Intrusos em sistemas

Intrusos são invasores ou utilizadores não autorizados a ter acesso a um sistema.

Os computadores têm sido um dos instrumentos mais importantes no nosso dia e nele estão guardadas muitas informações importantíssimas do nosso quotidiano, sendo assim os sistemas operativos que correm nos nossos computadores são alvos de vários tipos de ataques que podem ter vários propósitos como: 

  • Espionar informações sigilosas; 
  • Privar serviços; 
  • Danificar o sistema; 
  • Danificar o hardware; 
  • Adulterar documentos; 
  • Excluir Ficheiros; 
  • Deixar o sistema mais vulnerável ainda; 

Tipos de Intrusos 

Os intrusos podem ser classificados em dois tipos: 

1. Intrusos Externos 

São intrusos que geralmente atuam atreves da internet, isto é, não estão autorizados a entrar no sistema e o invadem para obter privilégios de um usuário real ou legítimo;  

2.Intrusos Internos 

São intrusos que geralmente estão autorizados a entrar no sistema, mas invadem o sistema para obter privilégios de um administrador com objetivo de se beneficiar.  

Os Intrusos Internos podem ser classificados de duas maneiras: 

• Infrator (invasor de dentro do sistema): é um usuário real ou legítimo que não está autorizado a usar determinados recursos do sistema, mas os utiliza ou então, que está autorizado, mas não os utiliza de forma lícita;  

• Usuário clandestino (invasor de dentro do sistema): é um usuário real ou legítimo que não está autorizado a usar determinados recursos do sistema, mas os utiliza ou então, que está autorizado, mas que toma posse de privilégios de administrador de um sistema para que se esquive de auditorias e controlos. 

Técnicas de Intrusão 

O principal objetivo de um intruso é obter privilégios dentro de um sistema que lhe beneficiem nos seus interesses.  

Geralmente para que um intruso tenha acesso a um determinado sistema ele tem de ultrapassar uma única e principal barreira, que é a ‘senha’. 

Assim, abaixo estão mencionadas algumas técnicas que invasores utilizam para a descoberta de senhas:  

- Tentar senhas que são entregues com o sistema;  

- Tentar senhas curtas;  

- Tentar senhas com informações sobre seus usuários;  

- Usar Cavalo-de-Tróia para ludibriar restrições de acesso;  

- Utilizar-se de escutas clandestinas entre acesso remoto e sistemas fixos;  

Dentre algumas técnicas mencionadas acima, podem ser vistas algumas que são baseadas no método das tentativas, o que faz com que ocorram erros para descoberta de senha, porém são de fácil defesa para os administradores de sistemas. E as outras técnicas já são um pouco mais complicadas, pois se trata de instalar programas maliciosos dentro do sistema que farão com que o invasor obtenha acesso ao sistema, tendo acesso por exemplo de ficheiros que contenham senhas para poder acesso a outros recursos. 

As técnicas de invasão não se baseiam apenas na descoberta de senhas, mas também em várias outras maneiras, tais como sobrecarga de um sistema através do envio de emails e outros.  

IDS (Sistema de Detenção de Intrusos) 

Visto que as organizações, pessoas singulares e outros são vítimas de ataques por intrusos e por vezes esses ataques não são notados então, há necessidade de implementar mecanismos que detém ataques por esses intrusos (internos ou externos). 

Assim, para a detenção de ataque por intrusos em um sistema é geralmente usado um sistema de deteção de intrusos (IDS) que deteta a manipulação de sistemas indesejáveis, muita das vezes na rede. 

Chama-se IDS (Intrusion Detection System) a um mecanismo que ouve o tráfego na rede que acontece de maneira não autorizada ou indesejada, para localizar atividades anormais ou suspeitas e permitindo assim ter uma ação de prevenção sobre os riscos de intrusão.  

Existem dois tipos de IDS: 

  • Os N-IDS (Network Based Intrusion Detection System), asseguram a segurança a nível da rede. 
  • Os H-IDS  (Host Based Intrusion Detection System),asseguram a segurança a nível dos hóspedes. 

O N-IDS necessita um material dedicado e constitui um sistema capaz de controlar os pacotes que circulam numa ou várias ligações de rede, com o objetivo de descobrir se um ato malicioso ou anormal tem lugar.  É frequente encontrar vários IDS nas diferentes partes da rede e em especial colocar uma sonda fora da rede para estudar as tentativas de ataques bem como uma sonda internamente, para analisar os pedidos que atravessaram o firewall ou efetuadas do interior.  

  O H-IDs reside num hóspede específico e a gama destes softwares cobre, por conseguinte, uma grande parte dos sistemas de exploração como Windows, Solaris, Linux, HP-UX, Aix, etc…  
O H-IDs comporta-se como um serviço standard num sistema hóspede. Tradicionalmente, o H-IDS analisa informações específicas nos diários de registos (syslogs, messages, lastlog, wtmp…) e também captura os pacotes redes que entram/saem do hóspede, para detetar sinais de intrusões (Recusa de Serviços, de Backdoors, cavalos de troia, tentativas de acesso não - autorizados, execução de códigos maliciosos, ataques por profusão de buffers…). 

Ações de um IDE 

Ferramentas de prevenção de intrusos utilizam recursos que reduzem as ameaças a vulnerabilidades conhecidas e desconhecidas em redes. Alguns mecanismos podem incluir: 

  • Monitoramento do tráfego de rede 
  • Identificação de atividades maliciosas  
  • Bloqueio de ações supeitas 
  • A análise de protocolo baseada em decodificador 
  • A proteção de protocolo baseada em anomalias 
  • A correspondência de padrões com manutenção do status 
  • Monitoramento passivo de DNS