Conheça a nossa empresaNotícias de informática e segurançaBoletins, artigos, livros e dicas sobre segurançaO que oferecemosArquivos sobre segurançaUm apoio culturalFale com a Pangeia

 


 

 

 

SEGURANÇA

FÉRIAS!

Por Nelson Murilo (nelson@pangeia.com.br)

Época de férias escolares... neste período verifica-se um aumento significativo dos números de incidentes de segurança e isso não e' uma característica do Brasil, no mundo todo e' assim.

Os motivos são óbvios, tudo que rapazes de 12 a 25 anos tinham antes agora com tempo livre. E' nesse período que atacantes com maior conhecimento técnico, procuram se aproveitar desse aumento de ataques simplórios e medianos para tentar passar o(s) seu(s) ataque(s) desapercebido(s). Por isso e' importante relatar sempre os incidentes de segurança, mesmo os aparentemente simples como Backorifice, SubSeven e outros. Caso os relatos não aconteçam pode-se dar a entender que não existe verificação de atividades não usuais e um ataque mais complexo pode ter sucesso.

Normalmente para esconder a verdadeira origem, o atacante promove invasões em seqüência para só então tentar uma ação mais arriscada ao objetivo principal, então mais uma vez o relato ao responsável pelo domínio atacante pode permitir ao administrador daquela rede identificar uma invasão, tornando possível, através de uma sucessão de relatos às redes atacantes, conseguir identificar a real origem do ataque.

Mas como identificar o responsável por uma rede?

De posse do nome domínio da origem do ataque basta pesquisar no Registro.fapesp.br - Pesquisa de Domínios registrados na url

http://registro.fapesp.br/cgi-bin/nicbr/domainsearch

Mas nem sempre as coisas são assim tão fáceis, por vezes ao analisar os logs nos deparamos apenas com o endereço IP de uma máquina, para obter o nome do domínio para o qual aquele bloco IP foi alocado podemos recorrer cadastro dos provedores de backbone (EMBRATEL, FAPESP, GLOBAL-ONE, etc.) utilizando uma ferramenta chamada RWHOIS ou efetuando um TELNET direcionado à porta 4321 dos seguintes servidores: rwhois.embratel.net.br rwhois.fapesp.br rwhois.br.global-one.net.

Um exemplo onde deseja-se saber a quem pertence a rede 200.252.20.0, consultando-se a Embratel:

$ telnet rwhois.embratel.net.br 4321
Connected to wks11.rjo.embratel.net.br.
Escape character is '^]'.
%RWhois V-1.0: rwhois.embratel.net.br (by InterNIC Registration Services V-1.0B9.2)
200.252.20
TELEBRASILIA -TELECOMUNICACOES DE BRASILIA S/A BRASILIA

Class IP Netnumber: 200.252.20.0
IP Netnumber: 200.252.20.0/24

Record Last Updated on 19981223.

%oka

Outras ferramentas úteis são: TRACEROUTE (Unix), TRACERT (Win95/98/NT), HOST (Unix) e para os mais familiarizados NSLOOKUP(Unix) e DIG (Unix). Algumas das ferramentas marcadas como (Unix), podem ser encontradas para outros ambientes em sites para download de programas free/shareware. Relatar incidentes de segurança deveria ser uma prática em todo ambiente computacional, principalmente quando ligado à Internet. São medidas simples como essas que podem permitir um período de férias mais tranqüilo para todos. Administradores inclusive.

 

Voltar
Início

Copyright © 1995 - 2004 Pangeia Informática LTDA. Todos os direitos reservados.