Um EH (Ético) deve agir como um MH (Malicioso), ou seja, entender e realizar os mesmos procedimentos. Os passos para se ganhar e manter o acesso a um sistema são 5 e falaremos sobre esses processos a seguir. São eles:
- Reconnaissance (Reconhecimento)
- Scanning (Sondagem)
- Gaining Acces (Obter o acesso)
- Maintaining Access (Manter o acesso)
- Covering Tracks (Ocultar suas pistas)
Fase 1: Reconhecimento passivo e ativo
Reconhecimento passivo envolve obter informações sobre um alvo em potencial sem que o responsável por ele tenho conhecimento disso. Reconhecimento passivo é tão simple quanto observar um edifício de uma compania para saber a que horas os empregados saem ou entram. Entretanto, na grande maioria das vezes pode ser veito através de mecanismos de busca da Internet, utilizar o Google para obert informaçõe sobre um indivíduo ou uma empresa para obter informações. Esse processo é chamado obviamente de "Obtenção de informação" (gathering information). Engenharia Social (Social Engeneering) e Vasculhar lixeiras (Dumspter Diving) também são considerados uma forma passiva de obtenção de informações (gathering information).
Realizar "sniffing" em uma rede também pode ser considerada uma forma passiva de reconhecimento e pode dar informações úteis como ranges de IP, convenções de nomes, redes ou servidores encondidos e serviços habilitados do host ou da rede. Fazer "sniffing" em uma rede é como monitorar um edifício: Um hacker fica analisando o tráfego e pode saber quando e quias transações ocorrem ou para onde o tráfego está indo.
Reconhecimento ativo implica em sondar a rede para descobrir hosts, endereços IP e serviços de rede. Este procedimento é muito mais fácil de ser detectado e em algumas situações é chamado de "rattling the doorknobs" (uma tradução seria testar as maçanetas). Um reconhecimento ativo dá ao hacker uma idéia de qual a política de segurança adotada na rede ou no host, mas como já dito anteriormente,esse processo aumenta significativamente o risco de ser detectado fazendo algo no mínimo suspeito.
É importante resaltar que ambos tipos de reconhecimento fornecem informações essenciais para qualquer tipo de ataque.
Fase 2: Scanning
O scanning é utilizar as infirmações obtidas na faze anterior para examinar a rede. As ferramentas utilizadas nessa fase são "dialers", "port scanners", "network mappers", "sweepers" e "vulnerability scanners". Os hackers buscam qualquer informação para utilizar em um ataque, como nomes de hosts, endereços IP e contas de usuários.
Fase 3: Gaining Access
Esta é a fase na qual o verdadeiro hacker aparece. Vulnerabilidade descobertas nas 2 fases anteriores são exploradas para obter acesso não autorizaado. As formas de conexão utilizadas para se obter aacesso podem ser: LAN (inclui wireless), acesso local ao PC, a Internete ou também pode ser offline. Exemplos de exploração dessas vulnerabilidades podem ser: "stack-based buffer overflows", DoS e "session hijacking" (caso nao conheca alguma o google está aí para isso mesmo :) ). O ganho de acesso é conhecido no mundo hacker como "owning the sistem".
Fase 4: Maintaining Access
Uma vez obtido o acesso não autorizado, é natural que eles queiram manter esse acesso para futuras explorações e ataques. Algumas vezes hackers herdam acesso a sistemas por outros hackers, e esse acesso pode ser mantido através de backdoors, rootkits ou trojans instalados no sistema.Uma vez que um hacker tomou o sistema (owned the system) esse pode ser utilizado como base para outros ataques, nesse caso esse sistema é conhecido como sistema zumbi (zombie system).
Fase 5: Covering Tracks
Um vez com o sistema tomado, se faz necessára cobrir as pistas para não serem detectados pelo pessoal de segurança, para poderem continuar utilizando o sistema, para poder remover qualquer evidência do hacking e para evitar qualquer ação legal. Aqui os hackers tentam remover qualquer traço deixado pelo ataque como logs do sistemas e alarmes de um IDS. Exemplos dessa atividade são: limpeza de logs, esteganografia e a utilização de tunelamento de protocolos (tunneling protocols).
