capurar um pacote usado em hashes (utilização de usuário e senha) se um invasor obter um pacote destes, mesmo sem descriptografar, ele pode apresentar ao servidor de autenticação como sendo dele, o arquivo pode ser usado como credencial. Uma boa estratégia é utilizar servidor Kerberos (A versão 5 do kerberos que é uma versão simplificada, já é nativo  no Windows 2003 server quando configurado para controlador de domínio), este método de autenticação tem tempo limite de concessão de tickets que serão usadas na autenticação, deve ser usadas em até 5 minutos, mas este tempo pode ser configurado de acordo com as necessidades da empresa no secpol.msc do servidor. 

Injeção de dados
Um invasor que tenha acesso ao roteador que faz a conexão cliente-servidor, pode alterar os arquivos capturados ao invés de somente le-los, causando problemas na integridade do arquivo.

Syn Flod
É um dos ataques mais comuns de negação de serviço, visa impedir o funcionamento de um host ou de um serviço específico. Tudo se baseia na forma com que funciona as conexões a um servidor como no exemplo:
 O computador cliente envia um pacote para o servidor com um flg-syn, que indica que deseja fazer uma conexão, o servidor responde um pacote contendo os flags SYN e ACK, indicando que aceitou a solicitação e aguarda o cliente se identifique para que o requerimento seja atendido, o ataque consiste em se enviar várias solicitações com endereço de origem forjado, com isso os usuários autênticos ficam impedidos de fazer uso dos serviços. Causando indisponibilidade.

Ping of death
Consiste em enviar vários pacotes ICMP Echo-request (usados em testes de conexões) com um tamanho muito grande 65500 Bytes, que são muito maiores que o padrão de 32 bytes ocasionando um congestionamento e problemas no servidor, pode ser facilmente evitado com a utilização de um firewall que não permita ping´s superiores à 32 bytes ou simplesmente negue estes pedidos.

IP spoofing
É o nome dado a falsificação de endereços IP,  esta técnica permite ao invasor assumir a identidade de qualquer outro computador da rede,  através desta técnica, o atacante pode tirar proveito de  hosts confiáveis, aí é só acessar os dados. Em um servidor linux este tipo de ataque pode ser evitado facilmente com um firewall, porem a maioria das distribuições já vem com anti-spoofing ativado por padrão.

Ataques com uso de BOTS
Bots são malwares usados para ataques, um computador infectado com um BOT não tem sintoma algum (travamentos, lentidão etc..) O bot fica inativo no sistema até uma data e hora específica (coordenado a distância pelo criador do bot). Geralmente, hackers usam estes bots, espalhando-os pela internet até infectar milhões de computadores, após este periodo e muitos sistemas infectados, o hacker dá início a ação dos bots atacando um servidor por exemplo, com milhõs de “computadores zumbís” como seus aliados, e os donos dos computadores nem se dão conta disso.
Este ataque é capaz de “tirar do ar” grandes servidores de empresas globais.

Kerberos:
Da mitologia, existe o Cerberus, que é um cachorro de trez cabeças que guarda as portas do inferno, baseado nisso, o sistema de autenticação Kerberos é um sistema de autenticação baseado em 3 servidores, (concessão de tickets, autenticação e Serviços)

fonte : Professor André Silvertone

Leia também:  Ataque com SSLStrip

Pense como um hacker

Sniffer Spoofing: Ataques Monitorados


Segue um artigo escrito por parceiro Ricado Martins, quem quiser visitar o blog dele é só clicar no nome.

O que são os ataques monitorados?

Os ataques por monitoração são baseados em softwares de monitoração de rede conhecido como “sniffer”, instalado sorrateiramente pelos invasores.

O sniffer grava os primeiros 128 bytes de cada sessão login, telnet e FTP session vista naquele segmento de rede local, comprometendo TODO o tráfego de/para qualquer máquina naquele segmento, bem como o tráfego que passar por aquele segmento.

 

Os dados capturados incluem o nome do host destino, o username e o password. A informação é gravada em um arquivo posteriormente recuperado pelo invasor para ter acesso a outras máquinas.

Em muitos casos os invasores obtêm acesso inicial aos sistemas usando uma das seguintes técnicas:

  • Obtêm o arquivo de passwords via TFTP em sistemas impropriamente configurados;
  • obtêm o arquivo de password de sistemas rodando versões inseguras do NIS;
  • Obtêm acesso ao sistema de arquivos local via pontos exportados para montagem com NFS, sem restrições;
  • usam um nome de login e password capturada por um sniffer rodando em outro sistema.

Uma vez no sistema, os invasores obtêm privilégios de root explorando vulnerabilidades conhecidas, tal como rdist, Sun Sparc integer division e arquivos utmp passíveis de escrita por todo mundo ou usando uma password de root capturada.

Eles então instalam o software sniffer, registrando a informação capturada num arquivo invisível. Adicionalemtne , eles instalam cavalos de tróia em substituição dentre os seguintes arquivos do sistema, para ocultar sua presença:

/bin/login
/usr/etc/in.telnetd
/usr/kvm/ps
/usr/ucb/netstat

O que é Spoofing?

Continuar a ler