Visite também: Currículo ·  Efetividade BR-Mac

O que é LinuxDownload LinuxApostila LinuxEnviar notícia


Experimento de vulnerabilidade: Imagem de memória e partição disponíveis

Enviado por João Eriberto Mota Filho (eribertoΘeriberto·pro·br):

“De 03 a 07 de agosto de 2010, uma máquina totalmente vulnerável foi mantida na Internet, com o intuito de gerar um case para aulas sobre forense computacional.

Após ser descoberta por bots (robôs que fazem scans procurando vulnerabilidades), a máquina foi atacada diversas vezes e serviu até mesmo como estação para hackers (crackers) conversarem via IRC.

Durante todo o tempo no qual a máquina esteve no ar, as atividades hostis que iam ocorrendo eram narradas por mim e acompanhadas e comentadas por vários interessados de plantão. As chamadas para os fatos mais relevantes eram postadas diariamente no meu twitter.

Findo o trabalho, estão disponíveis as imagens da memória e da partição de disco que continha o sistema operacional (GNU/Linux) para quem quiser baixar e analisar.

O endereço é http://www.eriberto.pro.br/blog/?p=408. Enjoy!” [referência: eriberto.pro.br]


• Publicado por Augusto Campos em 2010-08-10

Comentários dos leitores

Os comentários são responsabilidade de seus autores, e não são analisados ou aprovados pelo BR-Linux. Leia os Termos de uso do BR-Linux.

    kashmir (usuário não registrado) em 10/08/2010 às 12:02 pm

    Muito interessante. :D

    Wallacy (usuário não registrado) em 10/08/2010 às 12:25 pm

    Gostei da iniciativa, é um ótimo exemplo de dinâmica de ataque para os Alunos. Principalmente para desmistificar a aquela historia que se a pessoa não “clica” em links suspeitos isso é o suficiente para garantir sua segurança. Ai um bom exemplo de um PC que não estava fazendo nada além de ficar conectado.

    Ah sim, e agora vou ficar mais tranqüilo em usar meu PC na quarta feira hahaha.

    Philippe (usuário não registrado) em 10/08/2010 às 12:36 pm

    Eu não achei o que é que ele define como “uma máquina totalmente vulnerável”. Pelo vi, usou o Linux, com uma senha root fraca (não a vi informada no relato), mas ignoro o resto das configurações.

    Sei que não foi o objetivo, mas poderia ter sido um pouco mais especifico.

    Wallacy (usuário não registrado) em 10/08/2010 às 12:52 pm

    Philippe,

    Acontece que se você tem uma senha de root fraca, não importa se está usando Linux, Windows, Blugostein.dsa.das. Etc, a maquina se torna totalmente vulnerável.

    Como eu disse, é uma lenda achar que problema de segurança em um SO só está relacionado a emails usando engenharia social.

    Depois que o cara tem sua senha de root, o PC “é dele”, essa é a maior insegurança que o sistema poderá ter.

    Lucas Timm (usuário não registrado) em 10/08/2010 às 1:13 pm

    @Wallacy

    Nem é só senhas fracas. Um servidor pode ser dominado de muitas outras maneiras, como através de ataques XSS e softwares passíveis de exploração por falhas de segurança. Novamente isso também – normalmente – não depende muito do SO.

    Wallacy (usuário não registrado) em 10/08/2010 às 3:27 pm

    Sim, sim… Não só.

    Só estava explicando o porque do termo “máquina totalmente vulnerável” já que “só tinha” uma senha fraca. No caso, uma senha fraca já era mais que o suficiente para classificar com maquina vulnerável.

    Por isso é bom dar uma boa manutenção no Firewall, seja de camada 4 ou 7. Afinal, não importa se muito qual SO que você está usando, sempre vai ter espertalhões querendo te ferrar…

    Pelo menos isso garante emprego continuo para muitos na área de TI.

    @Philippe, uma maneira simples de fazer um honeypot é simplesmente pegando qualquer SO e instalando ele sem fazer nenhuma atualização e, para facilitar, não ativar ou configurar nada para dificultar a ação dos possíveis interessados, muito pelo contrário.

    Uma senha ruim para o usuário root, seria o de menos se algumas opções de segurança estiverem ativadas (dependendo da distribuição é default as opções que privilegiam a segurança) ou configuradas logo após a instalação.

    Veja mais na minha resposta ao @Wallacy abaixo.


    Acontece que se você tem uma senha de root fraca, não importa se está usando Linux, Windows… uma senha fraca já era mais que o suficiente para classificar com maquina vulnerável.

    @Wallacy, creio que vc esteja errado. O GNU/Linux têm características mais robustas que um Windows qq para aguentar um ataque. Depende da configuração default da distribuição (não fui atrás de saber qual era) e do cara que instalou o sistema, lembre-se que, nesse caso, o cara instalou querendo ser atacado.

    Vou chutar o que o cara fez para ser atacado facilmente no SSH por uma senha fraca colocada para o root (lembrando que não sei qual distro ele está usando):

    1 – ativou o SSH como serviço disponível na inicialização

    2 – não ativou o firewall ou, se ativou, deixou a porta do SSH aberta

    3 – deixou o serviço SSH configurado para aceitar conexões do usuário root (se ele não tivesse feito isso não importaria a senha que ele estivesse usando nesse usuário)

    4 – vou deixar um outro item aqui só para o caso de ter esquecido algo que foi feito por default para coibir a tal entrada fácil na distro em questão (pode ignorar essa :)

    5 – vou deixar essa aqui para as outras técnicas que ele poderia fazer facilmente (como port knoking) para deixar a coisa mais difícil, mas que não são default da distro (vc pode desconsiderar essa se alegar que não quer algo que não é feito por default ou que não seja facilmente ligado/desligado na instalação)

    6 – não leu, ou levou em consideração, a advertência de que a senha era fraca. Sim, o SO avisa quando se vc faz isso. Tente mudar a senha de root por uma fácil, tipo 12345678. Depois tente mudar a senha de seu próprio usuário comum por uma fácil (nesse o SO não vai advertir vai dar erro não deixando vc fazer).

    Acho que provei que mesmo tendo uma senha fraca, o administrador de um sistema GNU/Linux (e outros Unix like de boa procedência) está mais protegido (pois ele é mais robusto, tem mais opções default para impedir, ou outras soluções pós instalação fáceis e não tão fáceis de configurar), do que se fosse usando um SO feito pela MS, que foi feito pensando em ser fácil e o pessoal de Redmond vive (ou vivia) colocando soluções idiotas (ao menos do ponto de vista de segurança) para funcionar.

Este post é antigo (2010-08-10) e foi arquivado. O envio de novos comentários a este post já expirou.