Abednego & Dogberry...pensavas que isto era uma porta de entrada – Minha besta Cai a ligação 13...
Transcript of Abednego & Dogberry...pensavas que isto era uma porta de entrada – Minha besta Cai a ligação 13...
![Page 1: Abednego & Dogberry...pensavas que isto era uma porta de entrada – Minha besta Cai a ligação 13 Dogberry Daemon tenta bloquear a máquina atacante, enviando-lhe pacotes corruptos](https://reader033.fdocuments.net/reader033/viewer/2022043015/5f37ef39c31a9e10ba33f24a/html5/thumbnails/1.jpg)
1
Hacking – Medidas e contra medidasAbednego & Dogberry
Rolando MiragaiaESTG - IPL
Gustavo ReisESTG - IPL
![Page 2: Abednego & Dogberry...pensavas que isto era uma porta de entrada – Minha besta Cai a ligação 13 Dogberry Daemon tenta bloquear a máquina atacante, enviando-lhe pacotes corruptos](https://reader033.fdocuments.net/reader033/viewer/2022043015/5f37ef39c31a9e10ba33f24a/html5/thumbnails/2.jpg)
2
Abednego
Comando finger no IRC - obtém o e-mail de Dogberry ([email protected])telnet ao porto SMTP telnet hipotetico.com 25expn [email protected]
Dogberry é administrador
![Page 3: Abednego & Dogberry...pensavas que isto era uma porta de entrada – Minha besta Cai a ligação 13 Dogberry Daemon tenta bloquear a máquina atacante, enviando-lhe pacotes corruptos](https://reader033.fdocuments.net/reader033/viewer/2022043015/5f37ef39c31a9e10ba33f24a/html5/thumbnails/3.jpg)
3
Abednego
“Nmap”- programa que faz port scanning Do porto 1 ao 65535Vários tipos: Connect, SYN, FIN
SYN
atacante -----> host alvoSYN+ACK
atacante <----- host alvoACK
atacante -----> host alvo
![Page 4: Abednego & Dogberry...pensavas que isto era uma porta de entrada – Minha besta Cai a ligação 13 Dogberry Daemon tenta bloquear a máquina atacante, enviando-lhe pacotes corruptos](https://reader033.fdocuments.net/reader033/viewer/2022043015/5f37ef39c31a9e10ba33f24a/html5/thumbnails/4.jpg)
4
Dogberry
A Firewall tem um IDS que responde com as seguintes contra-medidas:
bombardeia com uma quantidade de dados aleatóriosenvia msg queixa para o ISP do Abednegoo ISP encerra a conta do Abednego
![Page 5: Abednego & Dogberry...pensavas que isto era uma porta de entrada – Minha besta Cai a ligação 13 Dogberry Daemon tenta bloquear a máquina atacante, enviando-lhe pacotes corruptos](https://reader033.fdocuments.net/reader033/viewer/2022043015/5f37ef39c31a9e10ba33f24a/html5/thumbnails/5.jpg)
5
Abednego
Aborrecido, Abednego decide iniciar a retaliação:Ligo-me a outra conta (possuo várias)Stealth port scanner
explora a forma de funcionamento do TCPconsegue testar as portas de uma máquina sem que a firewall detecte o processo.
![Page 6: Abednego & Dogberry...pensavas que isto era uma porta de entrada – Minha besta Cai a ligação 13 Dogberry Daemon tenta bloquear a máquina atacante, enviando-lhe pacotes corruptos](https://reader033.fdocuments.net/reader033/viewer/2022043015/5f37ef39c31a9e10ba33f24a/html5/thumbnails/6.jpg)
6
Abednego
FIN scanFIN
atacante -----> host alvoRST
atacante <----- host alvo --------- Porto Fechado
* Se a host alvo não responder o porto está aberto
A máquina a que se acede só regista a ligação depois de finalizado o three-way handshake
![Page 7: Abednego & Dogberry...pensavas que isto era uma porta de entrada – Minha besta Cai a ligação 13 Dogberry Daemon tenta bloquear a máquina atacante, enviando-lhe pacotes corruptos](https://reader033.fdocuments.net/reader033/viewer/2022043015/5f37ef39c31a9e10ba33f24a/html5/thumbnails/7.jpg)
7
Abednego
O FIN scan dá um snapshot dos serviços autorizados pelo hipotetico.com
SSH Deamon - ligações cifradasServidor WebUm porto estranho 31 659
![Page 8: Abednego & Dogberry...pensavas que isto era uma porta de entrada – Minha besta Cai a ligação 13 Dogberry Daemon tenta bloquear a máquina atacante, enviando-lhe pacotes corruptos](https://reader033.fdocuments.net/reader033/viewer/2022043015/5f37ef39c31a9e10ba33f24a/html5/thumbnails/8.jpg)
8
Dogberry
EhterPeek, um sniffer no hipotetico.com detectou o portscanConsola da máquina de administração
Programas que só correm a partir dessa máquinaO utilizador tem de estar ligado fisicamente
![Page 9: Abednego & Dogberry...pensavas que isto era uma porta de entrada – Minha besta Cai a ligação 13 Dogberry Daemon tenta bloquear a máquina atacante, enviando-lhe pacotes corruptos](https://reader033.fdocuments.net/reader033/viewer/2022043015/5f37ef39c31a9e10ba33f24a/html5/thumbnails/9.jpg)
9
Dogberry
Análise dos log’s origem dos pacotes FINMail para o ISP do Abednego com aviso de tentativa de entrada na minha rede, junto com um pedido de dados sobre a conta do AbednegoPedido rejeitado!