----------------------------------------------------------
vários termos aqui citados devem ser estudados um a um para um melhor entendimento das fases.
Reconhecimento passivo envolve obter informações sobre um alvo em potencial sem que o responsável por ele tenho conhecimento disso. Reconhecimento passivo é tão simple quanto observar um edifício de uma compania para saber a que horas os empregados saem ou entram. Entretanto, na grande maioria das vezes pode ser veito através de mecanismos de busca da Internet, utilizar o Google para obert informaçõe sobre um indivíduo ou uma empresa para obter informações. Esse processo é chamado obviamente de "Obtenção de informação" (gathering information). Engenharia Social (Social Engeneering) e Vasculhar lixeiras (Dumspter Diving) também são considerados uma forma passiva de obtenção de informações (gathering information).
Realizar "sniffing" em uma rede também pode ser considerada uma forma passiva de reconhecimento e pode dar informações úteis como ranges de IP, convenções de nomes, redes ou servidores encondidos e serviços habilitados do host ou da rede. Fazer "sniffing" em uma rede é como monitorar um edifício: Um hacker fica analisando o tráfego e pode saber quando e quias transações ocorrem ou para onde o tráfego está indo.
Reconhecimento ativo implica em sondar a rede para descobrir hosts, endereços IP e serviços de rede. Este procedimento é muito mais fácil de ser detectado e em algumas situações é chamado de "rattling the doorknobs" (uma tradução seria testar as maçanetas). Um reconhecimento ativo dá ao hacker uma idéia de qual a política de segurança adotada na rede ou no host, mas como já dito anteriormente,esse processo aumenta significativamente o risco de ser detectado fazendo algo no mínimo suspeito.
É importante resaltar que ambos tipos de reconhecimento fornecem informações essenciais para qualquer tipo de ataque.
Fase 2: Scanning
O scanning é utilizar as infirmações obtidas na faze anterior para examinar a rede. As ferramentas utilizadas nessa fase são "dialers", "port scanners", "network mappers", "sweepers" e "vulnerability scanners". Os hackers buscam qualquer informação para utilizar em um ataque, como nomes de hosts, endereços IP e contas de usuários.
Fase 3: Gaining Access
Esta é a fase na qual o verdadeiro hacker aparece. Vulnerabilidade descobertas nas 2 fases anteriores são exploradas para obter acesso não autorizaado. As formas de conexão utilizadas para se obter aacesso podem ser: LAN (inclui wireless), acesso local ao PC, a Internete ou também pode ser offline. Exemplos de exploração dessas vulnerabilidades podem ser: "stack-based buffer overflows", DoS e "session hijacking" (caso nao conheca alguma o google está aí para isso mesmo :) ). O ganho de acesso é conhecido no mundo hacker como "owning the sistem".
Fase 4: Maintaining Access
Uma vez obtido o acesso não autorizado, é natural que eles queiram manter esse acesso para futuras explorações e ataques. Algumas vezes hackers herdam acesso a sistemas por outros hackers, e esse acesso pode ser mantido através de backdoors, rootkits ou trojans instalados no sistema.Uma vez que um hacker tomou o sistema (owned the system) esse pode ser utilizado como base para outros ataques, nesse caso esse sistema é conhecido como sistema zumbi (zombie system).
Fase 5: Covering Tracks
Um vez com o sistema tomado, se faz necessára cobrir as pistas para não serem detectados pelo pessoal de segurança, para poderem continuar utilizando o sistema, para poder remover qualquer evidência do hacking e para evitar qualquer ação legal. Aqui os hackers tentam remover qualquer traço deixado pelo ataque como logs do sistemas e alarmes de um IDS. Exemplos dessa atividade são: limpeza de logs, esteganografia e a utilização de tunelamento de protocolos (tunneling protocols).
----------------------------------------------------------
vários termos aqui citados devem ser estudados um a um para um melhor entendimento das fases.
Nenhum comentário:
Postar um comentário