Scanners são programas de varredura utilizados para detectar possíveis vulnerabilidades em sistemas. Em outras palavras, eles são programas procuram por certas falhas de segurança que podem permitir ataques e até mesmo invasões.
Mesmo que você tenha apenas um único micro conectado à Internet, pode estar sujeito a ataques, sobretudo relacionados a vírus e trojans, já que a cada dia surgem novas dessas pragas virtuais, muitas delas indetectáveis pelos antivírus. Existem ainda possíveis bugs em aplicativos, que podem expor o seu micro a ataques.
Por esse motivo, é indispensável que você atualize com freqüência o antivírus e demais aplicativos, principalmente os que utilizam a conexão com a Internet, incluindo o próprio sistema operacional. Se você utiliza alguma versão Windows, pode baixar atualizações através do Windows Update. Se você usa alguma distribuição Linux, verifique a disponibilidade de uma ferramenta de atualização de pacotes e mantenha-se atualizado com relação às atualizações disponibilizadas pelos desenvolvedores.
A partir do momento que você interliga os micros em rede e compartilha a conexão entre eles, os cuidados devem ser redobrados. Falhas nas configurações da rede ou mesmo desconhecimento por parte dos usuários podem tornar sua rede um prato cheio para os invasores. O risco é maior em redes corporativas e em sistemas bancários, onde o invasor pode obter vantagens mais diretas.
Os scanners servem justamente para checar as condições de segurança de um ou mais micros, de modo que você corrija eventuais falhas antes que alguém mal intencionado tenha chance de explorá-las, obtendo alguma vantagem ou causando prejuízo. Assim como os demais, estes programas também precisam ser atualizados com frequência, de modo a corrigir falhas descobertas mais recentemente.
Temos vários scanners disponíveis para download, alguns freewares, outros caríssimos. Entre os mais conhecidos e utilizados temos o Languard, o Project R3x e Shadow Security Scanner, todos eles bem recomendados.
Na verdade, o R3x é mais antigo e deu lugar ao atual Languard Network Security Scanner, mas não deixa de ser uma ótima pedida, seja pela sua rapidez e leveza, seja pela eficiência em descobrir informações e compartilhamentos.
Utilizá-los é bem simples. Uma vez instalados (com exceção do R3x que não necessita instalação), você define um endereço ou uma faixa de endereços IP e inicia a varredura. Este processo pode demorar um pouco, aumentando exponencialmente de acordo com o número de endereços a serem verificados. Se você possui uma rede, poderá checar as vulnerabilidades de todos os micros de uma só vez, indicando uma faixa contendo todos os endereços.
Terminada a verificação, é exibido um relatório contendo os resultados. O relatório não é difícil de se interpretar, mas para entendê-lo, você deve ter o mínimo de conhecimento sobre redes e protocolos, sobretudo com relação ao TCP/IP.
Os resultados mais comuns são: portas abertas utilizadas por serviços de sistema, portas abertas por trojans e compartilhamentos de pastas, unidades de disco e impressoras.
Caso você encontre alguma porta aberta e não exista nenhum serviço ou programa utilizando esta porta, sugiro que você a feche. Mas, claro, não saia por aí “fechando todas as portas”, senão seu micro se tornará incomunicável e a melhor sugestão seria então, desconectá-lo da Internet.
Muitos aplicativos precisam de determinadas portas para funcionar, como os compartilhadores de arquivos, por exemplo. Na verdade eles utilizam portas randômicas, ou seja, só são abertas durante o uso do programa. Se você instalar um programa deste tipo, nunca deixe o firewall bloqueá-lo, caso contrário o programa não conseguirá abrir a porta para que o seu correto funcionamento aconteça.
Alguns scanners permitem salvar os relatórios obtidos em formato html, permitindo assim que você vá acompanhando os resultados obtidos a cada varredura efetuada. Isso é muito interessante, pois assim será possível verificar se as falhas encontradas nas varreduras passadas já foram corrigidas, ou se apareceu uma nova vulnerabilidade.
A Internet nada mais é do que a união de inúmeras sub-redes espalhadas pelo mundo, conectadas entre si. Essas sub-redes podem ser formadas por alguns ou vários micros conectados através de cabos e demais equipamentos de rede. Além destes dispositivos, que conectam fisicamente os micros, é necessário que cada micro da rede possua um protocolo comum instalado, como o TCP/IP, que é o protocolo padrão da Internet.
É justamente o protocolo TCP/IP que permite que usuários de todo o mundo acessem sites, troquem informações, disputem jogos, entre tantos outros atrativos. E também é por esse mesmo protocolo que ataques hacker vindos de qualquer ponto do globo terrestre tornam-se possíveis.
