A intrusão de rede, bem como outros ataques, são provenientes de vários pontos e aparecem sob várias formas. Encontramos então ataques provenientes da rede pública (tipicamente a Internet) mas também da nossa própria rede privada. Na certeza de que ambas as proveniências são de levar em consideração, há que salientar a importância da segurança na rede privada. Os ataques provenientes da rede privada são seguramente mais bem sucedidos do que os restantes já que provêm de pessoal que desde já está autorizado a aceder a áreas no interior da infra-estrutura seja ela física, como pontos de rede, acesso a redes sem fios, acesso físico a servidores, acesso a fitas de backup, ou lógica como funcionários com privilégios na rede e acesso a serviços. Naturalmente que o facto de alguém ter acesso à rede não é sinónimo de ter acesso a todos os recursos e será este um dos níveis de segurança a ter em conta.
O hacker (termo utilizado para designar o individuo que tenta furar um sistema de segurança) encontra variadíssimas classificações junto de especialistas em segurança, no entanto, um factor que fora crucial para designar um indivíduo como hacker fora o conhecimento de informática. Hoje em dia, esse factor já não é crucial dada a existência de aplicações automatizadas no sentido de tentar contornar os sistemas de segurança. Uma das muitas questões que podemos levantar será a da motivação que leva alguém a ser hacker. Pois a este nível, encontramos várias respostas, desde logo o reconhecimento público do indivíduo ou grupo de hackers, a curiosidade de aceder a informação e ou recursos privilegiados, o factor de obtenção de lucros com o acesso e eventual comercialização de informação privilegiada a terceiros, a vingança pessoal entre outros.
Torna-se importante nesta fase perceber as diferenças entre tentativa de intrusão e ataque. Um ataque não origina por si só uma intrusão. Encontramos ataques com o objectivo claro de indisponibilizar recursos ou serviços. Quero com isto dizer que nem sempre o objectivo do hacker passa pelo acesso a informação ou recursos de uma rede. Pode simplesmente ter interesse em provocar outro tipo de danos sobre a infra-estrutura.
Vamos considerar o cenário de um hacker com uma motivação de vingança sobre uma entidade com presença na Internet e comércio electrónico. A paragem ainda que temporária deste serviço poderá traduzir um prejuízo para esta entidade, alimentando desta forma a motivação do hacker.
Os ataques podem ser categorizados sob múltiplas formas. Podemos definir um ataque como sendo um conjunto de operações a serem executadas com um objectivo concreto. É crucial percebermos estas operações para que consigamos traçar o perfil do hacker. O hacker pode então utilizar operações automatizadas para o seu ataque, o que se traduz num conjunto de ordens camufladas num programa informático que visa tirar partido de uma maior rapidez de execução. Imaginemos um cenário onde encontramos um pedido de validação ao recurso. Sendo um indivíduo a introduzir manualmente as múltiplas combinações possíveis para a palavra chave de acesso, em função do número de combinações possíveis da chave, poderíamos estar perante um objectivo inatingível, no entanto se a mesma operação fosse automatizada com o recurso a um programa informático para o efeito, em função da velocidade de processamento e comunicações esse objectivo iria ver o seu tempo de execução reduzido de forma absolutamente radical. Naturalmente que, na construção destes programas esteve um indivíduo ou grupo com vastos conhecimentos informáticos transversais a múltiplas áreas nucleares da informática como as redes, os sistemas e a programação. Estas ferramentas visam acima de tudo acelerar as operações, no entanto, há que ter em atenção que nem sempre se limitam a executar a operação que os menos atentos pensam como única. É através deste “doce” que os hackers atraem os seus cúmplices para os ataques mais arrojados. Pode ser facilmente camuflado código malicioso por detrás destas ferramentas com o objectivo de criar buracos nos sistemas destes utilizadores menos experientes. A isto chamamos de back doors da aplicação. Um back door pode existir na própria aplicação que o hacker disponibilizou ou pode ser um pequeno aplicativo anexo ao programa que é executado e reside em memória sob a forma de um serviço a que está assignado o termo de Cavalo de Tróia (Trojan Horse). A função a desempenhar por este Trojan é na realidade fundamental para o hacker já que lhe vai permitir um acesso anónimo e sem restrições a este equipamento. A utilização de uma back door por parte do hacker é o método utilizado para dificultar a identificação da real proveniência de um ataque. Se um ataque é proveniente de um equipamento que está a ser utilizado remotamente, será mais difícil de seguir o rasto. Estes equipamentos intermediários no ataque são intitulados de zombies.
Este tipo de ataque tem o nome de ataque distribuído e é naturalmente um ataque mais complexo, no entanto abre outras portas ao hacker permitindo uma rapidez de processamento e comunicação bastante superior já que quantos mais equipamentos estiverem infectados, maior será o número de máquinas que o hacker poderá utilizar para disparar um ataque sobre um qualquer alvo. Um ataque simultâneo proveniente de múltiplas fontes irá aumentar as probabilidades de sucesso e irá diminuir o seu tempo de execução. Imaginemos um ataque cujo objectivo passa por provocar uma falha de um serviço. Com um ataque distribuído, o hacker pode rapidamente disparar um inúmero conjunto de ataques em paralelo provocando uma indisponibilidade do mesmo. A este ataque chamamos de Distributed Denial of Service (DDOS).
Esta é apenas uma pequena amostra dos múltiplos ataques a que uma organização está sujeita. Com este artigo pretendo despertar o interesse dos leitores para as questões envoltas na segurança de um sistema.
Ilídio Gonçalves
