Categoria Hacking

O que é IP Spoofing?

No contexto de redes de computadores, IP spoofing é um ataque que consiste em mascarar (spoof) pacotes IP utilizando endereços de remetentes falsificados.
Devido às características do protocolo IP, o reencaminhamento de pacotes é feito com base numa premissa muito simples: o pacote deverá ir para o destinatário (endereço-destino) e não há verificação do remetente — não há validação do endereço IP nem relação deste com o router anterior (que encaminhou o pacote). Assim, torna-se trivial falsificar o endereço de origem através de uma manipulação simples do cabeçalho IP. Assim,vários computadores podem enviar pacotes fazendo-se passar por um determinado endereço de origem, o que representa uma séria ameaça para os sistemas baseados em autenticação pelo endereço IP.

Falsificação de um pacote: A cada pacote enviado estará geralmente associada uma resposta (do protocolo da camada superior) e essa será enviada para a vítima, pelo o atacante não pode ter conhecimento do resultado exato das suas ações — apenas uma previsão.

Esta técnica, utilizada com outras de mais alto nível, aproveita-se, sobretudo, da noção de confiabilidade que existe dentro das organizações: supostamente não se deveria temer uma máquina de dentro da empresa, se ela é da empresa. Por outro lado, um utilizador torna-se também confiável quando se sabe de antemão que estabeleceu uma ligação com determinado serviço. Esse utilizador torna-se interessante, do ponto de vista do atacante, se ele possuir (e estiver usando) direitos privilegiados no momento do ataque.
No entanto, através deste procedimento, a interação com as aplicações não existe. Além disso as características do protocolo IP permitem falsificar um remetente, porém não permitem receber as respostas — essas irão para o endereço falsificado. Assim, o ataque pode ser considerado cego. Essa técnica é conhecida por desvio de sessão TCP, ou TCP session hijacking em inglês.
Existem métodos para evitar estes ataques, como a aplicação de filtros de pacotes, filtro ingress nos gateways; faz sentido bloquear pacotes provindos da rede externa com endereços da rede local. Idealmente, embora muito negligenciado, usar um filtro egress — que iria descartar pacotes provindos da rede interna com endereço de origem não-local que fossem destinados à rede externa — pode prevenir que utilizadores de uma rede local iniciem ataques de IP contra máquinas externas.
Existem outros ataques que utilizam esta técnica para o atacante esconder a origem ou para potencializar um determinado ataque: ataques SYN (SYN flooding) ou ataques smurf são exemplos muito citados.
A maior vantagem do Ip spoofing em relação a outros tipos de farejamento de conexões (como o DNS spoofing, por exemplo) é que ele funciona em nível de conexão, permitindo farejar e interceptar conexões e pacotes em redes de todos os sitemas, seja ele Linux, Unix, Windows, Solaris ou qualquer outro existente, desde que a conexão parta de um IP confiável com um endereço mac conhecido.

categoria hacking

O que é Ransomware?

Ransomware é um tipo de software nocivo que restringe o acesso ao sistema infectado e cobra um resgate para que o acesso possa ser restabelecido, caso não ocorra o mesmo, arquivos podem ser perdidos e até mesmo publicados.De acordo com um relatório da Cisco, ele domina o mercado de ameaças digitais e é o tipo de malware mais rentável da história.O primeiro relato documental deste tipo de ataque foi em 2005 nos Estados Unidos.Um exemplo deste tipo de malware é o Arhiveus-A, que compacta arquivos no computador da vítima em um pacote criptografado. Em seguida informa que os arquivos somente poderão ser recuperados com o uso de uma chave difícil de ser quebrada, geralmente de 30 dígitos, que a vítima receberá após efetuar sua compra em um site do atacante. Trata-se de um golpe ou de fato uma ação extorsiva pois esse tipo de hacker (crackers), mesmo após o pagamento do resgate, pode ou não fornecer a chave para descriptografar os arquivos.
Diferentemente dos trojans, os ransomwares não permitem acesso externo ao computador infectado. A maioria é criada com propósitos comerciais. São geralmente, e com certa facilidade, detectados por antivírus, pois costumam gerar arquivos criptografados de grande tamanho, embora alguns possuam opções que escolhem inteligentemente quais pastas criptografar ou, então, permitem que o atacante escolha quais as pastas de interesse.

Categoria hacking

Ataque man-in-the-middle

 

O man-in-the-middle (pt: Homem no meio, em referência ao atacante que intercepta os dados) é uma forma de ataque em que os dados trocados entre duas partes (por exemplo, você e o seu banco), são de alguma forma interceptados, registrados e possivelmente alterados pelo atacante sem que as vitimas se apercebam. Numa comunicação normal os dois elementos envolvidos comunicam entre si sem interferências através de um meio, aqui para o que nos interessa, uma rede local à Internet ou ambas.
Durante o ataque man-in-the-middle, a comunicação é interceptada pelo atacante e retransmitida por este de uma forma discricionária. O atacante pode decidir retransmitir entre os legítimos participantes os dados inalterados, com alterações ou bloquear partes da informação.
Como os participantes legítimos da comunicação não se apercebem que os dados estão a ser adulterados tomam-nos como válidos, fornecendo informações e executando instruções por ordem do atacante.