Um usuário que acessa a Internet de casa dificilmente estará vulnerável. O principal fator causador de ataques a usuários comuns é a engenharia social. Veja uma definição exata para o termo:
“…práticas utilizadas para obter acesso à informações importantes ou sigilosas em organizações ou sistemas por meio da enganação ou exploração da confiança das pessoas. Para isso, o golpista pode se passar por outra pessoa, assumir outra personalidade, fingir que é um profissional de determinada área, etc. É uma forma de entrar em organizações que não necessita da força bruta ou de erros em máquinas. Explora as falhas de segurança das próprias pessoas que, quando não treinadas para esses ataques, podem ser facilmente manipuladas.” (fonte: Wikipedia.org)
Quando se trata de engenharia social, não há nenhum programa que possa corrigir a falha de segurança, já que ela não está no sistema e sim no próprio operador. A única sugestão neste caso é evitar executar programas vindos de pessoas e/ou sites desconhecidos e prestar atenção com aqueles links que aparentemente apontam para determinado destino mas que iniciam misteriosamente o download de algum arquivo (muito comum em sites de relacionamento, como o Orkut).
Não só a engenharia social pode causar estragos, mas muitas vezes a própria falta de conhecimento ou treinamento por parte dos administradores de rede. Utilizar bons antivírus e firewalls nem sempre é suficiente, ainda mais quando estes não são atualizados.
Pragas como trojans, que podem passar muitas vezes desapercebidas por antivírus, dificilmente não serão detectadas por um scanner. A grande vantagem em utilizá-lo, é justamente a possibilidade de se descobrir portas abertas, que podem ser causadas justamente pelos trojans. Talvez o programa não detecte a praga em si, mas certamente detectará a porta aberta por ela.
Project R3x
Seria impossível eu abordar aqui as funcionalidades de cada scanner, já que existem centenas deles disponíveis na Internet. Vou utilizar como exemplo o programa Project R3x, que pode ser facilmente encontrado em sites de busca. Tenha este tutorial apenas como um modelo e se preferir pesquise outros programas com a mesma função.
Uma vez baixado e descompactado, abra o arquivo R3x.exe. Para iniciar uma varredura indique um ou uma faixa de endereços IP. Veja no exemplo abaixo que o scanner procurará vulnerabilidades em 254 micros diferentes numa mesma rede, visto que a máscara de sub-rede é 255.255.255.0, o que significa que apenas o último octeto do endereço é mutável.
Por utilizar uma faixa de endereços de rede local, este exemplo só pode ser considerado caso o scan seja lançado a partir de um micro que faz parte da rede:
Fora da rede local, só é possível escanear micros diretamente conectados à Internet. Micros que acessam através de uma conexão compartilhada via NAT ficam fora da lista, já que nesse caso o único diretamente conectado é o gateway da rede.
Você deve estar se perguntando: mas se não é possível escanear um micro que esteja localizado dentro de uma rede privada, como pode ocorrer um ataque vindo “do lado de fora da rede”?
Realmente seria impossível invadir diretamente um PC com um endereço interno, pois não há como acessá-lo a partir de seu endereço IP, que é acessível apenas dentro da rede local. Por outro lado, existe a possibilidade de acessá-lo por conexão reversa, o que força o micro alvo a se conectar ao micro invasor. Alguns trojans conhecidos, como o Beast e o Prorat, na época em que ainda não eram detectados pelos antivírus, permitiam realizar a conexão quase que instantaneamente após a vítima executar o arquivo malicioso.
A conexão reversa não é utilizada necessariamente para invasões. Pode também ser muito útil quando você quiser controlar um computador remotamente, mas que este esteja em uma rede interna. Um bom programa com essa função é o Real VNC, que permite acesso tanto direto quanto reverso.
A partir da versão 0.6 do R3x, o programa passou a implementar o uso do SNMP (Simple Network Management Protocol, ou protocolo simples de gerenciamento de rede), que permite obter informações detalhadas sobre contas de usuários, equipamentos de rede, portas e serviços abertos. Ao mesmo tempo que pode ser uma ferramenta útil para os administradores de rede, afim de obter informações , gerenciar o desempenho da rede e encontrar possíveis problemas, o protocolo em questão pode também, em muitos casos, facilitar a obtenção de informações por parte do invasor.
Uma sugestão é desabilitar o serviço SNMP, caso você possua um único micro conectado à Internet. No Windows XP você pode fazer isso entrando na seção Serviços (no executar digite services.msc). Ao passar por lá aproveite também para verificar se o serviço de Registro remoto está ativo. Este serviço permite que usuários remotos modifiquem configurações do registro no computador. Caso esteja ativo, a sugestão é que você o desabilite, até porque é um serviço que raramente é utilizado, salvo exceções.