Dados são confidenciaisCorrer um port scanner não é contra a lei
![Page 10: Abednego & Dogberry...pensavas que isto era uma porta de entrada – Minha besta Cai a ligação 13 Dogberry Daemon tenta bloquear a máquina atacante, enviando-lhe pacotes corruptos](https://reader033.fdocuments.net/reader033/viewer/2022043015/5f37ef39c31a9e10ba33f24a/html5/thumbnails/10.jpg)
10
Abednego
A password não é aceiteTelefonema para o ISP – Conta desactivadaAcciono nova conta
![Page 11: Abednego & Dogberry...pensavas que isto era uma porta de entrada – Minha besta Cai a ligação 13 Dogberry Daemon tenta bloquear a máquina atacante, enviando-lhe pacotes corruptos](https://reader033.fdocuments.net/reader033/viewer/2022043015/5f37ef39c31a9e10ba33f24a/html5/thumbnails/11.jpg)
11
Abednego
Ajo com mais cautelasLigo-me ao meu ISPAtravés deste ligo-me a outra máquina, “hackada” ligada a outro ISP Whois hipotetico.com
“Refrigerators R Us” Uma cadeia nacional de lojas
![Page 12: Abednego & Dogberry...pensavas que isto era uma porta de entrada – Minha besta Cai a ligação 13 Dogberry Daemon tenta bloquear a máquina atacante, enviando-lhe pacotes corruptos](https://reader033.fdocuments.net/reader033/viewer/2022043015/5f37ef39c31a9e10ba33f24a/html5/thumbnails/12.jpg)
12
Abednego
Ligar-me ao hipotetico.comtelnet hipotetico.com 31659
pensavas que isto era uma porta de entrada – Minha besta
Cai a ligação
![Page 13: Abednego & Dogberry...pensavas que isto era uma porta de entrada – Minha besta Cai a ligação 13 Dogberry Daemon tenta bloquear a máquina atacante, enviando-lhe pacotes corruptos](https://reader033.fdocuments.net/reader033/viewer/2022043015/5f37ef39c31a9e10ba33f24a/html5/thumbnails/13.jpg)
13
Dogberry
Daemon tenta bloquear a máquina atacante, enviando-lhe pacotes corruptosEnvia e-mail ao ISP daquela máquina por suspeita de crime informáticoEm poucos minutos a ligação do Abednego vai abaixo
![Page 14: Abednego & Dogberry...pensavas que isto era uma porta de entrada – Minha besta Cai a ligação 13 Dogberry Daemon tenta bloquear a máquina atacante, enviando-lhe pacotes corruptos](https://reader033.fdocuments.net/reader033/viewer/2022043015/5f37ef39c31a9e10ba33f24a/html5/thumbnails/14.jpg)
14
Abednego
Mudança de planos - Contornar a firewall em vez de a furarLigo-me a mais uma das minhas contas “hackadas”Tento o comando nslookup
Composição das máquinas pertencentes ao domínioApenas lista IPs públicos
Nenhum resultado útilNão consigo saber detalhes sobre máquinas por de traz da firewall
![Page 15: Abednego & Dogberry...pensavas que isto era uma porta de entrada – Minha besta Cai a ligação 13 Dogberry Daemon tenta bloquear a máquina atacante, enviando-lhe pacotes corruptos](https://reader033.fdocuments.net/reader033/viewer/2022043015/5f37ef39c31a9e10ba33f24a/html5/thumbnails/15.jpg)
15
Abednego
Tento um IP adress scannerConverto o hipotetico.com para um número através do nslookup
Mais de 50 endereços resultantes - não há garantias que pertençam a hipotetico.comWhois
procurar outros domínios registados na mesma companhia
Hipoteticoz.comIP scanner revela mais 5 endereços IP em números associáveis
![Page 16: Abednego & Dogberry...pensavas que isto era uma porta de entrada – Minha besta Cai a ligação 13 Dogberry Daemon tenta bloquear a máquina atacante, enviando-lhe pacotes corruptos](https://reader033.fdocuments.net/reader033/viewer/2022043015/5f37ef39c31a9e10ba33f24a/html5/thumbnails/16.jpg)
16
Abednego
Cautelas extraLogo-me por telnet a outra conta “hackada”Dai, logo-me a uma outra também “hackada”Estes passos extra dificultam a minha localização Nesta terceira máquina instalo um RootKit
