Proteção | 27/12/2015 11h55

Reciclando Hackers — A história dos irmãos Não-fiz-teste: #10

Confira o desfecho do teste de invasão no Vai-e-Volta.

Esta é a décima e última parte de uma história fictícia (ou não) sobre testes de invasão. Clique na tag Reciclando Hackers para conferir todas as partes publicadas.


Hoje o grande dia! Os irmãos estavam ansiosos para ouvir Gafanhoto estridular o resultado final do pentest e como o Vai-e-Volta sofreu o deface.

Gafanhoto chegou cedo em seu escritório. Tinha que pegar o relatório dos testes e seu notebook, pois ele havia preparado uma surpresa para os irmãos: um vídeo de como aconteceu o deface. Ao sair do escritório, Gafanhoto pensou consigo: “eles não vão acreditar!”

Inacreditavelmente, os irmãos estavam acordados, ambos tomaram banho, assim como seu café da manhã. Victor e Manuel já até tinham planos para depois da reunião. Eles sabiam que teriam de estudar mais ou  contratar alguém especializado.

Ao chegar na casa dos irmãos, Gafanhoto corre primeiro em direção ao Robô. Ele queria dar mais uma espiada na obra destes dois ourives da reciclagem. Voltou à porta, tocou a campainha. Victor o atendeu e prontamente estendeu a mão convidando nosso analista para entrar. No interior da casa, mais precisamente na sala, Manuel também estendeu a mão, convidando-o para sentar.

Depois da conversa inicial, o típico rito social meio que obrigatório quando se recebe uma visita ou quando se visita alguém, Gafanhoto iniciou a explanação sobre os seus testes e começou a relatar o que foi apurado por ele durante os seus dias de trabalho.

Os irmãos estavam atentos a cada frase pronunciada pelo Gafanhoto, que gostava de explicar seus testes detendo-se ao conteúdo do relatório. Claro acrescentando algo a mais aqui e ali, porém a essência de tudo estava descrita nas mãos dos dois artistas e impressionistas do “lixo”.

– Tudo indica que o invasor tinha o Vai-e-Volta como alvo definido e que ele queria, talvez, tomar algum documento de vocês para poder ganhar algum dinheiro. Mas algo o fez mudar de rumo, mudar de ideia, vocês verão o quê – concluiu Gafanhoto.

– Poxa, não sabíamos que tínhamos tantos inimigos – surpreendeu-se Manuel.

– Calma, – apaziguou Gafanhoto -, não estou dizendo que esta pessoa seria contra vocês. Provavelmente é mais um criminoso querendo ganhar o seu dia! Ou, então, alguém querendo demostrar suas habilidades, pois, como já disse antes, ele tomou outro rumo, o que não aconteceria se ele realmente estivesse interessado em tirar proveito do trabalho de vocês.

De fato, existem alguns tipos de personalidades: temos aqueles que gostam de invadir somente para provar para si mesmo que conseguiu. Esses geralmente permanecem no anonimato; outros pensam diferente, querem mostrar seus feitos, e o deface é um deles; uns têm intenções maliciosas, e fazem o que fazem

– O nosso “amigo” – Gafanhoto deu uma risadinha – descobriu a falha de SQL Injection no site de vocês e começou a explorá-la. O problema é que SQL Injection não se resume a chegar na tabela de usuários e conseguir suas senhas (ou hashes), ele pode ser mais intrusivo do que isso. Claro que conseguir senhas é de grande valia e é o que muitos almejam, pois seria a chave do portão. No caso, vocês fizeram um bom trabalho e sem dar muita esperança para o atacante numa quebra rápida!

– Ufa! – desabafou Victor, cortando abruptamente a fala do Gafanhoto.

– É, mas como diz o provérbio “nem tudo que “! Se por um lado vocês protegeram bem a senha, por outro se esqueceram de estabelecer uma política de segurança de acesso para os usuários. E aí o nosso visitante só não fez um estrago maior no site/empresa de vocês porque se contentou com um deface.

Os irmãos deram uma risada sem graça, olharam para o nada evitando que seus olhos se tocassem e com um gole seco voltaram a olhar para o Gafanhoto esperando a continuação da história.

– Assim sendo – Gafanhoto continuou com o tom de voz mais grave -, ele pôde utilizar funções como load_file, que é usada para leitura de arquivos que estão presentes no host local, no caso seu servidor, e instruções como select…into outfile, que permite gravar arquivos no servidor ; notem, ambos precisam que o usuário tenha privilégio para fazer isso… e vocês deram este privilégio!

Desta vez não teve jeito: os irmãos se entreolharem e, ao mesmo tempo, , enrubesceram deixando os mais vermelhos dos tomates no chinelo.

– Não deu muito bem para entender o que esta pessoa queria – continuou Gafanhoto. Ele começou a olhar o conteúdo de alguns arquivos, usando a função load_file. Alguns ele conseguia ver o seu conteúdo, outros não, mas com isso presumiu que não era o superusuário e nem tinha seus privilégios. Em um dado momento, ele resolveu fazer um teste utilizando a instrução select…into outfile, e teve resultado. Com o uso dela, criou uma shell em PHP e começou a executar comandos, como se estivesse diante do computador mexendo diretamente no Terminal do Linux.

Gafanhoto deu uma respirada, pediu um copo d’água e voltou a falar.

– Depois disso ele começou a navegar pelos diretórios do computador – disparou Gafanhoto.