Veja algumas das vulnerabilidades possíveis, que podem ser detectadas pelos scanners:
–Portas abertas: 65 535 é o número de portas TCP que podem estar abertas por serviços ou programas. Veja alguns exemplos:
Porta 21 – Esta é a porta padrão utilizada pelo serviço de FTP (File Transfer Protocol, ou protocolo de transferência de arquivos). Este protocolo permite a transferência de arquivos entre computadores. Utilizando este serviço é possível baixar arquivos ou fazer uploads. O computador que disponibiliza este serviço deve estar com o módulo servidor ativado. Caso você queira segurança ao transferir seus arquivos, desabilite o logon anônimo e use uma senha difícil de ser quebrada.
Porta 23 – Porta padrão do Telnet, que permite acesso remoto à sistemas, como se estivesse operando localmente. A ativação do módulo servidor pode ser feita na seção de serviços no Windows. Uma vez ativado, é muito simples, abra o prompt de comando e digite o seguinte:
telnet <espaço> IP (ex.: telnet 201.92.48.146)
Após isto, entre com o nome de usuário e senha. As limitações ou privilégios na operação remota do sistema dependerão simplesmente da conta utilizada no logon, restrita ou de administrador.
Porta 80 – Utilizada pelo protocolo HTTP (Hyper Text Transfer Protocol), responsável pelo compartilhamento de informação na Internet. Através dele é possível transmitir textos, documentos, imagens e multimídia.
A maior preocupação em se manter portas abertas é justamente em relação à utilização senhas fracas ou falta delas.
Além das portas padrões, utilizadas por determinados serviços, e das portas randômicas, utilizadas por alguns programas, existem determinadas pragas virtuais que também podem abrir uma ou algumas portas, afim de expor o micro à invasões. Não tenha dúvidas, uma invasão só pode ser bem sucedida caso haja pelo menos uma porta aberta que a viabilize.
–Compartilhamentos: É comum o uso de compartilhamento de arquivos e, até mesmo de unidades de armazenamento, em algumas redes, principalmente em empresas que queiram centralizar alguns arquivos a serem disponibilizados para vários funcionários. Se existe algum compartilhamento ativo em um computador, é muito provável que os scanners o detectem. Mais uma vez torna-se fundamental a utilização de senhas seguras.
Veja agora o exemplo de um escaneamento de um micro qualquer conectado à Internet.
Vale lembrar que as imagens acima são meramente ilustrativas, servindo apenas como exemplo. Entre as informações verificadas na imagem acima podemos destacar:
Sistema operacional: Windows Vista Home Premium 6.0
Nome de usuário: DANUBIA
Portas abertas: 21 – FTP; 110 – Pop3;
A informação que chama mais a atenção neste caso é a porta 21 aberta, utilizada pelo serviço de FTP e que permite, portanto, a transferência de arquivos. Caso não haja nenhuma senha, ou a senha seja fraca, é possível com um simples navegador, como o Internet Explorer, obter acesso aos arquivos, ou ainda digitar no prompt de comando ftp endereço-IP.
Se durante um escaneamento você quiser procurar por compartilhamentos em um micro, clique nele com o botão direito do mouse e escolha Gather Intelligence. Para checar as possíveis portas abertas escolha Port Scanning.
Assim como outros programas parecidos, o Project R3x permite salvar os relatórios obtidos em documentos no formato html. Para salvar clique em File > Save results (HTML). Assim você pode acompanhar com o tempo se houve ou não melhorias na segurança, ou se apareceram novas vulnerabilidades. Veja como fica o relatório salvo:
Um detalhe importante é que o Project R3x não varre todas as portas. No menu “View > Portscan.txt” constam todas as portas indicadas juntamente com os seus serviços correspondentes.
O programa ainda traz mais algumas funções além da varredura. No menu Tools há duas opções interessantes: DNS lookup e Traceroute. A primeira opção permite traduzir o nome de algum domínio em endereço IP (o mesmo que você teria ao abrir o prompt e digitar “ping url-do-site”).
Esta opção é muito útil caso você queira verificar as vulnerabilidades de algum site, mas lembre-se que esta função só se aplica a sites que possuam domínio próprio. A segunda permite traçar uma rota, indicando todo o caminho que liga o seu micro ao outro especificado. Esta função corresponde ao comando tracert do prompt de comando.
Existem inúmeros outros scanners e manuais e vale a pena experimentar alguns deles. O exemplo de programa que usei é meramente didático e existem outros scanners com mais eficiência. Como você viu a utilização é bem simples e algumas funcionalidades variam de um programa para outro.
Veja também
Sobre o Autor
Deixe seu comentário