![Page 17: Abednego & Dogberry...pensavas que isto era uma porta de entrada – Minha besta Cai a ligação 13 Dogberry Daemon tenta bloquear a máquina atacante, enviando-lhe pacotes corruptos](https://reader033.fdocuments.net/reader033/viewer/2022043015/5f37ef39c31a9e10ba33f24a/html5/thumbnails/17.jpg)
17
Abednego
RootKitPrograma estilo Cavalo de TróiaCamufla a presença de um intruso numa máquinaContém recompilações das aplicações de sistema – root Kit para uma máquina específicaPermite adicionar contasUsualmente inclui: sniffers, editor dos ficheiros de logs…
![Page 18: Abednego & Dogberry...pensavas que isto era uma porta de entrada – Minha besta Cai a ligação 13 Dogberry Daemon tenta bloquear a máquina atacante, enviando-lhe pacotes corruptos](https://reader033.fdocuments.net/reader033/viewer/2022043015/5f37ef39c31a9e10ba33f24a/html5/thumbnails/18.jpg)
18
Abednego
Estando confortavelmente seguro preparo mais uma série de scans
Corro o software que faz os port scans a todas as máquinas cujos IPs obtive e pertencentes aos dois domínios da companhia (hipotetico.com hipoteticoz.com)Todos os FIN scans passam pela firewall
![Page 19: Abednego & Dogberry...pensavas que isto era uma porta de entrada – Minha besta Cai a ligação 13 Dogberry Daemon tenta bloquear a máquina atacante, enviando-lhe pacotes corruptos](https://reader033.fdocuments.net/reader033/viewer/2022043015/5f37ef39c31a9e10ba33f24a/html5/thumbnails/19.jpg)
19
Dogberry
FIN port scan novamente detectado pelo meu EtherPeekMensagem para o beeper.Identifico a origem dos FIN scansNotifico o administrador da 3ª conta “hackada” do Abednego.
![Page 20: Abednego & Dogberry...pensavas que isto era uma porta de entrada – Minha besta Cai a ligação 13 Dogberry Daemon tenta bloquear a máquina atacante, enviando-lhe pacotes corruptos](https://reader033.fdocuments.net/reader033/viewer/2022043015/5f37ef39c31a9e10ba33f24a/html5/thumbnails/20.jpg)
20
Dogberry
Firewall ao detectar scans normais inicia um flood.ISP da máquina do Abednego finalmete fica convencido de que está a haver um ataque e encerra a conta do Abednego.
![Page 21: Abednego & Dogberry...pensavas que isto era uma porta de entrada – Minha besta Cai a ligação 13 Dogberry Daemon tenta bloquear a máquina atacante, enviando-lhe pacotes corruptos](https://reader033.fdocuments.net/reader033/viewer/2022043015/5f37ef39c31a9e10ba33f24a/html5/thumbnails/21.jpg)
21
Abednego - nova táctica
Descobrir outra entradaDevem existir centenas de desktops nos vários escritórios da companhiaPode existir um modem pessoal não autorizado, para que um utilizador se ligue directamente à sua máquina de outra localizaçãoModem só pode estar ligado a uma extensão telefónica
![Page 22: Abednego & Dogberry...pensavas que isto era uma porta de entrada – Minha besta Cai a ligação 13 Dogberry Daemon tenta bloquear a máquina atacante, enviando-lhe pacotes corruptos](https://reader033.fdocuments.net/reader033/viewer/2022043015/5f37ef39c31a9e10ba33f24a/html5/thumbnails/22.jpg)
22
Abednego - nova táctica
Preparo o ShokDialCategoria war-dialerUm software que liga para uma dada gama de números de telefoneE espera por uma resposta
![Page 23: Abednego & Dogberry...pensavas que isto era uma porta de entrada – Minha besta Cai a ligação 13 Dogberry Daemon tenta bloquear a máquina atacante, enviando-lhe pacotes corruptos](https://reader033.fdocuments.net/reader033/viewer/2022043015/5f37ef39c31a9e10ba33f24a/html5/thumbnails/23.jpg)
23
Abednego - nova táctica
Deparo com:Refrigerators R Us Marketing Departement. Irix 6.3Login:_War dialler obtem sucesso!
Basta crackar a passwordE esperar que haja acesso remoto à conta root – administração em sistemas unix/linux
![Page 24: Abednego & Dogberry...pensavas que isto era uma porta de entrada – Minha besta Cai a ligação 13 Dogberry Daemon tenta bloquear a máquina atacante, enviando-lhe pacotes corruptos](https://reader033.fdocuments.net/reader033/viewer/2022043015/5f37ef39c31a9e10ba33f24a/html5/thumbnails/24.jpg)
24
Abednego - nova táctica
Tentar força brutaUso um password guesser para a conta root
Software que se liga ciclicamente a uma máquina testando várias palavras como passwordComeça pelas palavras mais comuns até às mais estranhasProcesso que pode demorar meses, desde palavras de dicionários aténomes de uma enciclopédia…
SORTE- 3 horas depois “nancy” é a password
![Page 25: Abednego & Dogberry...pensavas que isto era uma porta de entrada – Minha besta Cai a ligação 13 Dogberry Daemon tenta bloquear a máquina atacante, enviando-lhe pacotes corruptos](https://reader033.fdocuments.net/reader033/viewer/2022043015/5f37ef39c31a9e10ba33f24a/html5/thumbnails/25.jpg)
25
Abednego - nova táctica
Ligo-me à nova vitima com previlégios de rootPreparo o terreno
Por FTP coloco um RootKit – para apagar os vestígios da minha presença
Preparo o Keystroke logging – grava todos os inputs de teclado naquela máquina Através do sniffer gravo todos os dados provenientes de acesso remoto àmáquina num ficheiro insuspeitoAtravés do rootkit preparo uma maneira alternativa de entrar na máquina
Login: revenge
Password: DiEd0gB
![Page 26: Abednego & Dogberry...pensavas que isto era uma porta de entrada – Minha besta Cai a ligação 13 Dogberry Daemon tenta bloquear a máquina atacante, enviando-lhe pacotes corruptos](https://reader033.fdocuments.net/reader033/viewer/2022043015/5f37ef39c31a9e10ba33f24a/html5/thumbnails/26.jpg)
26
Abednego - nova táctica
Descobrir o endereço da máquina sequestradawho
revenge on picasso.hipotetico.com
Mais tarde quando o legítimo administrador entrar na máquina não desconfiará de qualquer intrusão
![Page 27: Abednego & Dogberry...pensavas que isto era uma porta de entrada – Minha besta Cai a ligação 13 Dogberry Daemon tenta bloquear a máquina atacante, enviando-lhe pacotes corruptos](https://reader033.fdocuments.net/reader033/viewer/2022043015/5f37ef39c31a9e10ba33f24a/html5/thumbnails/27.jpg)
27
Dogberry
Alguém esta madrugada tentou entrar no hipotetico.com a partir da InternetPerturbado pelos FIN scans recentesNão tenho informação nenhuma para poder tomar uma medida
![Page 28: Abednego & Dogberry...pensavas que isto era uma porta de entrada – Minha besta Cai a ligação 13 Dogberry Daemon tenta bloquear a máquina atacante, enviando-lhe pacotes corruptos](https://reader033.fdocuments.net/reader033/viewer/2022043015/5f37ef39c31a9e10ba33f24a/html5/thumbnails/28.jpg)
28
Abednego - nova táctica
Duas noites depois:Ligo-me ao picassoTráfego de rede é cifradoO keystroke logger registou que alguém se ligou daquela máquina a uma outra chamada fantasiaPossuo agora um login e passowrd para a fantasia – outra máquina interna à redeFantasia é uma workstation provavelmente utilizada como servidor para outras máquinasProcuro um ficheiro de passwords na esperança que estas funcionem noutras máquinas da companhia Descubro o ficheiro mas no lugar das passwors encriptadas existem “x”
Conclusão - as passwords estão num shadow file
![Page 29: Abednego & Dogberry...pensavas que isto era uma porta de entrada – Minha besta Cai a ligação 13 Dogberry Daemon tenta bloquear a máquina atacante, enviando-lhe pacotes corruptos](https://reader033.fdocuments.net/reader033/viewer/2022043015/5f37ef39c31a9e10ba33f24a/html5/thumbnails/29.jpg)
29
Abednego - nova táctica
Provoco um CORE DUMP na máquina correndo um programa de FTP
Tenho acesso a parte da RAM no instante em que o core dump ocorreu através do ficheiro coreExamino o ficheiro core onde descubro os hashes das passwordsBasta correr o meu password cracker para obter a password não cifradaProcesso que pode demorar semanas
![Page 30: Abednego & Dogberry...pensavas que isto era uma porta de entrada – Minha besta Cai a ligação 13 Dogberry Daemon tenta bloquear a máquina atacante, enviando-lhe pacotes corruptos](https://reader033.fdocuments.net/reader033/viewer/2022043015/5f37ef39c31a9e10ba33f24a/html5/thumbnails/30.jpg)
30
Abednego - nova táctica
Paralelamente tento outro conhecido truque que explora o buffer overflow no UNIX
Conseguir que algum código meu seja executado através dum crescimento desmesurado da pilhaexec("sh") para providenciar uma root shell.
