Prevenção e rastreamento de um ataque

Esse artigo é uma cartilha de segurança que deve ser seguida pelos administradores de sistemas. Nele abordaremos desde a concepção de um ataque, sua prevenção, detecção e rastreamento de um invasor, além de aprendermos também como recuperar arquivos excluídos do sistema.

[ Hits: 62.773 ]

Por: Perfil removido em 08/01/2004


Introdução



Olá comunidade :)

Nesse artigo falarei um pouco sobre a prevenção e rastreamento de um ataque. Como todos nós sabemos, poucas empresas gastam o que deveriam com segurança digital. E quando ocorre uma invasão qual é o maior culpado? O administrador de sistemas? Não, o maior culpado de tudo isto é que esta acima do administrador, que na maioria das vezes prefere não investir em segurança no seu servidor e espera que o administrador faça o resto.

Em grande parte dos casos, o administrador não tem a responsabilidade de manter um sistema seguro, mas sim de mantê-lo funcionando e bem configurado, É claro que um sistema bem configurado é um sistema seguro. Muitas vezes o administrador tem um grande conhecimento em sistemas operacionais, pois sabe configurá-lo e mantê-lo funcionando, mas não tem conhecimento sobre ferramentas de ataques, como exploits, scans e novos bugs, e quando ocorre um ataque de qualquer tipo, o primeiro a ser crucificado é ele próprio.

*/ Os ataques */


Os ataques de 'deface' são e sempre foram modas por serem fáceis de executar, com um grande número de ferramentas se espalhando na internet. Tudo se torna mais fácil para os kids executar o ataque.

Como os ataques deste tipo são muitos usados hoje na internet, vou descrever como rastrear um ataque de um defacer. Eu posso dizer que não é complicado, porque muitas vezes o defacer não tem o conhecimento que um administrador de sistema tem e por isto acaba deixando algumas ' pistas' para trás. Agora vamos para o que interessa! :)

*/ Prevenção */


Antes de pensar em rastrear um ataque, tente se previnir do mesmo. A prevenção ainda é o melhor remédio. Mas como se previnir de um ataque? Veja abaixo alguns ítens que são obrigatórios em todo o servidor e que devem ser executados pelo administradores:
  • Backups diários;
  • Um firewall instalado e bem configurado;
  • Atualizações de daemons e patchs de segurança;
  • Bloqueio de daemons que não estão sendo usados;
  • Escolher boas senhas;
  • Utilizar scan para encontrar possíveis bugs;
  • Utilizar um IDS;
  • Utilizar analisadores de tráfegos;
  • Manter-se sempre informado sobre novas vulnerabilidades;
Se o servidor não tiver pessoas aptas a fazer este tipo de serviço, contrate uma empresa de segurança. Se tiver disposto a pagar pelo serviço, é uma ótima opção. Você gasta em segurança aquilo que quer proteger. Tente modelar o risco e defini-los de forma que você tenha controle sobre ele, tendo um indicador.

*/ Tá funcionando? Deixa! */


Este é o pensamento de muitos administradores e donos de servidores na internet. Exatamente por isso, a segurança não existe neste caso. Tente pensar da seguinte maneira, não basta somente ter um produto funcionando se a qualquer momento ele pode parar de funcionar - por mais que o produto seja bom, ele sempre terá um risco que poderá ser minimizado :P

*/ Patchs de segurança */


Instalar patch significa corrigir ou melhorar um serviço ou programa. Quando detectamos um novo bug em algum programa, a empresa que desenvolveu o mesmo gerará um patch de segurança para ser instalado no sistema, corrigindo o bug. Ficar atento a novas ocorrências e instalar os mais recentes patches é uma ótima prevenção.

No caso do Linux, para kernel 2.4.x, use o patch da GRSECURITY, um dos melhores. Para baixá-la acesse o link:

    Próxima página

Páginas do artigo
   1. Introdução
   2. Rastreando um ataque
   3. Descobrindo como o invasor entrou no seu sistema
   4. Recuperando arquivos excluídos
   5. Rastreando o provedor do invasor
Outros artigos deste autor

Anthares, um sistema voltado para o usuário final

ArchLinux, uma distro de expressão aqui no VOL

Multiboot pelo pendrive usando grub2: instalando várias distros a partir de uma unidade de armazenamento móvel

Plugin MSofficeKey para OCS Inventory

Configurando várias contas de e-mail no Thunderbird

Leitura recomendada

Segurança Física (Parte 1)

Attik Firewall

ttyrec - Ferramenta para auditoria de sistemas Linux

SysLog: Sistema de log do Linux

SmoothWall - Linux para gateway

  
Comentários
[1] Comentário enviado por JuNiOx em 08/01/2004 - 02:48h

ae xpapas, muito legal seu artigo! primeiro de vários né? ;-)

mas.. melhor que teu artigo tá essa foto heim? hehehe

falowz

JuNiOx

[2] Comentário enviado por removido em 08/01/2004 - 05:01h

hehehe, fiquei bem na foto ne' ?
faze o que quem mandou eu ser lindo huauhahua
Valeu, que bom que gostou do artigo, espero que este seja o primeiro de vários :)

[3] Comentário enviado por malako em 08/01/2004 - 11:07h

muito louko esse artigo . parabens

[4] Comentário enviado por tudo03 em 11/01/2004 - 19:38h

legal mesmo.

