Botnets

463 visualizações

Publicada em

Trabalho na Cadeira de "Segurança e Auditoria Informática", sobre Botnets.

Publicada em: Internet
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
463
No SlideShare
0
A partir de incorporações
0
Número de incorporações
2
Ações
Compartilhamentos
0
Downloads
0
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Botnets

  1. 1. Segurança e Auditoria Informática (Licenciatura em Contabilidade e Auditoria) Discente Docente Ano Letivo de 2012/2013 Segurança e Auditoria Informática (Licenciatura em Contabilidade e Auditoria) “Botnets” Discente: Maria José Moreira Rato Rodrigues – Docente: Prof. Doutor Sérgio Nunes Barcarena, 21 de Novembro Segurança e Auditoria Informática (Licenciatura em Contabilidade e Auditoria) 20111514. de Novembro de 2012
  2. 2. “BOTNETS” Maria José Rodrigues – 2012 – Universidade Atlântica Página 2 de 14 Resumo “BOTNETS” O objetivo principal deste trabalho é dar a conhecer mais em pormenor o que são “Botnets” (redes de “bots”), como estas redes são criadas, com que finalidades, quais os meios utilizados, as vulnerabilidades a que os computadores estão sujeitos e formas de as evitar e combater. Palavras Chave: Botnets, Bot, Internet, DDoS, Redes Sociais. Abstract “BOTNETS” The main goal of this work is to give an approach to what are Botnets, how they are created, what are the purposes of it, what kind of knowledge is used for it, the vulnerabilities that computers have to this kind of virus and the ways that we have to prevent them or to heal them. Keywords: Botnets, Bot, Internet, DDoS, Social Network.
  3. 3. “BOTNETS” Maria José Rodrigues – 2012 – Universidade Atlântica Página 3 de 14 1. ÍNDICE Resumo..............................................................................................................................2 “BOTNETS” .......................................................................................................................... 2 Abstract .............................................................................................................................2 “BOTNETS” .......................................................................................................................... 2 1. ÍNDICE ....................................................................................................................3 2. Introdução................................................................................................................4 “BOTNETS” .......................................................................................................................... 4 3. As “Botnets” e as redes sociais...............................................................................5 4. Como se fazem os ataques DDos? ..........................................................................5 5. O que são “Bots”? ...................................................................................................7 6. O que são “Botnets”?..............................................................................................8 7. O poder de uma “Botnet”, a sua criação e utilização ..........................................9 8. Vulnerabilidades a estes ataques .........................................................................10 9. Como identificar e mitigar ataques por DDoS? .................................................10 10. Conclusão............................................................................................................13 Bibliografia......................................................................................................................14
  4. 4. “BOTNETS” Maria José Rodrigues – 2012 – Universidade Atlântica Página 4 de 14 2. Introdução “BOTNETS” Sendo o objetivo principal deste trabalho dar a conhecer o que são “Botnets” ou redes de “bots”, como estas redes são criadas e com que finalidades; quais os meios utilizados para as instalar; as vulnerabilidades a que os computadores e outros tipos de equipamentos estão sujeitos; formas de as evitar e combater, não posso deixar de abordar este tema, tendo como pano de fundo as redes sociais e o seu funcionamento, uma vez que elas se tornaram um dos veículos preferenciais para o “recrutamento” de computadores ligados à internet. Após recolha de informação mais técnica sobre o tema, pretendo dar uma explicação que seja de fácil compreensão por forma a ser entendível para quem tenha menos conhecimentos ou aptidões informáticas, uma vez que, hoje em dia, todos nós fazemos uso de computadores ou outros equipamentos ligados à internet que facilmente podem ser recrutados por uma rede deste tipo sem nos apercebermos. Ao longo do trabalho ver-se-á como é fácil termos um “bot” instalado em qualquer um dos nossos equipamentos sem disso termos dado conta. O que é uma “BOTNET”? Uma “Botnet” é um número de computadores ligados à internet, que foram configurados para reenviar vírus para outros computadores igualmente ligados à internet.
