Ameaças Digitais

Os hackers são extremamente capazes e inteligentes, com amplo domínio das ciências da computação, da eletrônica, protocolos de comunicação e telefonia. Uma das principais armas dos hackers são os sistemas Unix, muito frequentemente utilizados nas ações ilícitas. Um fator que dificulta a ação da Justiça é o fato da existência da chamada "Dark Web". O que você pensa que conhece sobre a Internet deve ser algo próximo a 5% do que existe no chamado mundo "underground". Diferente do modo como funcionam as sessões de Internet na forma como se conhece, ou seja, facilmente rastreando um endereço IP para a comprovação de um evento, existem dispositivos que permitem ao usuário permanecer "anônimo" na Internet, enquanto navega e utiliza ferramentas de ataques virtuais e outras atividades ilícitas. Esse anonimato acontece porque ao invés do IP utilizado ser o do provedor de serviços do usuário, ele é mascarado por endereços de outros Servidores proxies de várias localidades ao redor do globo através de serviços de VPN (Virtual Private Network). O projeto Tor é uma das tecnologias desenvolvidas para garantir sua privacidade e, consequentemente, abre brechas para ações criminosas ficarem no anonimato. Outros navegadores também permite transitar no hostil ambiente da "Dark Web", como o Freenet, I2P, entre outras redes ponto-a-ponto. O mundo paralelo da Internet é muito mais hostil que o já hostil ambiente que você conhece. Nesse mundo transitam grupos anônimos com negócios de pedofilia, turismo sexual, comércio de drogas e remédios, entre outros. Esses sites não são acessados pelos navegadores convencionais, apenas pelo Tor, Freenet, I2P e os projetos de navegadores construídos para esse ambiente.

Navegando anonimamente

A maioria dos usuários conhece o navegador Tor como solução para navegar de forma anônima, mas existem outras soluções existentes que o Perito precisa conhecer. No ambiente Linux é possível configurar o proxychains de forma dinâmica para disparar as aplicações via proxychains. Outro projeto é o chamado "Invisible Internet Project" (IIP ou I2P - notação de pseudo-matemática que é representado como I²P). O software que implementa esse ambiente é chamado de roteador I2P e um computador com o I2P é chamado de nó I2P. É extremamente importante o Perito Forense Digital conhecer o ambiente onde ele atua, para prestar apoio à Justiça com qualidade, quando esta demandar seus serviços.

Técnicas utilizadas pelos hackers:

Os hackers utilizam um enorme conjunto de técnicas pouco conhecidas para atacarem seus alvos. As principais técnicas utilizadas são:

Droppers:

Os droppers recebem esse nome porque o método de injeção do código malicioso se dá a "conta gotas". Sites contaminados com AdSenses falsos que são comercializados na deep & dark web são apenas uma das formas de se alcançar o computador da vítima. Esse método de carga do payload pelo dropper é muito eficiente, pois passam pelos sistemas de detecção dos AV sem serem notados, pois não há assinaturas a serem checadas pelos AV.

Pequenas partes do código são injetadas na memória do computador e após completamente carregados ele sinaliza os syscalls do ambiente Windows para controlar os processos da máquina. Ao infectar um Ponto de Venda, o dropper sabe exatamente onde estão gravadas as informações de sensíveis dos cartões que pessaram por lá, e envia as informações remotamente para uma máquina normalmente hospedada na deep & dark web, de forma a dificultar sua localização.

O alvo dos droppers concentra-se nos PoS (Point of Sales), ou os Pontos de Vendas, e há droppers customizados especificamente para o mercado do Brasil, que possuem chips nos cartões bancários. Esse tipo de malware deve ser o ponto de atenção para as instituições financeiras no país, pois os ataques aos Pontos de Vendas visam buscar as informações bancárias e de cartões de créditos cujos quais tem responsabilidade do setor bancário oferecer um sistema seguro.

Ransomware:

O ataque do momento. O ransomware é uma classe de malware que criptografa os dados da vítima e cobra um valor em dinheiro pelo seu resgate. O resgate normalmente é solicitado pela moeda virtual bitcoin, o que torna quase impossível rastrear o criminoso que pode vir a receber o valor. Uma vez que algum arquivo seja infectado, o ransomware codificará os dados do usuário sem que o usuário perceba. Em alguns casos o usuário recebe algumas mensagens de erro do sistema operacional durante a ação de criptografia dos dados. Quando o processo é finalizado, a vítima recebe um pop-up em que é avisado que os dados estão bloqueados e que o usuário deve pagar um valor exigido, em moeda virtual bitcoin, para obter a chave que descriptografa os dados permitindo o acesso aos mesmos.

Técnicas avançadas de Engenharia Reversa em ambiente Linux podem revelar a origem do IP do infrator, uma vez que todo o processo é executado remotamente pelo atacante.

Metasploit:

Uma sofisticada framework com centenas de exploits, payloads e ferramenta de altíssimo poder de ataque que permite testar vulnerabilidades em inúmeras plataformas, servidores e sistemas operacionais. Utilizado em conjunto com o scanner NMAP (ou outro scanner), são reveladas as vulnerabilidades do sistema alvo e aplicando-se o exploit pode-se elevar os privilégios e ganhar acesso ao sistema da vítima.

