Parte VII - A-há! Te peguei, hacker... Mas, e agora?
É cada dia mais comum o surgimento de softwares que cuidam da segurança do seu computador pessoal e o mecanismo de monitoração mais utilizado é a "escuta" de portas de conexão (para maiores informações sobre ‘portas de conexão’, consulte o capítulo 3 deste curso básico).
Entretanto, de que adianta a informação de que um hacker tenta bisbilhotar nosso computador? O que podemos fazer no momento em que descobrimos uma tentativa de ataque e conseguimos informações básicas sobre o hacker — como, por exemplo, seu número IP — através dos relatórios destes programas de proteção?
Primeiro vamos analisar os fatos: um aviso emitido por um destes softwares de monitoração não significa que você está sendo invadido. É apenas uma notificação que houve uma tentativa de conexão em determinada porta. Muito provavelmente o hacker não obterá êxito pois os softwares de monitoração fazem uma checagem sobre as vulnerabilidades do computador, eliminando os programas ou falhas que permitiriam o ataque. Ficar de olho nas portas é uma medida secundária para quase todos estes programas de segurança.
Ao identificar uma tentativa de conexão, os programas registram dados importantes como hora, IP, tipo de ataque, etc. e mostram estas informações à você, usuário. Estes dados são referentes ao computador de onde partiu o ataque e identificam de forma bastante confiável o responsável pela ação.
De posse destes dados, devemos, antes de qualquer outra ação, identificar a qual "provedor" pertence este número. Para isto basta utilizamos um comando do próprio Windows, dentro da janela do "Prompt do MS-DOS", executando: "tracert 192.168.0.10" (trocando o IP pelo número identificado no relatório).
Este comando produzirá uma série de linhas "percorrendo" o caminho de um pacote de dados do seu computador até o computador do invasor. Cada linha identifica um computador intermediário e as últimas identificam equipamentos do provedor de destino. Pelo nome destes equipamentos é fácil deduzir a que provedor de acesso eles pertencem.
Através da página web do provedor, você pode conseguir um endereço de contato para reclamar sobre incidentes de segurança, geralmente abuse@provedor.com.br, mas uma maneira de garantir o recebimento da sua mensagem é enviar cópias para postmaster@provedor.com.br e root@provedor.com.br.
Com o endereço à mão, redija uma mensagem relatando a tentativa de acesso não autorizado ao seu computador pessoal partindo da rede sob a responsabilidade desta empresa provedora de acesso à Internet. Repare que é esta empresa que responde pelas tentativas de invasão originadas na sua (dela) rede. O fato do incidente ter sido provocado por um usuário é um problema do provedor com seu cliente em particular e, à você, cabe apenas a reclamação aos responsáveis pela rede. Não perca tempo tentando identificar o usuário.
Provedores sérios que se preocupam com sua imagem emitem uma notificação ao seu usuário (eles têm como identificar o usuário através do número IP e hora) avisando sobre as condutas aceitáveis dos seus clientes. Dependendo da política de cada provedor, o usuário, se estiver reincidindo nestas ações, pode ser bloqueado ou excluído.
Mas, o que pode dar errado? Infelizmente muita coisa... Para começar você pode não conseguir identificar o provedor através do comando "tracert" por causa de configurações específicas de redes internas. Neste caso, peça auxílio ao suporte técnico do seu provedor. Um outro problema é ser ignorado quando enviar a mensagem relatando seus problemas de segurança. Uma ótima ferramenta contra esta atitude por parte dos provedores irresponsáveis é enviar uma cópia da mensagem ao NicBR Security Office (nbso@nic.br), equipe brasileira que mantém um serviço de auxílio e estatísticas sobre incidentes de segurança.
Outros grupos que mantém serviços sobre segurança são:
CAIS - Centro de Atendimento a Incidentes de Segurança (RNP)
CERT-RS - Centro de Emergência em Segurança da Rede
security@embratel.net.br - Responsável pela maioria dos backbones
Observações
*
* Manter o relógio do seu computador na maior sincronia possível com o horário oficial do Brasil pode ser imprescindível para a correta identificação do usuário no provedor ao qual está sendo feita a reclamação.
*
* Muitas alegações por parte dos provedores como, por exemplo, não punir o usuário por medo de perder o cliente ou alegar que "pura bisbilhotagem" (portscan) não é considerado crime, pode fazer com que a indisciplina na Internet aumente. Nestas situações, notifique o descaso ao NicBr. Uma lista dos provedores mais irresponsáveis com a segurança é um argumento infalível para se exigir uma ação repressora.
*
* Caso decida acionar o NicBr para auxiliar no seu caso, encaminhe primeiramente um email solicitando informações sobre a melhor maneira para se fazer estas reclamações. São medidas que ajudam no processo decisório por parte da equipe, viabilizando a ajuda gratuita que eles prestam a nós internautas.
Alguns dos programas mais comuns para a identificação de ataques são: Anti-Hack 2.0, TDS-2 e muitos dos pacotes de segurança e firewalls pessoais dos grandes produtores de software de segurança, como a Symantec ou a McAfee. Você pode encontrá-los nos grandes repositórios de softwares como, por exemplo, no Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar... ou na Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar....