  5. 5. “BOTNETS” Maria José Rodrigues – 2012 – Universidade Atlântica Página 5 de 14 3. As “Botnets” e as redes sociais Através das redes sociais são muitos e variados os ataques maliciosos a que os utilizadores se expõem. É por isso que vou incidir o tema do meu trabalho por esta via, uma vez que as “Botnets”, não sendo um ataque apenas possível através das redes sociais é, talvez, usando os exemplos que se lhes possam aplicar que se tornará mais claro perceber como estes ataques são perpetrados e como podem, ou não, ser evitados ou corrigidos, pois as redes sociais são, atualmente, porventura, uma das ferramentas da internet mais usadas pela maioria dos internautas. Vou tentar abordar este tema tanto pela perspetiva da vítima como do atacante, possibilitando, assim, uma melhor compreensão do que são “Botnets”. 4. Como se fazem os ataques DDos? Embora neste trabalho dê mais enfoque sobre o ataque do tipo DDoS1 , fica a informação de que as “Botnets” foram utilizadas para lançar muitos outros ataques, incluindo, roubo de identidade, extorsões, etc. Vou escalpelizar um pouco mais este tipo de ataque informático que é deveras bastante assustador, como vão ter oportunidade de verificar. Para começar os DDoS são fáceis de executar e é difícil de detetar o atacante. Basicamente qualquer pessoa que tenha um computador e saiba um pouco de informática pode lançar um ataque DDoS. De início os ataques DDoS podiam ser lançados apenas porque, simplesmente, alguém não gostava de uma pessoa ou empresa. A seguir essa pessoa, vestindo já a pele de atacante, determinava o tipo de DDoS que queria lançar, tendo à sua disposição uma vasta lista de tipos de ataques DDoS mais comuns, por exemplo: “Ping of Death” em que o atacante envia um pacote de pedido-eco de ICMP2 (Protocolo de Mensagens da Internet) que é maior do que o tamanho máximo do
  6. 6. “BOTNETS” Maria José Rodrigues – 2012 – Universidade Atlântica Página 6 de 14 pacote IP3 da vítima e, quando a vítima recebe esse pacote, o IP vai tentar montá-lo mas, como o pacote é grande demais não o vai conseguir, causando na vítima um “crash” ou até um “reboot”. Chegando a esta fase os atacantes só tinham de escolher a data e a hora para o ataque, mandavam um pacote aos seus cúmplices, contendo a indicação do ataque, data e hora e as instruções para a realização do ataque. Depois era só esperar para ver. Mas esta forma de atacar ainda não tinha atingido uma boa performance, se assim lhe podemos chamar, pois, estando o atacante dependente de cúmplices, acabava por ficar também à sua mercê, daí que, quanto menos pessoas envolvidas no processo melhor seria para o atacante, ficando assim mais protegida a sua identidade. Com a evolução os atacantes começaram a enviar vírus que instalavam aplicações nos computadores de utilizadores que não fossem suspeitos, ficando esses computadores “escravos” dos atacantes e obedecendo cegamente aos seus “mestres”, para lançarem ataques sem que os seus utilizadores sequer sonhassem com o que se estava a passar. Foi nesta altura que este tipo de ataques DDoS em rede ficaram conhecidos como “Botnets”. (wikinoticia, 2011)
  7. 7. “BOTNETS” Maria José Rodrigues – 2012 – Universidade Atlântica Página 7 de 14 5. O que são “Bots”? A palavra “bot” teve origem na palavra “robot”, existindo diversas espécies de “bots”, dos quais ficam aqui alguns exemplos: “GTbot” – consiste num conjunto de scripts de mIRC4 , usados para controlar a atividade do sistema remoto. Depois o “bot” ativa o cliente com os scripts de controlo, lançando também outra aplicação que esconde o mIRC do utilizador. “Agobot” – este tipo de “bot” é uma multiameaça e tenta esconder-se do utilizador, usando “NTFS Alternate Data Stream5 ” (permite que mais do que uma string de dados seja associada ao nome de um ficheiro), mata o antivírus (evitando que ele dê pela sua presença) e um motor de encriptação polimórfica (permite ao vírus transmutar-se a cada infeção). Este “bot” permite, por exemplo, o “sniffing”6 de tráfego. “Dataspy Network X” (DSNX)7 – é um Trojan que é instalado no sistema da vítima. O dono da “Botnet” pode, então, comunicar com o DSNX através de um canal de IRC, usando um código forte. O DSNX pode, inclusivamente, fornecer informação acerca de vários aspetos do sistema da vítima, tornando-o completamente vulnerável. “SDBot” – este “bot” é semelhante aos “Agobot” e “DSNX”, contudo o seu código não é claro e é limitado em termos de funcionalidades. Um “bot” pode ser criado de raiz ou pode usar-se um que já tenha sido criado e adaptá-lo. Se se souber usar um “bot” que já tenha sido criado é fácil fazer-se uma “Botnet” (rede de “bots”). Depois de se ter o “bot”, equipamo-lo com um servidor de IRC e informação de canal, restringe-se o acesso ao “bot”, torna-se o canal de IRC seguro e fornece-se uma lista de utilizadores seguros, podendo, também, equipar-se o “bot” com informação sobre o tipo de ataque que se pretende lançar e sobre a vítima a atingir com esse ataque.
