Experimento de vulnerabilidade: Imagem de memória e partição disponíveis
Enviado por João Eriberto Mota Filho (eribertoΘeriberto·pro·br):
Após ser descoberta por bots (robôs que fazem scans procurando vulnerabilidades), a máquina foi atacada diversas vezes e serviu até mesmo como estação para hackers (crackers) conversarem via IRC.
Durante todo o tempo no qual a máquina esteve no ar, as atividades hostis que iam ocorrendo eram narradas por mim e acompanhadas e comentadas por vários interessados de plantão. As chamadas para os fatos mais relevantes eram postadas diariamente no meu twitter.
Findo o trabalho, estão disponíveis as imagens da memória e da partição de disco que continha o sistema operacional (GNU/Linux) para quem quiser baixar e analisar.
O endereço é http://www.eriberto.pro.br/blog/?p=408. Enjoy!” [referência: eriberto.pro.br]
Muito interessante. :D
Gostei da iniciativa, é um ótimo exemplo de dinâmica de ataque para os Alunos. Principalmente para desmistificar a aquela historia que se a pessoa não “clica” em links suspeitos isso é o suficiente para garantir sua segurança. Ai um bom exemplo de um PC que não estava fazendo nada além de ficar conectado.
Ah sim, e agora vou ficar mais tranqüilo em usar meu PC na quarta feira hahaha.
Eu não achei o que é que ele define como “uma máquina totalmente vulnerável”. Pelo vi, usou o Linux, com uma senha root fraca (não a vi informada no relato), mas ignoro o resto das configurações.
Sei que não foi o objetivo, mas poderia ter sido um pouco mais especifico.
Philippe,
Acontece que se você tem uma senha de root fraca, não importa se está usando Linux, Windows, Blugostein.dsa.das. Etc, a maquina se torna totalmente vulnerável.
Como eu disse, é uma lenda achar que problema de segurança em um SO só está relacionado a emails usando engenharia social.
Depois que o cara tem sua senha de root, o PC “é dele”, essa é a maior insegurança que o sistema poderá ter.
@Wallacy
Nem é só senhas fracas. Um servidor pode ser dominado de muitas outras maneiras, como através de ataques XSS e softwares passíveis de exploração por falhas de segurança. Novamente isso também – normalmente – não depende muito do SO.
Sim, sim… Não só.
Só estava explicando o porque do termo “máquina totalmente vulnerável” já que “só tinha” uma senha fraca. No caso, uma senha fraca já era mais que o suficiente para classificar com maquina vulnerável.
Por isso é bom dar uma boa manutenção no Firewall, seja de camada 4 ou 7. Afinal, não importa se muito qual SO que você está usando, sempre vai ter espertalhões querendo te ferrar…
Pelo menos isso garante emprego continuo para muitos na área de TI.
@Philippe, uma maneira simples de fazer um honeypot é simplesmente pegando qualquer SO e instalando ele sem fazer nenhuma atualização e, para facilitar, não ativar ou configurar nada para dificultar a ação dos possíveis interessados, muito pelo contrário.
Uma senha ruim para o usuário root, seria o de menos se algumas opções de segurança estiverem ativadas (dependendo da distribuição é default as opções que privilegiam a segurança) ou configuradas logo após a instalação.
Veja mais na minha resposta ao @Wallacy abaixo.
@Wallacy, creio que vc esteja errado. O GNU/Linux têm características mais robustas que um Windows qq para aguentar um ataque. Depende da configuração default da distribuição (não fui atrás de saber qual era) e do cara que instalou o sistema, lembre-se que, nesse caso, o cara instalou querendo ser atacado.
Vou chutar o que o cara fez para ser atacado facilmente no SSH por uma senha fraca colocada para o root (lembrando que não sei qual distro ele está usando):
1 – ativou o SSH como serviço disponível na inicialização
2 – não ativou o firewall ou, se ativou, deixou a porta do SSH aberta
3 – deixou o serviço SSH configurado para aceitar conexões do usuário root (se ele não tivesse feito isso não importaria a senha que ele estivesse usando nesse usuário)
4 – vou deixar um outro item aqui só para o caso de ter esquecido algo que foi feito por default para coibir a tal entrada fácil na distro em questão (pode ignorar essa :)
5 – vou deixar essa aqui para as outras técnicas que ele poderia fazer facilmente (como port knoking) para deixar a coisa mais difícil, mas que não são default da distro (vc pode desconsiderar essa se alegar que não quer algo que não é feito por default ou que não seja facilmente ligado/desligado na instalação)
6 – não leu, ou levou em consideração, a advertência de que a senha era fraca. Sim, o SO avisa quando se vc faz isso. Tente mudar a senha de root por uma fácil, tipo 12345678. Depois tente mudar a senha de seu próprio usuário comum por uma fácil (nesse o SO não vai advertir vai dar erro não deixando vc fazer).
Acho que provei que mesmo tendo uma senha fraca, o administrador de um sistema GNU/Linux (e outros Unix like de boa procedência) está mais protegido (pois ele é mais robusto, tem mais opções default para impedir, ou outras soluções pós instalação fáceis e não tão fáceis de configurar), do que se fosse usando um SO feito pela MS, que foi feito pensando em ser fácil e o pessoal de Redmond vive (ou vivia) colocando soluções idiotas (ao menos do ponto de vista de segurança) para funcionar.