É cada dia mais comum o surgimento de softwares que cuidam da segurança do seu computador pessoal e o mecanismo de monitoração mais utilizado é a "escuta" de portas de conexão (para maiores informações sobre ‘portas de conexão’, consulte o capítulo 3 deste curso básico).
Entretanto, de que adianta a informação de que um hacker tenta bisbilhotar nosso computador? O que podemos fazer no momento em que descobrimos uma tentativa de ataque e conseguimos informações básicas sobre o hacker — como, por exemplo, seu número IP — através dos relatórios destes programas de proteção?
Primeiro vamos analisar os fatos: um aviso emitido por um destes softwares de monitoração não significa que você está sendo invadido. É apenas uma notificação que houve uma tentativa de conexão em determinada porta. Muito provavelmente o hacker não obterá êxito pois os softwares de monitoração fazem uma checagem sobre as vulnerabilidades do computador, eliminando os programas ou falhas que permitiriam o ataque. Ficar de olho nas portas é uma medida secundária para quase todos estes programas de segurança.
Ao identificar uma tentativa de conexão, os programas registram dados importantes como hora, IP, tipo de ataque, etc. e mostram estas informações à você, usuário. Estes dados são referentes ao computador de onde partiu o ataque e identificam de forma bastante confiável o responsável pela ação.
De posse destes dados, devemos, antes de qualquer outra ação, identificar a qual "provedor" pertence este número. Para isto basta utilizamos um comando do próprio Windows, dentro da janela do "Prompt do MS-DOS", executando: "tracert 192.168.0.10" (trocando o IP pelo número identificado no relatório).
Este comando produzirá uma série de linhas "percorrendo" o caminho de um pacote de dados do seu computador até o computador do invasor. Cada linha identifica um computador intermediário e as últimas identificam equipamentos do provedor de destino. Pelo nome destes equipamentos é fácil deduzir a que provedor de acesso eles pertencem.
Através da página web do provedor, você pode conseguir um endereço de contato para reclamar sobre incidentes de segurança, geralmente abuse@provedor.com.br, mas uma maneira de garantir o recebimento da sua mensagem é enviar cópias para postmaster@provedor.com.br e root@provedor.com.br.
Com o endereço à mão, redija uma mensagem relatando a tentativa de acesso não autorizado ao seu computador pessoal partindo da rede sob a responsabilidade desta empresa provedora de acesso à Internet. Repare que é esta empresa que responde pelas tentativas de invasão originadas na sua (dela) rede. O fato do incidente ter sido provocado por um usuário é um problema do provedor com seu cliente em particular e, à você, cabe apenas a reclamação aos responsáveis pela rede. Não perca tempo tentando identificar o usuário.
Provedores sérios que se preocupam com sua imagem emitem uma notificação ao seu usuário (eles têm como identificar o usuário através do número IP e hora) avisando sobre as condutas aceitáveis dos seus clientes. Dependendo da política de cada provedor, o usuário, se estiver reincidindo nestas ações, pode ser bloqueado ou excluído.
Mas, o que pode dar errado? Infelizmente muita coisa... Para começar você pode não conseguir identificar o provedor através do comando "tracert" por causa de configurações específicas de redes internas. Neste caso, peça auxílio ao suporte técnico do seu provedor. Um outro problema é ser ignorado quando enviar a mensagem relatando seus problemas de segurança. Uma ótima ferramenta contra esta atitude por parte dos provedores irresponsáveis é enviar uma cópia da mensagem ao NicBR Security Office (nbso@nic.br), equipe brasileira que mantém um serviço de auxílio e estatísticas sobre incidentes de segurança.
Outros grupos que mantém serviços sobre segurança são:
CAIS - Centro de Atendimento a Incidentes de Segurança (RNP)
CERT-RS - Centro de Emergência em Segurança da Rede
security@embratel.net.br - Responsável pela maioria dos backbones
Observações
*
* Manter o relógio do seu computador na maior sincronia possível com o horário oficial do Brasil pode ser imprescindível para a correta identificação do usuário no provedor ao qual está sendo feita a reclamação.
*
* Muitas alegações por parte dos provedores como, por exemplo, não punir o usuário por medo de perder o cliente ou alegar que "pura bisbilhotagem" (portscan) não é considerado crime, pode fazer com que a indisciplina na Internet aumente. Nestas situações, notifique o descaso ao NicBr. Uma lista dos provedores mais irresponsáveis com a segurança é um argumento infalível para se exigir uma ação repressora.
*
* Caso decida acionar o NicBr para auxiliar no seu caso, encaminhe primeiramente um email solicitando informações sobre a melhor maneira para se fazer estas reclamações. São medidas que ajudam no processo decisório por parte da equipe, viabilizando a ajuda gratuita que eles prestam a nós internautas.
Alguns dos programas mais comuns para a identificação de ataques são: Anti-Hack 2.0, TDS-2 e muitos dos pacotes de segurança e firewalls pessoais dos grandes produtores de software de segurança, como a Symantec ou a McAfee. Você pode encontrá-los nos grandes repositórios de softwares como, por exemplo, no Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar... ou na Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar....
Comment