  8. 8. “BOTNETS” Maria José Rodrigues – 2012 – Universidade Atlântica Página 8 de 14 6. O que são “Botnets”? Pertencendo as “Botnets” a um ataque do tipo DoS (Denial-of-service) – negação de serviço, na sua versão mais avançada, vamos recuar um pouco na história da tecnologia dos ataques informáticos deste tipo para melhor compreender os ataques DDoS (Distributed Denial-of- Service) – negação de serviço distribuído, ou “botnets”. Podemos definir um DoS como um ataque proveniente de um endereço de IP para esgotar os recursos de um computador e assim impedir o utilizador de os usar como, por exemplo, se quisermos impedir uma pessoa de utilizar um telemóvel, podemos fazê-lo se começarmos a ligar para essa pessoa e a desligar a chamada assim que ela atende e, fazendo isto de uma forma continuada, a outra pessoa, que se vai sentir incomodada vai, muito provavelmente, desligar o telemóvel, pelo menos por algum tempo. Conseguimos, então, que essa pessoa fique impedida de usar os recursos do seu equipamento. Dado este exemplo mais simplista e passando para o nível informático o que os ataques de DoS, normalmente, pretendem afetar são, de entre outros, um dos seguintes recursos do utilizador: consumir os recursos informáticos, tais como a largura da banda, espaço de disco ou tempo de processamento; quebra da informação configurada, tal como roteamento de informação8 quebra da informação de estado, tal como religações não solicitadas de sessões de TCP9 obstrução de comunicações de “media” entre os utilizadores interessados e a vítima, para que não consigam comunicar adequadamente. Ora. Um ataque DDoS é uma versão mais avançada de um ataque DoS. Em vez de ser utilizada apenas uma fonte de ataque utilizam-se diversas fontes de ataque ao mesmo tempo. Com esta nova versão o alvo do ataque esgota todos os seus recursos e, se esse mesmo ataque for proveniente de diversas localizações, torna-se muito mais difícil de encontrar o atacante.
  9. 9. “BOTNETS” Maria José Rodrigues – 2012 – Universidade Atlântica Página 9 de 14 7. O poder de uma “Botnet”, a sua criação e utilização No seguimento do ponto anterior é fácil depreender que, quanto mais “escravos” (bots) a rede conseguir “recrutar”, tanto mais “mortíferos” se tornarão os ataques. É assustador verificar-se como este tipo de ataque se veio a vulgarizar, de tal forma que, hoje em dia, pode-se inclusivamente, desde que motivados para isso, aceder à internet e alugar uma “Botnet” para lançar ataques de DDoS. Imagine-se o que seria tornar uma rede social inteira numa autêntica “Botnet”, seria possível? Pois não só é possível como também é praticável. Podemos indicar o início dos anos 2000 como o despontar do uso malicioso das “Botnets”. Nessa altura muitas pessoas para se comunicarem utilizavam o mIRC. Assim sendo os “bots” tomando a aparência de clientes legítimos do mIRC, escondiam-se nas diretorias do Windows. Então, os atacantes, ao alertarem os utilizadores para fazerem atualizações de software para protegerem os seus computadores, na realidade infetavam-nos, instalando um “bot”. O dono do “bot” podia, então, enviar aos “bots” da sua rede os comandos para lançar um ataque. O que de resto foi já explicado com mais pormenor no ponto 5. O que são “bots”? De uma forma simplista podem considera-se os seguintes passos na criação, utilização e destruição de uma “Botnet”: Criação dos “bots” Configuração dos “bots” Infecção dos “bots” Controlo dos “bots” por parte do atacante, “Dono” da “Botnet” Destruição da “Botnet” por parte do atacante, deitando abaixo o canal de IRC.