[5] Comentário enviado por faiper em 11/01/2004 - 22:24h

FICOU MASSA =]

[6] Comentário enviado por removido em 14/01/2004 - 17:45h

Muito bom esse arquivo. Mais tenho um critica a fazer.

Vc fala de olhar os logs de sistemas pra indentificar se houve invasão ou para saber o que foi alterado (no caso da invasao).. Nao acho que isso seja possivel. Se eu fosse um hacker a primeira coisa que eu faria. seria limpar meus rastros. (logs).. E acho que a marioria deles fazem isso.

Valeu.. ate +



[7] Comentário enviado por removido em 17/01/2004 - 16:47h

hehe com certeza
como dizem " os verdadeiros hacker nunca são pegos"
pq sabem ocultar seus rastros, mas o que mais temos hoje em dia são Kids/defacers que o que sabem fazer é apenas copilar um exploit ( de terceiros) e executar, e nao se lembram ou talvez nem saibam como apagar os logs :)
Mas valeu pela critica, acima de critica que vamos nos aperfeicoando e acertando cada dia mais
Thanks :)

[8] Comentário enviado por y2h4ck em 18/05/2004 - 10:35h

"Entrar em contato com as autoridades locais de seu estado. Sim, literalmente, chame a polícia informando o sobre o caso e orientando - se sobre como você poderá proceder; Se o invasor for pego, ele poderá responder a processos"

Muito dificil isso ocorrer devido a inesperiencia da pessoa que manipula a maquina alvo. O alvo comprometido pode ter as infos de provas do crime facilmente anteradas e informações as vezes de suma importancia sao perdidas.

Se todo admin soubesse como preservar a maquina que foi comprometida de maneira correta a ter uma prova lícita aceita como prova em um tribunal ai sim ... caso contrario vc vai ter apenas um boletim de ocorrencia em suas mãos e nenhum resultado realmente interessante.

Regards.


[9] Comentário enviado por lacierdias em 26/05/2004 - 23:35h

mandou bem....

[10] Comentário enviado por Grillo em 31/05/2004 - 21:21h

Imagina a policia chegando na sua casa e voce falando que ele estao la por causa que seu pc foi invadido! ahuauhauuah
infelizmente o Brasil ainda nao tem essa maturidade

[11] Comentário enviado por removido em 01/06/2004 - 13:29h

Falaê galera, tenho recebi vários comentário sobre o fato, de que não irá adiantar nada a respeito de avisar as autoridades competentes no caso de invasão de sistemas, isto com certeza, nós não temos leis especificas em vigor, mas podemos enquadrar os "invasor" em outras leis já existente.
Um site muito bom, e util sobre o assunto é o http://www.modulo.com.br/ lá você irá encontrar várias maneiras de se portar durante uma invasão. Com certeza é um site que deve ser adicionado ao favoritos de qualquer administrador de sistemas.
Não estou discordando dos amigos, sobre que o Brasil ainda é muito imaturo no caso de crimes virtuais, apesar do Brasil liderar os TOP 10 de invasões em todo mundo ( veja site www.zone-h.com ) , não existem leis em vigor para punir o invasor, mas pode muito causar uma puta dor de cabeça, para o acusado!
[]'s
Rafael Lamana

[12] Comentário enviado por removido em 15/07/2004 - 12:34h

kra muito bom seu artigo.....do kralho!
foi mal o palavreado, mas eu tava procurando algo sobre segurança e achei oq eu keria saber!!

valeu mesmo!
t+

[13] Comentário enviado por Xxoin em 16/07/2004 - 00:09h

Muito bom seu artigo!
Que tal mandar uma Parte_II, tratando de IDS, etc...????????

[14] Comentário enviado por cherokee em 18/07/2004 - 20:54h

Very good!
Agora só me falta um artigo sobre IDS, SNORT-ACID!
Vc tem ai? Obrigado!!!

[15] Comentário enviado por tr3t4 em 30/10/2004 - 09:49h

e ai rafa...Teu artigo fico massa cara, bem completo e detalhado continue assim e que os próximos sejam ainda melhores ;)

e naum esqueça... Slackware na veia!!!

[16] Comentário enviado por removido em 07/02/2006 - 22:18h

Muito bom o artigo.
Correto para administradores que já tiveram seu sistema comprometido.
Parabéns!
Rafael Lamana

[17] Comentário enviado por thorking em 08/08/2006 - 00:25h

lol cara parabens cada vez admiro mais esse site! aprendo pacas!

bem detalhado!

exceto a parte de procurar as autoridades locais, eles nunca fazem nada mesmo!

[18] Comentário enviado por Tainan em 14/08/2007 - 22:03h

De parabéns! :)

[19] Comentário enviado por diogojp em 06/11/2008 - 21:36h

Ótimo artigo
Mas a realidade e,,,,,,,,,
Em 99,99% dos casos os administradores de servidores estão mais preocupados em restabelecer o sistema que o invasor fica esquecido.
Sem contar que em grande parte dos casos o administrador quer mais e ocultar a invasão. Evitando ter que dar maiores explicações sobre o fato.



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts