| INVASAO POR MONITORAÇAO |
| INTRODUÇÃO Os ataques por monitoração são baseados em software de monitoração de rede conhecido como "sniffer", instalado surrepticiamente pelos invasores. O sniffer grava os primeiros 128 bytes de cada sessão login, telnet e FTP session vista naquele segmento de rede local, comprometendo TODO o tráfego de/para qualquer máquina naquele segmento, bem como o tráfego que passar por aquele segmento. Os dados capturados incluem o nome do host destino, o username e a password. A informação é gravada num arquivo posteriormente recuperado pelo invasor para ter acesso a outras máquinas. Em muitos casos os invasores obtem acesso inicial aos sistemas usando uma das seguintes técnicas: Obtem o arquivo de passwords via TFTP em sistemas impropriamente configurados Obtem o arquivo de password de sistemas rodando versões inseguras do NIS Obtem acesso ao sistema de arquivos locais via pontos exportados para montagem com NFS, sem restrições Usam um nome de login e password capturada por um sniffer rodando em outro sistema. Uma vez no sistema, os invasores obtem privilegios de root explorando vulnerabilidades conhecidas, tal como rdist, Sun Sparc integer division, e arquivos utmp passíveis de escrita por todo mundo ou usando uma password de root capturada. Eles então instalam o software sniffer, registrando a informação capturada num arquivo invisível. Adicionalemente, eles instalam cavalos de Troia em substituição e uma ou mais dentre os seguintes arquivos do sistema, para ocultar sua presença: /bin/login /usr/etc/in.telnetd /usr/kvm/ps /usr/ucb/netstat Entenda o barramento do micro SOBRE OS BARRAMENTOS: Vamos lá, por partes: ISA - O barramento surgiu com os XT's, os ISA originais eram 8bits e rodavam a (se eu não estou enganado, a 4.77 Mhz) Com o advento dos AT, veio o ISA de 16 bits operando a freqüência de 8Mhz, utilizados até hoje. Por exemplo, as Fax-modem possuem barramento ISA 8 bits. Os barramentos usados atualmente são o ISA, VESA e PCI, esses dois últimos são o que se chama "local bus". Sao "local bus" por funcionarem em conexão direta com a cpu. VESA - Hoje muito popular, não chega a constituir um barramento novo, ele eh basicamente um ISA alterado,e é um barramento rápido, de 32bits e frequencia de funcionamento de 33Mhz. A velocidade de transmissão é de 130 Mbits/S Ele chega a ser mais rápido do que o PCI, porem em determinadas condições. O VESA envia dados diretamente para a CPU, e gera uma impedancia muito alta, o problema do VESA, é que vc, nao pode ter mais do que três placas ligadas a CPU, se vc tiver duas vc percebe queda na velocidade de transferencia e com três vc corre até o risco de "sobrecarregar a CPU". PCI - O futuro sucessor do ISA, é o mais poderoso barramento hoje, e vem conquistando mais espaço a cada dia. Ele é um barramento de 64 bits e opera com a frequencia de 33MHz, com veloc. de transf de 120Mbits/S . Embora denominado "local bus" ele não envia os dados diretamente para a CPU, um processador, chamado "host bridge control" controla o acesso PCI/CPU. Isso faz com que a impedancia nos circuitos se mantenha baixa e permita alta velocidade de transferência . Vc. pode ter até dez placas PCI conectadas sem PERDA de velocidade. Nota: Quanto a velocidade VESA/PCI, o VESA eh realmente mais rapido que o PCI, pois como já foi dito , ele envia dados direto para a cpu, porem ao se ter duas placas VESA conectadas, o rendimento cai e a velocidade de transferência cai abaixo do PCI. Com duas VESA conectadas, a velocidade das placas caem para + ou - 110Mbit/S e com três ela cai ainda mais. IDE - Padrão de controladora de perifericos, uma IDE controla duas COM ports, uma serial de jogos, os floppies disks, HD e impressora. A IDE pode possuir barramentos ISA, PCI ou VLB. |