  10. 10. “BOTNETS” Maria José Rodrigues – 2012 – Universidade Atlântica Página 10 de 14 8. Vulnerabilidades a estes ataques Neste tipo de ataques as principais vulnerabilidades encontram-se a nível das portas do Windows, indico algumas das portas que podem ser utilizadas para a introdução e alojamento de “bots”: Porta Serviço 42 WINS (nome do servidor anfitrião) 80 http (vulnerabilidade IIS ou Apache10 ) 1025 Windows Messenger 1433 Servidor SQL11 da Microsoft 5000 UPnP (Plug and Play Universal) (Timm & Perez, 2010) A par de todas as vulnerabilidades em termos de hardware e software a este e outros tipos de ataques, temos que ter em conta, igualmente, o desconhecimento e má utilização por parte dos utilizadores que, se alertados para estes factos, poderiam proteger-se melhor, criando barreiras à intrusão de software malicioso. 9. Como identificar e mitigar ataques por DDoS? Primeiro temos de nos inteirar se fomos alvo de um ataque por DDoS. Se verificarmos que múltiplos servidores vão abaixo e que a nossa ligação à internet está demasiado lenta isso é já um indício de que, muito provavelmente, fomos alvo de um desses ataques. Se tivermos conhecimentos mais avançados de informática, após termos identificado os que se passa na nossa rede, poderemos ser nós próprios a tentar mitigar o problema, mesmo que seja apenas para podermos utilizar alguns dos nossos recursos, e isso pode ser feito de duas formas: limiar o tráfego – possibilita a limitação de tráfego mas pode também limitar tráfego que seja importante;
  11. 11. “BOTNETS” Maria José Rodrigues – 2012 – Universidade Atlântica Página 11 de 14 filtrar o tráfego para um “Honeypot” – isto permite enviar o tráfego para uma interface que não existe, aliviando, desta forma, o consumo dos recursos. De qualquer forma, pela literatura consultada, verificamos que é muito difícil mitigar um ataque deste tipo mesmo recorrendo a ferramentas apropriadas como é o caso do Cisco Guard, Intruguard e Netscreen. Foi notícia em 2009 um ataque ao Planet que é um fornecedor de hospedagem de sites e que utiliza o Cisco Guard que, embora tendo a proteção correta, foram vítimas de um ataque de DDoS que foi contra o comportamento usual de um ataque desse tipo. Eles conseguiram resolver o problema mas ainda estiveram afetados durante um período de 2 horas e meia. No entanto, apesar da grande dificuldade, senão impossibilidade, por enquanto, em evitar um ataque de DDoS, ficam aqui algumas recomendações que, talvez por serem tão simples, não as utilizamos normalmente, ou seja: utilizar software antivírus e antimalware manter o antivírus atualizado não abrir e-mail’s de quem não conhecemos não clicar em links que não conhecemos não visitar sites com os quais não estamos familiarizados Estes são os procedimentos básicos para se evitarem problemas. Se assim não tivermos procedido e notarmos que o nosso equipamento está muito lento, o mais provável, é termos sido atacados. Então, há que verificar essa situação. E como se pode verificar? Se se tratar de um equipamento particular, em ambiente MS-DOS12 utilizamos o comando netstat que nos apresenta todas as comunicações entradas e saídas ativas o que nos vai permitir, desde que possuamos conhecimentos para tal, se estamos ou não infetados. Este comando funciona tanto em sistemas Windows como em Unix.