![Page 31: Abednego & Dogberry...pensavas que isto era uma porta de entrada – Minha besta Cai a ligação 13 Dogberry Daemon tenta bloquear a máquina atacante, enviando-lhe pacotes corruptos](https://reader033.fdocuments.net/reader033/viewer/2022043015/5f37ef39c31a9e10ba33f24a/html5/thumbnails/31.jpg)
31
Abednego - nova táctica
Buffer overflow
![Page 32: Abednego & Dogberry...pensavas que isto era uma porta de entrada – Minha besta Cai a ligação 13 Dogberry Daemon tenta bloquear a máquina atacante, enviando-lhe pacotes corruptos](https://reader033.fdocuments.net/reader033/viewer/2022043015/5f37ef39c31a9e10ba33f24a/html5/thumbnails/32.jpg)
32
Abednego - nova táctica
Instalar na fantasia um RootKitApagar manualmente os registos da minha presença antes da intalação do RootkitDescobrir se alguém se consegue ligar à fantasia de uma máquina fora da firewall
last
Dois utilizadores: vangogh e nancy através da máquina adagency.com
![Page 33: Abednego & Dogberry...pensavas que isto era uma porta de entrada – Minha besta Cai a ligação 13 Dogberry Daemon tenta bloquear a máquina atacante, enviando-lhe pacotes corruptos](https://reader033.fdocuments.net/reader033/viewer/2022043015/5f37ef39c31a9e10ba33f24a/html5/thumbnails/33.jpg)
33
Abednego – O golpe final
Avaliar a relação de confiança entre adagency e fantasiaHá uma relação de confiança, mútua entre as duas máquinas baseada no IP
Conseguindo entrar no adagency.com é facil chegar ao fantasia – passando pela firewall
Deste modo terei acesso à fantasia a partir da internet sem ter que recorrer à ligação modem-modem.
![Page 34: Abednego & Dogberry...pensavas que isto era uma porta de entrada – Minha besta Cai a ligação 13 Dogberry Daemon tenta bloquear a máquina atacante, enviando-lhe pacotes corruptos](https://reader033.fdocuments.net/reader033/viewer/2022043015/5f37ef39c31a9e10ba33f24a/html5/thumbnails/34.jpg)
34
Picasso Fantasia Admin
Abednego 1 2 3Adagency
Web
![Page 35: Abednego & Dogberry...pensavas que isto era uma porta de entrada – Minha besta Cai a ligação 13 Dogberry Daemon tenta bloquear a máquina atacante, enviando-lhe pacotes corruptos](https://reader033.fdocuments.net/reader033/viewer/2022043015/5f37ef39c31a9e10ba33f24a/html5/thumbnails/35.jpg)
35
Abednego – O golpe final
Ataque à confiançaUtilizar IP spoofing para entrar na adagency.comrlogin à adagency.com – não é autenticado por password mas por endereço IPCrio uma conta com previlégios de administraçãoLigo-me à adgency.com
Aproveito e instalo nesta máquina um rootkitUma vez lá dentro, ligação remota SSH à fantasia
![Page 36: Abednego & Dogberry...pensavas que isto era uma porta de entrada – Minha besta Cai a ligação 13 Dogberry Daemon tenta bloquear a máquina atacante, enviando-lhe pacotes corruptos](https://reader033.fdocuments.net/reader033/viewer/2022043015/5f37ef39c31a9e10ba33f24a/html5/thumbnails/36.jpg)
36
Abednego – O golpe final
IP spoofing
![Page 37: Abednego & Dogberry...pensavas que isto era uma porta de entrada – Minha besta Cai a ligação 13 Dogberry Daemon tenta bloquear a máquina atacante, enviando-lhe pacotes corruptos](https://reader033.fdocuments.net/reader033/viewer/2022043015/5f37ef39c31a9e10ba33f24a/html5/thumbnails/37.jpg)
37
Abednego – O golpe final
Estou numa posição confortável na fantasia.hipotetico.comÉ difícil a minha localização
Comando netstat para ver as ligações activas da máquina
Descubro uma máquina nova Admin.hipotetico.com – fortes probabilidades de ser a máquina de administração do Dogberry
