SEGURANÇA
FÉRIAS!
Por
Nelson Murilo (nelson@pangeia.com.br)
Época
de férias escolares... neste período verifica-se um
aumento significativo dos números de incidentes de
segurança e isso não e' uma característica do Brasil,
no mundo todo e' assim.
Os
motivos são óbvios, tudo que rapazes de 12 a 25 anos
tinham antes agora com tempo livre. E' nesse período
que atacantes com maior conhecimento técnico, procuram
se aproveitar desse aumento de ataques simplórios
e medianos para tentar passar o(s) seu(s) ataque(s)
desapercebido(s). Por isso e' importante relatar sempre
os incidentes de segurança, mesmo os aparentemente
simples como Backorifice, SubSeven e outros. Caso os relatos não aconteçam
pode-se dar a entender que não existe verificação
de atividades não usuais e um ataque mais complexo
pode ter sucesso.
Normalmente
para esconder a verdadeira origem, o atacante promove
invasões em seqüência para só então tentar uma ação
mais arriscada ao objetivo principal, então mais uma
vez o relato ao responsável pelo domínio atacante
pode permitir ao administrador daquela rede identificar
uma invasão, tornando possível, através de uma sucessão
de relatos às redes atacantes, conseguir identificar
a real origem do ataque.
Mas
como identificar o responsável por uma rede?
De
posse do nome domínio da origem do ataque basta pesquisar
no Registro.fapesp.br - Pesquisa de Domínios registrados
na url
http://registro.fapesp.br/cgi-bin/nicbr/domainsearch
Mas
nem sempre as coisas são assim tão fáceis, por vezes
ao analisar os logs nos deparamos apenas com o endereço
IP de uma máquina, para obter o nome do domínio para
o qual aquele bloco IP foi alocado podemos recorrer
cadastro dos provedores de backbone (EMBRATEL, FAPESP,
GLOBAL-ONE, etc.) utilizando uma ferramenta chamada
RWHOIS ou efetuando um TELNET direcionado à porta
4321 dos seguintes servidores: rwhois.embratel.net.br
rwhois.fapesp.br rwhois.br.global-one.net.
Um exemplo onde deseja-se saber a quem pertence a
rede 200.252.20.0, consultando-se a Embratel:
$
telnet rwhois.embratel.net.br 4321
Connected to wks11.rjo.embratel.net.br.
Escape character is '^]'.
%RWhois V-1.0: rwhois.embratel.net.br (by InterNIC
Registration Services V-1.0B9.2)
200.252.20
TELEBRASILIA -TELECOMUNICACOES DE BRASILIA S/A BRASILIA
Class
IP Netnumber: 200.252.20.0
IP Netnumber: 200.252.20.0/24
Record
Last Updated on 19981223.
%oka
Outras
ferramentas úteis são: TRACEROUTE (Unix), TRACERT
(Win95/98/NT), HOST (Unix) e para os mais familiarizados
NSLOOKUP(Unix) e DIG (Unix). Algumas das ferramentas
marcadas como (Unix), podem ser encontradas para outros
ambientes em sites para download de programas free/shareware.
Relatar incidentes de segurança deveria ser uma prática
em todo ambiente computacional, principalmente quando
ligado à Internet. São medidas simples como essas
que podem permitir um período de férias mais tranqüilo
para todos. Administradores inclusive.
|