O GLOBO - Informática Etc.
Carlos Alberto Teixeira - C@T

A ordem é contra-atacar

Artigo: 512

Invasor pé-chulé agora tem com que se preocupar

Publicado em:  2001-08-20
Escrito em:  2001-08-16

 

Se a leitora fosse uma menina malvada e quisesse atormentar a vida de internautas desconhecidos, invadindo suas máquinas só pelo prazer de fazê-lo, como lograria seu intento? Bastaria freqüentar por mailing lists de underground, escolher um site maligno e baixar meia-dúzia de scripts de invasão. Tornar-se-ia assim mais uma "script-kiddie" ou "web-vandal", como se diz no jargão. Em seguida, só precisaria acionar estas ferramentas para vasculhar um subespaço numérico de endereços IP de sua escolha, catando portas abertas e explorando estes buracos. E justamente esta facilidade é o que está promovendo uma verdadeira febre de tentativas de invasão de sistemas.

A melhor defesa é adotar um firewall pessoal como o consagrado ZoneAlarm 2.6 <www.zonelabs.com>, ferramenta grátis e eficiente. Após devidamente configurado, ele pára de azucrinar o usuário com os chatíssimos e repetitivos avisos de intrusões, mas mantém-se firme e forte registrando em silêncio todos os eventos estranhos num longo arquivo chamado "log", que tende a crescer bastante. Se a leitora tiver suprema paciência e tempo de sobra, poderá pegar cada registro deste arquivo e enviar uma mensagem de denúncia e reclamação para o administrador de cada host de onde tivesse partido um ataque. Como providência, o sysadmin de lá faria uma advertência ao atacante ou mesmo, se fosse um recalcitrante, cortaria o acesso do mequetrefe. Contudo, estão em falta paciência e tempo para esta tarefa tão enfadonha. É aí que entram os sites de contra-ataque.

Com o uso já bem difundido dos firewalls pessoais, existe na máquina de cada um de nós um volumoso log de ataques. A idéia dos sites de contra-ataque é receber dos internautas este valioso acervo de logs espalhado pelas máquinas dos usuários finais e levantar estatísticas, montando um mapa dinâmico e sempre atualizado das origens e características dos ataques. Desta maneira torna-se fácil fazer o traceback e identificar os maiores centros de onde provêm as tentativas de invasão. Uma coisa é uma usuária isolada mandar um email para um sysadmin reclamando que um certo IP do site dele furou uma porta do seu micro. Outra coisa é um site de renome contatar o mesmo sysadmin denunciando que um dado IP perpetrou 250 mil ataques, discriminando datas, horas e vítimas. É claro, o administrador vai tomar alguma providência rapidinho. Cerca de 30% dos avisos enviados aos sysadmins são por eles respondidos em detalhe.

Dois dos mais renomados sites de contra-ataque são o Dshield <www.dshield.org> e o MyNetWatchman <http://mynetwatchman.com>. Eles funcionam mais ou menos da mesma forma. Você envia regularmente para eles o log de seu firewall e eles vão engordando suas estatísticas. O envio pode se dar de várias maneiras, seja através de um cliente grátis que eles oferecem, ou mesmo através de um programeto escrito por você, de modo a reformatar o log do seu firewall de acordo com a estrutura adotada pelo site. Se preferir manter seu anonimato, tudo bem: você não precisa se identificar, basta mandar o seu log e fim de papo. Porém, registrando-se, o usuário passa a receber feedback, atualizações e novidades via email, além de relatórios personalizados referentes aos eventos que reportou, o que não é nada mau.

Segundo as estatísticas do MyNetWatchman, 18,84% dos ataques são feitos à porta 80 dos sistemas online, a porta HTTP. Este site cobre os EUA e mais 41 países, processa cerca de 130 mil ataques por dia e já tem 1049 agentes registrados, ou seja, internautas que sempre mandam seus logs para lá. Diariamente envia entre 500 e 1000 emails para responsáveis por sites, denunciando invasões oriundas de suas instalações, sendo que no auge da infecção do vírus Code Red foram mais de dez mil emails enviados por dia. Na semana passada, por exemplo, os domínios que mais receberam emails advertindo sobre ataques provenientes deles foram BellSouth <bellsouth.net>, Road Runner <rr.com>, At Home <home.com>, America Online <aol.com> e Southwestern Bell <swbell.net>.

[ Voltar para o índice de artigos de 2001 ]

[ O Globo | Informática Etc. | coluna mais recente | enviar email
página pessoal C@T
| assinar lista InfoEtc | assinar GoldenList do C@T ]


powered by FreeFind