![Page 38: Abednego & Dogberry...pensavas que isto era uma porta de entrada – Minha besta Cai a ligação 13 Dogberry Daemon tenta bloquear a máquina atacante, enviando-lhe pacotes corruptos](https://reader033.fdocuments.net/reader033/viewer/2022043015/5f37ef39c31a9e10ba33f24a/html5/thumbnails/38.jpg)
38
Abednego – O golpe final
Na fantasia capturo a combinação de teclas introduzida por um utilizador através do RootKit – vangogh acedeu ao web serverTenho tudo para tomar conta do site web da companhiaEntretanto mais uma boa notícia – o sniffer no picasso registou um acesso por uma back door a admin.hipotetico.com – nancy como rootTenho tudo para tomar conta de toda a rede da companhia
![Page 39: Abednego & Dogberry...pensavas que isto era uma porta de entrada – Minha besta Cai a ligação 13 Dogberry Daemon tenta bloquear a máquina atacante, enviando-lhe pacotes corruptos](https://reader033.fdocuments.net/reader033/viewer/2022043015/5f37ef39c31a9e10ba33f24a/html5/thumbnails/39.jpg)
39
Abednego - O golpe final
Exploro a conta root da admin.hipotetico.comAfinal o dogberry até fez um bom trabalho
A conta de root não dá acesso a outras máquinas, sem serem requeridas novas passwords
![Page 40: Abednego & Dogberry...pensavas que isto era uma porta de entrada – Minha besta Cai a ligação 13 Dogberry Daemon tenta bloquear a máquina atacante, enviando-lhe pacotes corruptos](https://reader033.fdocuments.net/reader033/viewer/2022043015/5f37ef39c31a9e10ba33f24a/html5/thumbnails/40.jpg)
40
Abednego – O golpe final
Foco o meu ataque no webserverLigo-me ao web serverFaço upload de material obsceno para o site da companhia
![Page 41: Abednego & Dogberry...pensavas que isto era uma porta de entrada – Minha besta Cai a ligação 13 Dogberry Daemon tenta bloquear a máquina atacante, enviando-lhe pacotes corruptos](https://reader033.fdocuments.net/reader033/viewer/2022043015/5f37ef39c31a9e10ba33f24a/html5/thumbnails/41.jpg)
41
Dogberry
Trabalhar até tarde examinar log’s.O pessoal de Marketing têm tido um número invulgar de ligações da adagency.comAmanhã vou ver o que se passa…
O telefone tocaUm cliente furioso queixa-se de que o site hipotetico.com tem vídeos pornográficos
Vejo o site alterado (“defaced”)Corro para o cabo umbilical que liga o sistema à Internet e desligo-o rapidamente
![Page 42: Abednego & Dogberry...pensavas que isto era uma porta de entrada – Minha besta Cai a ligação 13 Dogberry Daemon tenta bloquear a máquina atacante, enviando-lhe pacotes corruptos](https://reader033.fdocuments.net/reader033/viewer/2022043015/5f37ef39c31a9e10ba33f24a/html5/thumbnails/42.jpg)
42
Abednego – O golpe final
Reparo que o site ficou em baixo rapidamenteNesta altura já sabem que houve um ataque e provavelmente estão a tentar localizar o autorVou voltar para tentar eliminar alguns vestígiosE aproveitar para causar mais alguns estragos – pois o efeito do site foi muito efémero Local de entrada – modem no picasso – uma entrada desconhecida para DogberryFormato completamente o admin.hipotetico.com
![Page 43: Abednego & Dogberry...pensavas que isto era uma porta de entrada – Minha besta Cai a ligação 13 Dogberry Daemon tenta bloquear a máquina atacante, enviando-lhe pacotes corruptos](https://reader033.fdocuments.net/reader033/viewer/2022043015/5f37ef39c31a9e10ba33f24a/html5/thumbnails/43.jpg)
43
Dogberry
Sou impedido de recolher dados sobre o ataque.Abednego continua no sistema e manda a rede abaixo
Dirijo-me ao computador administrativoTarde demais!!! Tenho de instalar todo o software de raíz.