DDoS - Distributed Denial of Services:

O ataque DDoS também é chamado de ataque distribuído de negação de serviço. A negação do serviço acontece porque o atacante causa uma sobrecarga em um servidor para que os recursos do sistema remoto fiquem indisponíveis para os seus usuários. Para realizar essa tarefa, o atacante utiliza uma técnica em que ele infecta milhares ou milhões de computadores espalhados pelo globo com um código malicioso, que nada mais é que um programa configurado para ser executado de forma sincronizada em determinada data e hora onde todos os computadores infectados, chamados zumbis, enviam milhares de solicitações (pacotes) para o seu alvo com a finalidade de sobrecarregá-lo de tal forma que não mais consiga responder a nenhuma solicitação dos usuários.

Sequestro de DNS:

O ataque de sequestro de DNS tem por objetivo substituir as informações de registro de um domínio. As informações são modificadas e as definições de configurações de servidor apontam para um endereço IP DNS falso do atacante. Nesse cenário, um usuário tenta seu acesso a um site legítimo www.meu_banco.com.br e sua conexão é redirecionada para sites falsos controlados pelos hackers, tendo como consequência o acesso indevido à dados sensíveis como nomes de usuário, senhas, informações de cartão de crédito, entre outros.

Ataque SynFlood:

O ataque SynFlood utiliza o 3-way handshake que inicia uma conexão TCP no qual o atacante envia pacotes SYN falsificados ao seu alvo com o endereço IP de origem contendo os destinos falsos. No processo de negociação 3-way handshake, o atacante envia ao seu alvo os pacotes SYN-ACK do servidor com os destinos falsos, ou seja, endereços IP não legítimos. A vítima nunca recebe confirmação de retorno a partir desses destinos e as conexões nunca são concluídas. Então essas conexões abertas enchem a fila de conexões pendentes no servidor. Como consequência, o servidor para responder às novas solicitações de conexão de usuários legítimos.

DNS Tunneling:

No ataque DNS Tunneling, o atacante utiliza o DNS como canal de comunicação secreto para ignorar firewall. Ele se vale de outros protocolos criptografados como o SSH, ou o http submetido à um túnel dns. Essa técnica de ataque permite que os atacantes extraiam dados ou enviem um código chamado de malware. A técnica permite que um túnel de DNS seja utilizado como um host interno, sendo este um canal de controle remoto total comprometido tendo como impacto a captura de dados que podem ocorrer através do túnel DNS. Adicionalmente o ataque também é utilizado para enganar portais wi-fi, fazendo uso dos recursos que este oferece e evitando pagar pelos serviços de wi-fi.

IP Spoofing:

Consiste na falsificação do endereço IP, fazendo a manipulação direta dos campos do cabeçalho de um pacote IP para falsificar o endereço IP da máquina que dispara a conexão. Na prática funciona assim: quando uma máquina X quer se conectar com a máquina Y, a identificação é feita através dos endereços IP´s que estão nos cabeçalhos. Se o endereço IP do cabeçalho enviado pela máquina X for falsificado (IP da máquina do hacker), a máquina Y acredita estar falando com a máquina X.

Ataque de Força Bruta:

O ataque de Força Bruta é uma das mais antigas técnicas de tentativa de invasão de sistemas. Nos ambientes de acesso restrito o acesso se dá pela identificação de usuário e senha. O processo no ataque de Força Bruta consiste em tentar adivinhar as credenciais por meio de tentativa e erro.

Ataque de Dicionário:

Trata-se de um ataque baseado em senhas que consiste na cifragem das palavras de um dicionário seguido de posterior comparação com os arquivos de senhas de usuários.

Cross Site Scripting injection - XSS:

Também conhecido como CSS é uma vulnerabilidade muito comum encontrada em aplicações web. Similar a técnica do SQL injection permite o ataque por meio de inserção de códigos maliciosos nessas páginas, para que sejam executadas no momento que que tais páginas forem acessadas. O ataque consiste que scripts (sequência de instruções) em uma zona sem privilégios (página web) sejam executados com permissão de uma zona com privilégios, técnica conhecida como "escalação de privilégios".

SQL Injection:

A técnica do SQL injection é um ataque que consiste na inserção (injection) de uma query via aplicação web. Nessa classe de ataque o invasor insere ou manipula consultas criadas pela própria aplicação, que são enviadas diretamente para o banco de dados relacional. Uma vez que a vulnerabilidade é detectada, bastam 4 ou 5 consultas SQL para ter as senhas dos usuários, além de todas as outras informações disponíveis na base de dados. Essa técnica é muito utilizada devido a maioria dos desenvolvedores utilizarem o padrão SQL-92 ANSI para troca de informações, que estão repletas de falhas de segurança.

Ferramentas Hackers:

Existem várias distribuições Linux de código aberto voltadas para ataques cibernéticos como o Parrot OS, o NodeZero, o Fedora Spin – Security, o Arch Linux, o Pentoo, o BackBox, o Kali Linux, que é uma evolução do Linux BackTrack, entre outros. Todos estão equipados com mais de 1300 ferramentas de testes de intrusão. São compilações muito avançadas voltada para testes de intrusão, auditoria de segurança e pacotes completos para análise Forense. Por ser de livre distribuição são as principais ferramentas utilizada pelos hackers pelo fato de possuirem um conjunto de elementos de sistemas extremamente sofisticados.