  12. 12. “BOTNETS” Maria José Rodrigues – 2012 – Universidade Atlântica Página 12 de 14 Se chegarmos à conclusão de que fomos atacados desligamos todos os browsers e aplicações da internet, fazemos uma atualização do antivírus com base na última assinatura. Depois de atualizarmos o antivírus temos de proceder a uma verificação completa do sistema e remover o vírus. Por fim reiniciamos o equipamento e o problema deve ficar resolvido. Se se tratar de uma empresa devemos, de uma forma proactiva, proceder da seguinte forma para mitigar os utilizadores de serem atacados com “bots”: instalar software de antivírus em todos os equipamentos manter o antivírus sempre atualizado instalar um IDS (sistema de deteção de intrusão) com base na rede ou um IPS (sistema de prevenção de intrusão) nos pontos de entrada da rede e em volta dos servidores críticos instalar IDS/IPS, com base no anfitrião, nos servidores críticos ficar atento às atualizações sobre novas ameaças bloquear as ligações de saída a todas as portas que não sejam necessárias aos negócios da empresa usar filtros de internet e/ou servidores de proxy13 para ajudar a bloquear vírus executáveis e a detetá-los. (Tupinambá) Tablet da Apple suporta três tipos de VPN
  13. 13. “BOTNETS” Maria José Rodrigues – 2012 – Universidade Atlântica Página 13 de 14 10. Conclusão As “Botnets” são uma realidade e, se uma “Botnet” for de uma dimensão razoável pode ser alugada ou vendida, rendendo uma boa maquia para quem a vende. Vimos que há formas de mitigar este tipo de ataque com técnicas simples e naturais, as quais devíamos já estar a praticar. Se assim não o fazemos será melhor que o façamos bem rapidamente pois, se estas ameaças são já do domínio público, de certeza que novos ataques estão já em estudo ou até, quiçá, em implementação. No campo da informática, como em tantos outros, o que nós conhecemos já pertence ao passado daí a necessidade de nos mantermos sempre atualizados sobre as ameaças novas ou as emergentes. Como curiosidade deixo aqui alguns exemplos de como as “Botnets” constituem uma verdadeira ameaça: • Em 2007, Vint Cerf, coinventor do TCP/IP, indicava que 100 a 150 milhões de 600 milhões de computadores ligados à internet faziam parte de uma “Botnet”. (Timm & Perez, 2010) • A Conflicker recrutou mais de 10.000.000 bots capazes de produzir 10 biliões de mensagens de spam por dia. (Timm & Perez, 2010) • A Srixbi recrutou 450.000 bots capazes de produzir 60 biliões de mensagens de spam por dia. (Timm & Perez, 2010) Se estes números não nos assustarem não sei, então, o que nos possa assustar!
  14. 14. “BOTNETS” Maria José Rodrigues – 2012 – Universidade Atlântica Página 14 de 14 Bibliografia Timm, C., & Perez, R. (2010). Seven Deadliest Social Network Attacks. Burlington: Adam Ely. Tupinambá, R. (s.d.). Obtido em 14 de 11 de 2012, de http://rtupinamba.blogspot.pt/2011_05_01_archive.html#.UKO13eRNXIc wikinoticia. (22 de 06 de 2011). pt.wikinoticia.com. Obtido em 14 de 11 de 2012, de pt.wikinoticia.com: http://pt.wikinoticia.com 1 DDoS - as tarefas de ataque de negação de serviço são distribuídas a um "exército" de máquinas escravizadas. 2 ICMP - é o protocolo utilizado por todos os switchs, para assinalar um erro (chamado Delivery Problem). 3 IP - Cada computador na internet possui um IP (Internet Protocol) único, que é como as máquinas se comunicam na Internet. 4 scripts de mIRC – é uma distribuição para o mIRC que engloba várias utilidades que faz com que a sua utilização seja mais simples ou completa que o mIRC em si. 5 NTFS Alternate Data Stream – um ficheiro NTFS é composto de streams de dados. Qualquer tipo de informação pode ser armazenada num ADS, e permanece invisível para o utilizador. 6 “sniffing” - O sniffing pode ser utilizado com propósitos maliciosos por atacantes que tentam interceptar o tráfego da rede com diversos objetivos: obter cópias de arquivos importantes durante a sua transmissão, e obter passwords que permitam alargar o seu raio de penetração num ambiente atacado ou ver as mensagens em tempo real. 7 “Dataspy Network X” (DSNX) – O vírus DSNX é um virus Trojan que pode conceder ao seu criador acesso ao seu computador. Tal como muitos outros viris Trojans, o virus DSNX é controlado pelo deu criador, usando canais de IRC. 8 roteamento de informação – informação por pacotes através de routers. 9 sessões de TCP - Significa 2 máquinas terem o mesmo sistema de identificação e procederem da mesma maneira para estabelecimento da ligação e troca de dados. 10 vulnerabilidade IIS ou Apache – O Apache é um software de código aberto para o sistema Linux e IIS é um pacote da Microsoft Windows. 11 Servidor SQL – É um servidor de sistema gerenciador de bases de dados 12 ambiente MS-DOS – Sistema operativo 13 servidores de proxy – servidores intermediários de ligação a outros servidores

×