![Page 44: Abednego & Dogberry...pensavas que isto era uma porta de entrada – Minha besta Cai a ligação 13 Dogberry Daemon tenta bloquear a máquina atacante, enviando-lhe pacotes corruptos](https://reader033.fdocuments.net/reader033/viewer/2022043015/5f37ef39c31a9e10ba33f24a/html5/thumbnails/44.jpg)
44
Abednego – O golpe final
Um acto final – Inundar o hipotetico.com com pacotes com lixoEventualmente causo dificuldades nos serviços oferecidos por aquela máquina
![Page 45: Abednego & Dogberry...pensavas que isto era uma porta de entrada – Minha besta Cai a ligação 13 Dogberry Daemon tenta bloquear a máquina atacante, enviando-lhe pacotes corruptos](https://reader033.fdocuments.net/reader033/viewer/2022043015/5f37ef39c31a9e10ba33f24a/html5/thumbnails/45.jpg)
45
Dogberry
Recebo uma chamada atribuladaAlguém do departamento de vendas que, através do seu portátil num quatro de hotel, não consegue estabelecer ligação ao servidor de mail do hipotetico.com
![Page 46: Abednego & Dogberry...pensavas que isto era uma porta de entrada – Minha besta Cai a ligação 13 Dogberry Daemon tenta bloquear a máquina atacante, enviando-lhe pacotes corruptos](https://reader033.fdocuments.net/reader033/viewer/2022043015/5f37ef39c31a9e10ba33f24a/html5/thumbnails/46.jpg)
46
Dogberry
Exausto suplico ao vice presidente da tecnologia por uma autorização
Limpar cada computador da redeReinstalar cada programaModificar todas as passwords
Tudo isto requer desligar o sistema durante dias pedido negado
![Page 47: Abednego & Dogberry...pensavas que isto era uma porta de entrada – Minha besta Cai a ligação 13 Dogberry Daemon tenta bloquear a máquina atacante, enviando-lhe pacotes corruptos](https://reader033.fdocuments.net/reader033/viewer/2022043015/5f37ef39c31a9e10ba33f24a/html5/thumbnails/47.jpg)
47
Dogberry
Nesta altura do campeonato as atitudes malignas e destrutivas de Abednego passaram muito além da fronteira do legal no hackingO FBI está demasiado ocupado a investigar violações de segurança em vários sistemas do exército e da marinhaVou ter que ser eu a recolher mais informação
![Page 48: Abednego & Dogberry...pensavas que isto era uma porta de entrada – Minha besta Cai a ligação 13 Dogberry Daemon tenta bloquear a máquina atacante, enviando-lhe pacotes corruptos](https://reader033.fdocuments.net/reader033/viewer/2022043015/5f37ef39c31a9e10ba33f24a/html5/thumbnails/48.jpg)
48
Dogberry
O intruso permaneceu no sistema, mesmo depois de este ter sido desligado fisicamente da Internet modem ilegal algures no edifícioWar Dialer
Tenho de chamar a atenção ao pessoal de Marketing
![Page 49: Abednego & Dogberry...pensavas que isto era uma porta de entrada – Minha besta Cai a ligação 13 Dogberry Daemon tenta bloquear a máquina atacante, enviando-lhe pacotes corruptos](https://reader033.fdocuments.net/reader033/viewer/2022043015/5f37ef39c31a9e10ba33f24a/html5/thumbnails/49.jpg)
49
Dogberry
Versão limpa do computador administrativoMáquina com o Windows NT que não foi atacada
Instalo o T-SightPrograma avançado de Anti-hackingMonitorizar cada máquina da companhia
![Page 50: Abednego & Dogberry...pensavas que isto era uma porta de entrada – Minha besta Cai a ligação 13 Dogberry Daemon tenta bloquear a máquina atacante, enviando-lhe pacotes corruptos](https://reader033.fdocuments.net/reader033/viewer/2022043015/5f37ef39c31a9e10ba33f24a/html5/thumbnails/50.jpg)
50
Dogberry
Montar a minha própria armadilha:O T-Sight verifica a ligação ao admin.hipotetico.com redirecciona-a para uma jailLocalizar o intrusoManter o suspeito distraído
Juntei uma equipa de programadores para que a jail pareça um sistema de contabilidadeO isco é completo com dados financeiros falsos
![Page 51: Abednego & Dogberry...pensavas que isto era uma porta de entrada – Minha besta Cai a ligação 13 Dogberry Daemon tenta bloquear a máquina atacante, enviando-lhe pacotes corruptos](https://reader033.fdocuments.net/reader033/viewer/2022043015/5f37ef39c31a9e10ba33f24a/html5/thumbnails/51.jpg)
51
Dogberry
Duas noites depois, 20:17h alguém entra mais uma vez na máquina de administraçãoÉ o Abednego! Porque voltou ele tão depressa?