– O quê! – Manuel gritou e olhando para seu irmão que balançava a cabeça, com uma das mãos na testa, murmurando: “O que fizemos?!”

– O que vocês não fizeram – Gafanhoto espetou os irmãos. Mas não se preocupem: como eu disse, aconteceu algo que o fez mudar de ideia, se é que ele tinha algum plano contra vocês.

– Mas o que aconteceu afinal? – Victor questionou.

Os irmãos já não tinham mais o que falar. Cada novidade era incrivelmente assustadora e admirável.

– Uma vez dentro da rede, ele executou um ataque muito conhecido e eficaz, chamado Man-in-the-middle (homem no meio). Grosso modo, este ataque se resume ao desvio do tráfego da rede. Por exemplo, imagine você na sua casa, conectado à rede pelo seu computador. Você abre o navegador e digita o endereço do site de seu provedor de e-mail. Ao dar enter seu pedido (ou requisição) irá passar pelo seu roteador para, vamos dizer assim, sair da sua rede local e “buscar” o site na Internet. ataque sútil, ele não impede o acesso, então você vai acessar o site desejado numa boa, porém, a requisição primeiro irá passar pelo computador do invasor para depois chegar ao roteador. Note que o tráfego que passa pelo computador do invasor é nas duas direções: a requisição e a resposta, ou seja, vai e volta.

Todos riram, mas Gafanhoto logo se recompôs e continuou.

– Quando o invasor está conectado na mesma rede, no caso de vocês a rede Wi-Fi, ele pode fazer o ataque usando uma técnica chamada “ARP poisoning”. Vejam as imagens que fiz no relatório.

Man in the Middle 01: Figura 1: Acessando um site qualquer na Internet (Diego Gonçalves)

Man in the Middle 01: Figura 1: Acessando um site qualquer na Internet (Diego Gonçalves)

Man in the Middle 02: Ataque Man-in-the-middle em andamento (Diego Gonçalves)

Man in the Middle 02: Ataque Man-in-the-middle em andamento (Diego Gonçalves)

– Analogamente – continuou Gafanhoto – seria como se alguém permanecesse no meio de uma conversa entre vocês dois, sem vocês notarem a presença dela. Vocês conversariam normalmente, e ela saberia de tudo, inclusive os dados de acesso ao painel de administração do site Vai-e-Volta!

– Então foi assim que ele conseguiu acessar as configurações do nosso site – pasmou Manuel.

– Exato! Agora, não sei o motivo dele fazer tanto para , pois ele poderia ter feito isso antes. A ele realmente parou por aí e não deu importância nenhuma em conseguir algum documento do computador ou servidor de vocês. Que sorte!

– E quanto à outra vulnerabilidade, a Referência Direta Insegura a Objetos? – perguntou Victor.

Os irmãos olharam Gafanhoto com um sinal positivo com a cabeça quando Manuel provocou Gafanhoto: “Servido um café da tarde?” Gafanhoto completou sem hesitar: “Café com leite, por favor.”.

Enquanto Gafanhoto se servia, ele decidiu mostrar o vídeo que fizera sobre o deface no site deles. Ele explicou que utilizou uma aplicação feita propositalmente para ser vulnerável a SQL Injection, criou um servidor numa máquina virtual no qual hospedou esta aplicação e, por fim, também na máquina virtual, simulou o computador de acesso dos irmãos para o painel de administração.

Ao fim, os irmãos ficaram muito satisfeitos com o pentest e seus resultados. Agora poderiam tomar medidas eficazes de segurança e proteger melhor seu negócio virtual: o Vai-e-Volta.

Gafanhoto, ao caminhar de volta para seu escritório, também estava muito satisfeito com o desfecho do caso dos irmãos. Quando de repente Gafanhoto para de andar, bate a mão na testa dando um leve grito: “Não!!!” Eu me esqueci…”. Passa a mão no cabelo angustiado e reclama consigo: “Não perguntei para os irmãos quem foi que deixou aquele arquivo dos dados da rede Wi-Fi… ai ai ai”. E continua a caminhar procurando em seus pensamentos quem poderia ser o responsável: “Victor ou Manuel?”

 
conheça o autor

Diego Pires de Azevedo Gonçalves é Especialista em Segurança de Redes de Computadores. Formado em Licenciatura em Ciências Exatas - USP campus de São Carlos, é professor de informática, física, matemática, ciências e astronomia. Penetration Tester e analista de remoção de malware no fórum do Clube do Hardware, (desde 2007); no grupo Análise e Resposta a Incidentes de Segurança, ARIS-LD (desde 2012). É membro da UNITE (Unified Network of Instructors and Trained Eliminators).

Comentários 4

Os comentários são de responsabilidade de seus respectivos autores

  • Gustavo Oliveira

    a historia tem continuação ou acabou?

    • Moicano Diego

      Amigo, a história acabou! ;-)

      • Gustavo Oliveira

        a ok vlw, só queria saber se foi o Victor ou o manuel

        • Moicano Diego

          Quem sabe isto não seja revelado numa próxima saga hehehe… vamos ver. Obrigado amigo!

Alertas no Twitter

 
Parceiro
Site Seguro

Anuncie | Termos de Uso | Politica de Privacidade | WP

Editado por Altieres Rohr. Mantido pelo Staff Linha Defensiva

Contato Geral:

English ©2004-2015 Linha Defensiva. Todos os Direitos Reservados.