![Page 52: Abednego & Dogberry...pensavas que isto era uma porta de entrada – Minha besta Cai a ligação 13 Dogberry Daemon tenta bloquear a máquina atacante, enviando-lhe pacotes corruptos](https://reader033.fdocuments.net/reader033/viewer/2022043015/5f37ef39c31a9e10ba33f24a/html5/thumbnails/52.jpg)
52
Abednego – Orgulho negligente
Cheio de orgulhoAssunto de conversa no sub mundo hackerNotícia CNNSinto-me invencível
Nova invasãoLigo-me directamente à adagency.com
telnet adagency.com
Acesso directo fantasia.hipotetico.com admin.hipotetico.com
![Page 53: Abednego & Dogberry...pensavas que isto era uma porta de entrada – Minha besta Cai a ligação 13 Dogberry Daemon tenta bloquear a máquina atacante, enviando-lhe pacotes corruptos](https://reader033.fdocuments.net/reader033/viewer/2022043015/5f37ef39c31a9e10ba33f24a/html5/thumbnails/53.jpg)
53
Dogberry
O T-Sight redirecciona o Abednego para a jail, sem que este se aperceba.Através do T-Sight obtenho a password do RootKit da Fantasia: DiEd0gB.O intruso está-se a ligar da adagency.comLigo para o administrador da adagency.com para me ajudar a localizar o Abednego
![Page 54: Abednego & Dogberry...pensavas que isto era uma porta de entrada – Minha besta Cai a ligação 13 Dogberry Daemon tenta bloquear a máquina atacante, enviando-lhe pacotes corruptos](https://reader033.fdocuments.net/reader033/viewer/2022043015/5f37ef39c31a9e10ba33f24a/html5/thumbnails/54.jpg)
54
Dogberry
Abednego está a ler um enorme ficheiro que contém números de cartões de crédito falsosConsigo até passar despercebido ao Abednego utilizando o RootKit dele.
Abednego utilizou preguiçosamente o mesmos username e passwords em todos os seus rootkit’s
Instalo um sniffer na adagency.com
![Page 55: Abednego & Dogberry...pensavas que isto era uma porta de entrada – Minha besta Cai a ligação 13 Dogberry Daemon tenta bloquear a máquina atacante, enviando-lhe pacotes corruptos](https://reader033.fdocuments.net/reader033/viewer/2022043015/5f37ef39c31a9e10ba33f24a/html5/thumbnails/55.jpg)
55
Dogberry
Minutos antes do Abednego terminar o download e desligar-se, consigo seguir o rasto dos ficheiro de cartões de crédito até à sua conta de Internet, no seu ISP.A informação obtida é suficiente para chamar o FBI, que contacta o ISP no dia seguinte para obter a identidade do Abednego através dos logs da companhia.
![Page 56: Abednego & Dogberry...pensavas que isto era uma porta de entrada – Minha besta Cai a ligação 13 Dogberry Daemon tenta bloquear a máquina atacante, enviando-lhe pacotes corruptos](https://reader033.fdocuments.net/reader033/viewer/2022043015/5f37ef39c31a9e10ba33f24a/html5/thumbnails/56.jpg)
56
Dogberry
Com todas estas provas em minha posse incluindo os logsde alta qualidade do EtherPeek na minha máquina Macintosh é aprovado um mandato de busca.O Material informático de Abednego é confiscadoAbednego é preso
![Page 57: Abednego & Dogberry...pensavas que isto era uma porta de entrada – Minha besta Cai a ligação 13 Dogberry Daemon tenta bloquear a máquina atacante, enviando-lhe pacotes corruptos](https://reader033.fdocuments.net/reader033/viewer/2022043015/5f37ef39c31a9e10ba33f24a/html5/thumbnails/57.jpg)
57
Conclusão
A tecnolgia e o conhecimento estão ao alcance de todosCada um age segundo os seus propósitos
Um bom administrador de sistemas deve ter conhecimentos sobre hacking
Descobrir falhasSaber quais as metodologias de intrusãoSaber agir/pensar como um hacker
Resolução de problemasAbednego foi traído pelo próprio egoTal como na vida real, não há crime perfeito